26 feb 2021

Seguridad en la búsqueda en Bing y aplicaciones de Microsoft 365. Si eres empresa, esto te interesa


Buenas a todos, en el artículo de hoy me gustaría hablaros de las búsquedas en Bing, en concreto, de la nueva característica para usuarios de Microsoft 365 orientada a la búsqueda en archivos, sitios de SharePoint, contenido de OneDrive, conversaciones de Teams, Yammer y otros orígenes de datos compartidos en nuestra organización. Para los que no sepáis a que me estoy refiriendo, os dejo con un ejemplo de nuestra empresa, usuaria de 365:


En resumen, se trata de una funcionalidad que integra en el navegador oficial de Microsoft la posibilidad de buscar "dentro de nuestro perímetro" cuando estamos autenticados con una cuenta corporativa. Marco entre comillas lo de dentro de nuestro perímetro, dado que hoy en día es algo etéreo, dado que hablamos de datos situados en la nube. Esta funcionalidad también está disponible para Chrome (parcialmente, porque entre los países que han recibido la actualización, no se encuentra España aún). Podéis encontrar más información en el siguiente enlace:

https://docs.microsoft.com/en-us/deployoffice/microsoft-search-bing#how-does-the-microsoft-search-in-bing-extension-for-google-chrome-get-installed

Como os imagináis, es una funcionalidad muy útil para las empresas, dado que te puedes abstraer y recurrir a un único buscador para localizar cualquier documento, ya sea en Internet o en el propio repositorio de la empresa. Sin embargo, si nuestra organización no ha configurado las cosas "adecuadamente", podemos tener problemas. Cuando hacemos auditorías de hacking ético, además de localizar algún que otro 0-day, la mayor parte de los hallazgos suelen provenir por fallos de configuración. En muchas ocasiones, tras estos trabajos han salido a relucir infinidad de problemas derivados del uso de configuraciones por defecto y políticas con una seguridad bastante "ligera" en lugares tan críticos como SharePoint. Pues bien, en estas semanas muchas compañías se están dando cuenta gracias a esta funcionalidad de que sus configuraciones no eran del todo adecuadas, y que cualquier empleado podía acceder a cualquier documento de, por ejemplo, su SharePoint interno. 

¿Es esto culpa de Microsoft? En absoluto. Sin embargo, si se quiere desactivar esta funcionalidad para que los usuarios de nuestra organización no puedan buscar archivos internos a través de Bing, existe un check que encontraréis en el Centro de administración de Office 365:


Dentro del menú de configuración, en "Búsqueda e Inteligencia", nos dirigiremos a la quinta pestaña, "Configuraciones":


Y en este nuevo menú, encontraremos la opción para desactivar las búsquedas en nuestra organización:


Para concluir el artículo, me gustaría remarcar que esta desactivación no supone la aplicación de ninguna medida de protección. La seguridad por oscuridad es un mal que sufrimos la gente que nos dedicamos a ciberseguridad. Y, la única forma de resolver los problemas de accesos en nuestra organización, se basa en configurar las cosas adecuadamente.

¡Saludos!


25 feb 2021

Mañana arranca MorterueloCON en Twitch

Mañana 26 de febrero dará inicio la edición 2021 de MorterueloCON, uno de los congresos habituales de nuestro sector, donde numerosos compañeros de profesión compartirán sus conocimientos para hablar de numerosos temas de rabiosa actualidad. En el congreso participarán buenos amigos, como mi compañero de Flu Project, Pablo González, mis compañeros de X1RedMasSegura, Josep Albors e Iván Vázquez, Eduardo Sánchez con quién tuve el placer de compartir los inicios de Hack&Beers por Madrid, Iván Portillo de Ginseg (además, comunidad amiga de Flu Project) y un largo etcétera. ¿Os lo vais a perder?

Este año, dada la situación propiciada por la Covid-19, se celebrará en formato online a través de Twitch, por lo que no hay excusa:

https://www.twitch.tv/morteruelocon

La agenda del evento es muy intensa :). Comenzará a las 9:00h y finalizará a las 23:30h. Casi 15 horas de congreso (descansos mediante). Así que preparad un buen bidón de café y tened aperitivos a mano, que la jornada promete:

https://www.morteruelo.net/3/horarios-morteruelocon


¡Saludos!

24 feb 2021

Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre


Hoy, ISMS Forum -International Information Security Community- inaugurará su Capítulo Regional de Valencia durante un evento online que transcurrirá entre las 09:30h y las 12:30h.

Durante la jornada tendrá lugar la presentación de los resultados de la Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre. Como cada año, los “CiberMS” tienen el objetivo de fomentar el intercambio de conocimientos entre los principales actores y expertos implicados en el sector para impulsar y contribuir a la mejora de la ciberseguridad en España a través de un ejercicio de ciberseguridad consistente en la comparativa de un conjunto de pruebas de seguridad y simulacros de ataque a los sistemas de las compañías españolas participantes. Las pruebas han sido creadas con la finalidad de poner a prueba los mecanismos de seguridad lógica de las entidades, así como la cultura de seguridad de los empleados y su capacidad para detectar y comunicar de forma correcta estos incidentes a los equipos de respuesta.

Zerolynx ha sido una de las compañías seleccionadas para la realización de los CiberMS de este año, y tendré el placer de presentar los resultados junto a los representantes de las entidades que nos hemos encargado de la organización y realización de todas las pruebas: 

  • DANIEL GARCÍA, Managing Director, ISMS Forum.
  • JUAN MANUEL ZARZUELO, Director IT Risk, KPMG.  
  • DANIELA KOMINSKY, Country Manager, Spain and Portugal, Cymulate.  
  • VICENTE DE LA MORENA, Country Leader, Spain and Portugal, Riskrecon.  
  • JUAN ANTONIO CALLES, CEO, Grupo Zerolynx.
  • MAURO SÁNCHEZ, CTO & Co-Founder, SMARTFENSE.    

Más información y registro en: https://www.ismsforum.es//evento/680/inauguracion-del-capitulo-regional-valenciano-de-isms-forum/

23 feb 2021

elhacker.NET hace 20 años


Buenas a todos, en el artículo de hoy nos gustaría hacernos eco y rendir así un pequeño homenaje a elhacker.Net, una de las comunidades que sin duda han marcado la evolución de la ciberseguridad en habla hispana y que ayer cumplió la friolera de 20 años.



Muchos somos los que hemos pasado horas y horas en su foro, compartiendo dudas e intercambiando conocimientos con otros miembros de la comunidad. Sus largos hilos vivieron, entre otros, el nacimiento de Flu Project en 2010. 

https://www.elhacker.net/historia.html

Un abrazo muy fuerte a todo su Staff (y ex staff) y enhorabuena por el trabajazo de estos 20 años, ¡a por otros 20!

22 feb 2021

Entrevista a Marta Barrio


Hoy comienzo una serie de artículos para Flu Project dónde entrevistaremos a varias personas del mundo de la ciberseguridad. El rincón se llamará "Entrevista a..." y cada 7-14 días iremos publicando diferentes entrevistas de personas que para nosotros son relevantes, y que consideramos que aportan a la comunidad de la ciberseguridad. 

Hoy, para inaugurar la sección, tenemos a Marta Barrio. Marta es una de esas personas que no paran de hacer cosas, que sacan el tiempo para dejarse liar de cualquier lugar y que siempre está dispuesta a sumar. Sin duda, Marta tiene una carrera intensa y si no la conocéis, os recomiendo echarle un ojo a su CV para ver que ha dedicado esfuerzo y tiempo a una de sus pasiones, la ciberseguridad. 

Sin más, os dejo con Marta Barrio. 


1.- ¿Quién es Marta Barrio?

Una persona que intenta ser feliz disfrutando de las pequeñas cosas, que cuida su salud, tanto mental como física, que le gusta practicar crossfit y leer todo lo que cae en sus manos. Además de eso, se dedica a la ciberseguridad, intenta aprender cada día algo nuevo y, si puede ayudar a alguien por el camino, mejor que mejor.

2.- ¿Cómo te das cuenta que el mundo de la informática es lo tuyo? ¿Cómo te das cuenta que en ese mundo lo que realmente te llama es la ciberseguridad? 

Me di cuenta de lo primero, siendo muy pequeña, en el colegio, teníamos clase de informática muy variada, cada semana en un ordenador y en cada ordenador te enseñaban una cosa, desde cosas básicas de office, hacerte un primer correo electrónico, juegos de lógica... Ahí vi que los ordenadores en general me entretenían, y como no se me daban mal unos cuantos compañeros y yo pasamos a ser un poco "equipo de soporte", nos llamaban en horas libres para hacer pequeñas cosillas como actualizar los equipos, instalar las impresoras, poner a punto equipos nuevos... y nosotros encantados. De la parte de ciberseguridad, con casi la carrera ya terminada, y de casualidad, empecé a trabajar en desarrollo y vi que no era lo que quería hacer el resto de mi vida, así que empecé a buscar otras opciones. En la empresa en la que estaba un buen amigo buscaban gente recién licenciada y no hacía falta experiencia, era de ciberseguridad, ahí lo terminé de descubrir y confirmé que esto sí lo puedo estar haciendo el resto de mi vida.

3.- ¿Cómo son los comienzos para ti en el mundo de la ciberseguridad? 

Pues de primeras muy perdida, pero fue un aprendizaje continuo (y lo sigue siendo), tienes alrededor gente que sabe mucho más que tú, les preguntas, empiezas a investigar por tu cuenta, y de repente estás en tu tiempo libre montando entornos y replicando pruebas que has leído en un blog, visto en un vídeo, te surgen preguntas, buscas respuestas, y comienza el bucle de diversión.

4.- Hace ya unos cuantos años que nos conocemos. Incluso, podemos decir que hemos estado metidos en varias historias: Retos de ISACA, hackersClub, hemos compartido docencia en Másteres, etc. ¿Qué es lo que te motiva a meterte en estas historias aparte de tu trabajo? 

Que no se decir que no. Me explico, veo una oportunidad de aprender y de poder ayudar a alguien, como me ayudaron a mi cuando empezaba, y esa es la verdadera recompensa. A veces en medio del proceso me arrepiento de haber dicho que sí porque no tengo tiempo, pero al final llego y la satisfacción de haber dado lo mejor de mí termina ganando a las dudas de los días previos.

5.- Para mí eres una referente que impulsa a las mujeres a meterse en este tipo de carreras profesionales, ya que andas con eventos, participando en muchas formaciones, haciendo una gran labor en tu trabajo ¿Cómo ves este tema? 

En estos años he visto una gran evolución, el número de mujeres en este mundo es cada vez mayor, antes en conferencias lo raro era ver una mujer, ahora lo raro es ver algún grupo sin que las haya, seguimos siendo menos claro, pero el cambio está ahí. La clave, en mi opinión, no está en dar más facilidades a las mujeres para becas, puestos etc. porque tengas que alcanzar un mínimo "para quedar bien" sino en dar visibilidad a que hay mujeres en todos los departamentos. Y es un cambio que tiene que suceder en la base de la educación, aquí podemos debatir mucho tiempo...

6.- ¿Cómo ves el sector de la ciberseguridad en los próximos años? ¿Somos una burbuja o somos una necesidad creciente por la transformación digital? 

A día de hoy creo que somos una necesidad creciente, por lo que en los próximos años va a seguir creciendo, ¿hasta donde? Dependerá de la importancia que los usuarios comiencen a dar a sus datos. Cuando la gente deje de decir "mis datos, ¿quién va a querer mis datos? si yo no soy famoso", puede significar que se le esté dando la importancia que se debe, pero no creo que seamos una burbuja.

7.- ¿Cómo crees que ha evolucionado la ciberseguridad en este último año debido a la pandemia? 

Ha avanzado mucho, a la fuerza, en un año puede que se haya dado una evolución que en la situación previa hubiera tardado por lo menos 5 años. Las empresas se han tenido que poner las pilas si querían sobrevivir, han tenido que hacer cambios que ni planteaban, con los riesgos de seguridad asociados, y de repente se han dado cuenta de que ese mundo de ciberseguridad que veían de lado les afectaba directamente.

8.- ¿Cómo crees que debería ser un buen entrenamiento para un Red Team? Recientemente hemos hablado de ello en un coloquio de Eniit, ¿Cómo fue la experiencia? 

Mi opinión personal, tienen que tener un plazo de tiempo de ejecución alto (¿un año?), un red team no comienza el día que se lanza la primera herramienta, puede empezar mucho antes creando el entorno de ataque (cuentas de correo, web falsas, etc.), y a partir de ahí ir registrando las acciones que se llevan a cabo y los resultados, para una vez que se entregue el informe final, poder validar con el blue team si los ataques exitosos se podrían haber detectado y cómo, para implantar soluciones, si los logs recogieron toda la información, etc. para identificar puntos de mejora. No hay que olvidar que el red team sirve para alimentar al blue team con el objetivo común de mejorar el estado de seguridad de la organización.

En cuanto al coloquio de Eniit, lo disfruté mucho, era la primera vez que participaba en una charla de este estilo y fue un placer compartirla con los grandes profesionales que participaron, y poder hablar en un ambiente relajado de lo que más nos gusta.

9.- Antes de acabar, ¿Qué consejos darías a todos los lectores que quieren meterse en este mundo de la ciberseguridad? 

Lo primero, que si se quieren meter en este mundo sea porque les guste, no como "sector con mucho futuro", lo segundo, que lean, se formen, no tengan miedo de preguntar, que por regla general en este mundo la gente te va a ayudar y te va a facilitar recursos para ayudarte. Ah, y paciencia, para aprender de verdad, las prisas no son buenas compañeras.

10.- Para finalizar, ¿Cómo conociste a Flu Project? Después de tantos años, ¿Qué diferencias ves en el blog en estos años? 

Pues echando la vista atrás... lo conozco desde hace algo más de 8 años, en cuanto empecé en ciberseguridad me lo recomendaron, reconozco que creo que leí todas las entradas desde ese momento hacia atrás, cacharreé con flu, aprendí con los retos de hacking, así que puedo decir que he aprendido mucho en él. En cuanto a diferencias, habéis madurado con la edad, al principio era mucho más técnico en cuanto a los trucos más técnicos que enseñábais, entiendo que por ocio y/o trabajo de ese momento, viví el bajón de pasar a post diario a posts "cuando podíais" y el nuevo renacer con más colaboradores que le ha dado dinamismo (cantidad de contenido) y nuevas temáticas. Así que espero seguir leyéndolo muchos años más. PD: Yo sigo siendo fan de los post más técnicos :)



19 feb 2021

IV Congreso de Auditoría & GRC de ISACA

 


En plena aceleración del proceso de digitalización ¿Estamos preparados para una caída prolongada de los grandes proveedores tecnológicos? ¿Qué medidas adoptan las infraestructuras críticas para garantizar la continuidad de los servicios esenciales? ¿Cómo identifican, valoran y abordan nuestras empresas e instituciones los riesgos sistémicos? Estas son algunas de las cuestiones que serán tratadas en el IV congreso de Auditoría y GRC, que tendrá lugar los próximos días 4, 11 y 18 de marzo, donde la temática general versará sobre las grandes amenazas a las que estamos expuestos en los tiempos actuales, de gran dinamismo y complejidad.

Este año tenemos el placer de patrocinar el congreso desde Zerolynx, y además, me encargaré de moderar la mesa "Grandes riesgos, vector proveedores" que tendrá lugar el 11 de marzo a las 18:50h, y en la que participarán varios actores de gran relevancia para nuestro sector:

  • Jorge Pérez, Responsable de Auditoría de Mutua
  • Antonio Ramos, CEO y socio fundador de LEET Security
  • Enrique Salgado, Global IT Manager de Cabify

En esta jornada tendremos el placer además de escuchar la Keynote "Securing ecosystems in an era of rapid transformation" de Chris Dimitriadis, tras la presentación de la presidenta Vanesa Gil.

La inscripción es totalmente gratuita para los asociados al capítulo de Madrid, y se entregarán 2,5 créditos CPE para todos los asistentes.

Más información en:

https://engage.isaca.org/madridchapter/eventos/audgrc

18 feb 2021

101 del Real Decreto 43/2021

Hola lectores. 

En el anterior artículo de esta cadena os comenté que se había producido un nuevo hito en el sector de la ciberseguridad con la publicación en el BOE del Real Decreto 43/2021. Como os dije, no es un tema del que solamos hablar en este blog, pero dado que el Real Decreto 43/2021 está teniendo bastante repercusión considero, que es necesario aportaros un poco más de información.


Y otra vez con el decretito...

En el artículo anterior os hablé de una conferencia que impartían desde ISACA Madrid y aesYc. Para todos los que no os pudisteis conectar, y debido a las buenas críticas que ha recibido, os la dejamos enlazada. Desde mi punto de vista fue muy interesante y tuvo un gran éxito de asistencia, con más de 1.500 personas conectadas en directo. 


Para todos aquellos que no podáis sacar tiempo suficiente para ver el video, os dejamos enlazada la publicación realizada por uno de los participantes en el debate, Vicente Moret, donde se hace un resumen de las principales obligaciones para las empresas en materia de ciberseguridad derivadas del RD 43/2021. Son dos páginas en PDF que considero de obligada lectura para todos aquellos que nos dedicamos al sector. Podéis encontrarlo aquí. 

Espero que os sea de interés a todos.

17 feb 2021

TOP 15 de Amenazas de ENISA - SPAM

¡Buenos días a todos!

En este artículo hablaremos de la siguiente amenaza analizada por ENISA, que en este caso se trata de los correos electrónicos no solicitados, también conocidos como SPAM.


Para que nos hagamos una idea de la magnitud de la basura que se envía a través de Internet, durante el tiempo en que se realizó el estudio, el spam llegó a alcanzar el 85% de todos los emails enviados a lo largo del mundo. Ahí es nada.

Aunque generalmente el spam no deja de ser una simple molestia para usuarios expertos, se debe recordar que a nivel corporativo también puede ser utilizado para extraer información de los sistemas y personas a los que va dirigido:

  • ¿Qué filtros antispam tienen? ¿Eliminan los adjuntos, los enlaces, los ficheros con contraseña...?
  • ¿Tienen filtros de contenido web?
  • ¿Qué información me rebotan sus servidores cuando un usuario no existe?
  • ¿Está un usuarios fuera de la oficina? ¿Hasta cuándo?
  • ¿Cuál es la firma típica de los usuarios dentro de la organización?
  • ¿Cómo y cuánto tarda en responder la organización ante una ola de correos maliciosos?

Toda esta información, recopilada en una campaña masiva, puede ser utilizada más tarde en una campaña dirigida de Spear-Phishing muchísimo más peligrosa para la organización.

Por otro lado, y de forma global, también puede tener finalidades bastante peligrosas, como la sextorsión o el envío de malware. EMOTET, que reciéntemente ha sido cerrada por Europol, por ejemplo, ha utilizado campañas de este tipo para su propagación. Sin embargo, esta misma técnica ha sido utilizada muchas veces para propagar familias de malware como Loki, Dharma, Crysis y Ryuk.

Mención especial deben recibir las campañas lanzadas a través de SMS, en las que se incluyen enlaces a páginas maliciosas que buscan capturar información, o que ofrecen descargas de APPs maliciosas que buscan robar datos bancarios.

Desgraciadamente, la crisis del COVID ha sido aprovechada por los atacantes para perfilar sus campañas, por lo que se han producido bastantes acciones de envío de spam, phishing dirigido, o difusión de malware que han utilizado este pretexto para intentar confundir a sus víctimas. En este sentido, sólo el complicado mes de marzo de 2020 se detectaron  más de 2500 ataques de estas características.

Como veis, al final se trata una amenaza que la mayoría consideraríamos de bajo perfil, pero que también requiere ser correctamente gestionada desde las empresas para evitar sustos mayores.

Las acciones de mitigación recomendadas ante este tipo de ataques son:

  • Configurar correctamente SPF, DMARC, DKIM y otros mecanismos de protección para el correo.
  • Implementar filtros de contenido que eliminen adjuntos no deseados, enlaces, o correos de orígenes no legítimos, y que marquen debidamente el correo externo a nuestros empleados.
  • Actualizar de forma periódica las listas de reputación web e IP.
  • Habilitar doble factor de autenticación, para la protección adicional de las cuentas de usuario.
  • Deshabilitar la ejecución de código automática, las macros, y la carga automática de imágenes y enlaces recibidos por correo.
  • Y sobre todo, es fundamental la concienciación de nuestros empleados para que sepan identificar y alertar ante la presencia de correos maliciosos. Y es que... ¿cuántas veces habéis levantado las debidas defensas, para daros cuenta de es el propio usuario el que ha sacado el correo de la bandeja de spam, y ya de paso, lo ha reenviado dentro de la organización? 

¡Nos vemos en la próxima, saludos!

16 feb 2021

Cómo evaluar y hacer exámenes en remoto de forma segura


Buenas a todos, el Centro Criptológico Nacional lanzó ayer una interesante guía con el objeto de recoger en un documento las principales medidas y condiciones necesarias para preservar la seguridad e integridad de los métodos de evaluación y examen en remoto.  

La guía viene propiciada por el Covid-19 y el inevitable aumento de las formaciones y evaluaciones online, lo que está conllevando numerosos problemas en diferentes instituciones. 

El documento se subdivide en 2 apartados, el primero orientado a la certificación de las personas, donde tratan los requerimientos plasmados en la norma ISO/IEC 17024:2012, y el segundo, sobre la evaluación y la realización de exámenes en remoto.

Desde el siguiente enlace podréis descargar el documento completo:

https://www.ccn-cert.cni.es/informes/abstracts/5711-metodos-de-evaluacion-y-examen-en-remoto/file.html

Un saludo!

15 feb 2021

Estrenamos branding en Open Mobility Security Project (#OMSP)

Buenas a todos, en el artículo de hoy, y aprovechando que en breve nuestro proyecto OMSP hará su primer año, queríamos compartir con todos vosotros el rebranding que estrenamos en el día de ayer. Con este nuevo diseño, acuñado por la diseñadora Olga Borrallo, a la que aprovecho para dar las gracias por su excelente trabajo, buscamos aunar todo lo que aglutina y representa en la actualidad OMSP. Hasta el momento, el isotipo que componía el logo principal del proyecto, incluía un tren y la rueda de un coche, sin embargo, y como muchos ya sabréis, el proyecto ha ido creciendo y hemos ido añadiendo controles que realmente aplican a muchos más tipos de vehículos. Es más, el propio proyecto nació con esa idea de escalabilidad. Por este motivo, nos decidimos a plasmar todo ello en un logotipo más abierto y que representase mejor aún a la ciberseguridad de cualquier medio de transporte.

El nuevo logo de OMSP es más sencillo, con colores más neutros y con una flecha que simboliza el movimiento. Así mismo, ese movimiento también se ve reflejado en la letra "m", colocada estratégicamente en una posición inclinada.

¡Esperamos que os guste!

https://github.com/zerolynx/omsp

Por otro lado, el pasado viernes, mi compañero Martín compartió con vosotros un interesante artículo sobre la propuesta para una nueva regulación de Naciones Unidas en relación a la ciberseguridad y a los sistemas de gestión de la ciberseguridad (ECE/TRANS/WP.29/2020/79). Como también os trasladó, en Europa, el Reglamento 2019/2144 del 27 de Noviembre de 2019 relativo a los requisitos de homologación de tipo de los vehículos de motor (...) establece en su considerando 26 la aplicación obligatoria del nuevo reglamento de Naciones Unidas en materia de ciberseguridad, reconociendo los riesgos que implican las nuevas tecnologías de conectividad y automatización. A nivel normativo, las organizaciones ISO y SAE trabajan actualmente en la norma ISO/SAE 21434, centrada en establecerse como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. Por nuestra parte, estamos apoyando directamente a estas organizaciones, con todo el conocimiento que llevamos varios años adquiriendo en la materia, para ayudar a reflejar con todo el rigor y el criterio posible, las amenazas a las que nos enfrentamos de forma diaria, y las posibles vías para reducir su impacto.

OMSP no pretende ser una alternativa a WP29 o a la norma 21434, sino todo lo contrario (como bien os hemos dicho, nosotros mismos estamos en el comité que define esta norma). El objetivo de OMSP es dar herramientas para el cumplimiento de esta normativa, es facilitar la labor a los desarrolladores de productos, durante toda la cadena de valor (OEMs, Tiers y Aftermarkets) y a todas las empresas que, como nosotros, tienen la necesidad de contar con un marco técnico de controles para definir un itinerario de pruebas repetible con el que evaluar si los primeros no han cometido ningún error.

Somos conscientes de la dificultad de lanzar un proyecto de estas características, pero también somos conscientes de que la información debe ser libre. Si buscamos evaluar la ciberseguridad de algo tan crítico como un medio de transporte, no podemos recurrir a proyectos privativos, hay que recurrir a marcos de controles abiertos, que puedan ser utilizados por todos los interlocutores, desde el que fabrica la primera pieza, hasta el que da el último check antes de salir a producción. Es la única manera de garantizar que todos los actores evalúan los problemas con los mismos criterios.

Por nuestra parte, aunque OMSP se haya forjado en el área de I+D de Zerolynx, queremos que sea un proyecto que se use por la comunidad, al igual que nosotros utilizamos otros marcos fantásticos realizados por otras consultoras de nuestro sector o por algunas entidades bancarias, entre otras organizaciones. Y es que vivimos en un mundo interconectado, donde la colaboración es clave para poder dar respuesta a un reto tan exigente como el de la ciberseguridad. Desde el equipo que impulsa OMSP seguiremos mejorando el itinerario de pruebas para seguir cubriendo nuevos vehículos y añadiendo poco a poco nuevo contenido con el que ir facilitando estas labores de evaluación. ¿Nos acompañáis en este viaje?

¡Un saludo!



12 feb 2021

¿Está regulada la Ciberseguridad en la Industria de la Automoción?


UN (WP.29) ECE/TRANS/WP.29/2020/79. Todo lo que necesitas saber.

Durante las últimas décadas, la industria de la automoción ha vivido una transformación vertiginosa hacia la conectividad, la automatización y la electrificación. Todo ello implica la incorporación de nuevas tecnologías que reemplazan o acompañan a las tecnologías heredadas. De esta forma, los vehículos disponen tras cada nueva generación de sistemas E/E de mayor complejidad. La aglomeración de múltiples tecnologías de diversa índole en un mismo sistema funcional, junto con su exposición al exterior al ser dotado de conectividad, supone una amplia superficie de ataque en la cual, en caso de existir una vulnerabilidad explotable, puede propiciar incidentes de ciberseguridad. Concretamente, en un vehículo de última generación, los activos afectados no son solo el sistema E/E y los datos que maneja, sino también la privacidad y protección de los usuarios del vehículo, sin olvidar a su vez a los usuarios de la vía por la que circula.

Para hacer frente a las amenazas que afectan a los nuevos vehículos, tras dos años de trabajo por parte de Naciones Unidas, concretamente del grupo de trabajo WP.29, se ha publicado en Junio de 2020 una nueva regulación, comúnmente conocida por el nombre del grupo de trabajo (WP.29) pero recogida bajo el documento Propuesta para una nueva regulación de Naciones Unidas con respecto a ciberseguridad y a los sistemas de gestión de la ciberseguridad (ECE/TRANS/WP.29/2020/79) [1]. El objetivo de este documento es establecer los requisitos de ciberseguridad a cumplir por parte de fabricantes relativos a su SGSI y a sus modelos de vehículo durante todo su ciclo de vida. Con ello se aumentan los requisitos necesarios para la homologación tipo establecidos en el Acuerdo de 1958 y sus actuales 152 adendum [2].

http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

La fecha de aplicación obligatoria de esta nueva normativa fue enero del 2021 en los 54 países firmantes del acuerdo de 1958 y afecta a coches, furgonetas, autobuses, camiones y vehículos ligeros de cuatro ruedas que disponen de funcionalidades de automatización de la conducción de nivel tres o superior. Esto incluye vehículos que dispongan de una automatización condicional, en la que el vehículo es capaz de monitorizar el entorno y actuar de forma autónoma en consecuencia siendo supervisado por un usuario con capacidad de conducción, o niveles superiores de autonomía. Para conocer más información sobre niveles de conducción autónoma, se puede consultar el estándar SAE J3016: Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles  [3]

Según se expone en una publicación del blog de UNECE [4], la nueva norma de Naciones Unidas proporciona un marco de trabajo para la industria de la automoción con los procesos necesarios para:

  • Identificar y gestionar los riesgos de ciberseguridad en el diseño de los vehículos.
  • Verificar que los riesgos son gestionados, incluido el testing.
  • Asegurar que los análisis de riesgos se mantienen actualizados.
  • Monitorizar ciberataques y responder a ellos de forma efectiva.
  • Análisis de apoyo sobre intentos de ataques o ataques exitosos.
  • Evaluar si las medidas de seguridad permanecen efectivas a la luz de nuevas amenazas y vulnerabilidades.

En la misma publicación, también se resumen los nuevos requisitos a cumplir para la homologación de sus vehículos recogidos en el reglamento:

  • El sistema de la gestión de la ciberseguridad se encuentra establecido y es aplicado sobre los vehículos producidos.
  • Disponer de análisis de riesgos, identificando lo crítico.
  • Medidas de mitigación para reducir los riesgos identificados.
  • Evidenciar a través de testing, que las medidas de mitigación funcionan como se espera.
  • Disponer de medidas para detectar y prevenir ciberataques.
  • Disponer de medidas para dar soporte al análisis forense de los datos.
  • Monitorizar las actividades específicas del vehículo.
  • Reportar a la autoridad de homologación informes de las actividades de monitorización relevantes.

En lo respectivo a las entidades técnicas encargadas de la auditoría y aprobación ante una homologación, el Reglamento define en su artículo 12 que estas han de ser comunicadas a la secretaría de la Unión Europea por parte de cada estado miembro, siendo estos encargados de la elección de las mismas.

En Europa, el Reglamento 2019/2144 del 27 de Noviembre de 2019 relativo a los requisitos de homologación de tipo de los vehículos de motor (...) [5] establece en su considerando 26 la aplicación obligatoria del nuevo reglamento de Naciones Unidas en materia de ciberseguridad, reconociendo los riesgos que implican las nuevas tecnologías de conectividad y automatización.

En caso de no cumplir el reglamento respecto las cláusulas referentes a ciberseguridad, la UE denegará la homologación tipo a partir del 6 de Julio de 2022 y la matriculación de nuevos vehículos a partir del 7 de Julio del 2024. A continuación, se muestran los fragmentos del reglamento en los cuales se especifican los conjuntos de requisitos a cumplir por un vehículo para su homologación, junto con las fechas límite establecidas. Entre ellos, se encuentra destacado el apartado D4. Protección del vehículo frente a ciberataques.

A nivel normativo, las organizaciones ISO y SAE trabajan desde su propuesta en 2016 en la norma ISO/SAE 21434 [6], centrada en establecerse como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. En un futuro cercano, será claro objetivo de certificación para OEMs y proveedores con el objetivo de evidenciar el cumplimiento de la regulación vigente. Actualmente, la norma se encuentra en fases finales de su creación en estado de borrador internacional (DIS), siendo sometida a votaciones y correcciones ante alegaciones. Según anuncia ISO [7], se espera que su publicación se realice a principios de este año.

En conclusión, se presenta un panorama complejo a nivel regulador y normativo, que durante los próximos años hará cumplir las tareas pendientes en materia de ciberseguridad a la industria de la automoción. De esta forma se fomenta obligatoriamente el I+D+i de nuevos procesos y tecnologías para el sector, así como la especialización de profesionales y la consolidación de nuevos campos de investigación. Las entidades reguladoras han dado un primer gran paso con la creación de las nuevas regulaciones, ahora la industria debe demostrar su compromiso, que por el momento, como consumidor, no se aprecia.

Referencias

[1] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[2] https://www.unece.org/trans/main/wp29/wp29regs141-160.html

[3] https://www.sae.org/standards/content/j3016_201806/

[4] https://www.unece.org/info/media/presscurrent-press-h/transport/2020/un-regulations-on-cybersecurity-and-software-updates-to-pave-the-way-for-mass-roll-out-of-connected-vehicles/doc.html

[5] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019R2144&from=ES

[6] https://www.iso.org/standard/70918.html

[7] https://www.iso.org/news/ref2584.html

 


11 feb 2021

Publicado el video del webinar sobre Ciberseguridad en el mundo de los videojuegos y los eSports




Buenas a todos, como ya sabréis, hace un par de días y junto a la Federación Española de Jugadores de Videojuegos y eSports (FEJUVES) realizamos un webinar con motivo del Día de Internet Segura 2021, titulado “Feel secure while playing”.

El evento se centró en tratar algunos consejos básicos para protegerse en Internet ante potenciales ciberataques de diferente índole, muy orientados al sector de los videojuegos.

Orquestado por Jon Llaguno, de Ween Games, y presentado por Nacho Chamorro, Director General de FEJUVES y David Morales, Director General del Instituto Andaluz de la Juventud, contó con la intervención del campeón del mundo de Hearthstone, Akawonder, jugador profesional de Team Liquid y con la de un servidor, que me encargué de la parte más relativa a los consejos de ciberseguridad para el público generalista.

Si os lo perdisteis, y os apetece ver los consejos que compartimos, el webinar ya se encuentra disponible en el canal de YouTube de FEJUVES:


Un saludo!

10 feb 2021

ESET Threat Report Q4 2020

 


Buenas a todos, en el post de hoy quería compartir con todos vosotros el estudio Threat Report Q4 de 2020, que publicó recientemente el fabricante de software antivirus ESET. 

https://www.welivesecurity.com/2021/02/08/eset-threat-report-q42020/

Se trata de un completo documento en el que se analizan técnicamente las principales amenazas del último trimestre del año pasado, y hablan sobre sus últimas operaciones contra amenazas globales como Trickbot.

A continuación os dejo con el índice del documento:


Desde ESET Research resaltan, entre otras, sus investigaciones sobre Lazarus en Corea del Sur, un ataque a la cadena de suministro de Mongolia llamado Operación StealthyTrident, el ataque a la cadena de suministro Operation SignSight contra una autoridad de certificación en Vietnam o el caso de XDSpy, un APT que opera de manera encubierta desde 2011

Un reporte muy interesante y a tener en cuenta cuando nos toque hablar sobre las amenazas más recientes.

DESCARGA



9 feb 2021

#EMOTET ha sido desmantelado


¡Buenas!

Hace unos días, nos enterábamos del desmantelamiento del malware Emotet por medio de una operación policial a nivel internacional en ocho países, coordinada por Europol y Eurojust. Según el comunicado emitido por Europol, las fuerzas de seguridad se han hecho con el control de la infraestructura y la han desactivado desde dentro. A su vez, la policía neerlandesa ha publicado un servicio para verificar si nuestro correo electrónico se encuentra entre los datos sustraídos por Emotet, en el que se informa que el 3 de febrero de 2021 han actualizado su base de datos con 3,6 millones de cuentas adicionales como resultado de la operación y la investigación llevadas a cabo.

Emotet, considerado como uno de los malwares más peligrosos del mundo, llevaba actuando desde 2014 cuando fue identificado como un troyano bancario. Desde entonces, ha evolucionado con capacidades de evasión, diferentes mecanismos de propagación y se ha caracterizado por ser el desencadenante de infecciones con Trickbot y el ransomware Ryuk, entre otros, provocando ciberataques con un gran impacto sobre sus víctimas. Su principal vector de ataque consistía en un correo electrónico con un documento adjunto malicioso, que solicitaba habilitar las macros desencadenando la infección.

Os dejamos el vídeo de la intervención policial que se ha llevado a cabo en Ucrania:

¡¡Saludos y hasta el próximo post!!

8 feb 2021

Un nuevo hito para la ciberseguridad: Real Decreto 43/2021

¡Hola lectores!

Aunque en Flu Project no solemos tocar temas normativos y regulatorios, dado que hay grandes profesionales que se encargan de divulgar sobre la materia de forma fantástica, hoy quería permitirme la licencia de hablaros del Real Decreto 43/2021, de 26 de enero (aquí podéis consultarlo), publicado hace pocos días en el BOE.  



El RD 43/2021 desarrolla la conocida “Ley NIS” de seguridad de las redes y sistemas de información, y supone un antes y un después en el marco regulador de la ciberseguridad en España (y esperemos que pronto en el resto de países hispanohablantes). Esta norma ha de impulsar las iniciativas destinadas a alcanzar un adecuado nivel de ciberseguridad dentro de las empresas afectadas, al estar obligadas a tener un CISO que va ser responsable de tomar decisiones que pueden generar efectos jurídicos vinculantes frente a terceros y frente a las autoridades competentes.

Y es esto un hito importante para todos nosotros, porque aunque todos sepamos que a los que nos dedicamos a la ciberseguridad ya no hay nada que nos sorprenda, este RD comienza a darnos herramientas jurídicas para ayudarnos en nuestro trabajo.


Cuando ya un Ransomware no te sorprende...

En resumen, con esta ley ha llegado el momento de que el avestruz deje de enterrar la cabeza y la ciberseguridad sea situada en el lugar que le corresponde. En la situación actual, en la que el teletrabajo ha venido para quedarse, es necesario que la inversión en ciberseguridad deje de ser considerada como un gasto superfluo, y ayude a paliar los numerosos problemas que sufren constantemente todas las organizaciones. 

Para todos los que estéis interesados en saber un poco más sobre esta ley, el próximo martes día 9 de febrero de 18:00 a 20:00, los compañeros de ISACA Madrid y de AESYC, junto con distintas entidades del sector de la seguridad de la información organizan el primer Webinar informativo acerca de este reglamento en el que se explicará su contenido más relevante, y se debatirán sus consecuencias con un panel de expertos en la materia. Para los que estéis interesados, os podéis inscribir aquí

¡Nos vemos en el próximo post!

5 feb 2021

No te pierdas el 9F el Webinar sobre Ciberseguridad en el mundo de los videojuegos y los eSports con FEJUVES




Buenas a todos, dentro de la colaboración que estamos llevando a cabo desde Zerolynx con la Federación Española de Jugadores de Videojuegos y eSports (FEJUVES) para ayudar a mejorar la ciberseguridad de los jugadores profesionales y amateurs, participaremos el próximo día 9 de febrero, con motivo del Día de Internet Segura 2021, en un interesante webinar titulado “Feel secure while playing” a las 10 de la mañana.

El webinar será orquestado por Jon Llaguno, de Ween Games, y presentado por Nacho Chamorro, Director General de FEJUVES y David Morales, Director General del Instituto Andaluz de la Juventud, posteriormente contará con la intervención del jugador profesional de Team Liquid y campeón del mundo de Hearthstone, Akawonder, y con la de un servidor, que hablaré sobre los riesgos y medidas de ciberseguridad en el campo de los videojuegos.

¡No os la perdáis! Nos podréis seguir en el canal oficial de Twitch de FEJUVES a partir de las 10:00h:

https://www.twitch.tv/fejuves 


4 feb 2021

Publicados todos los resúmenes de C1b3rWall 2020 por Igor Urraza


Buenas a todos, en el post de hoy quería compartiros un artículo que publicó Igor Urraza resumiendo todos los cursos de C1b3rWall 2020. En total, 51 resúmenes de los diferentes talleres online que organizaron Casimiro Nevado y Carlos Loureiro Montero, de CNP, y entre los que tuve el placer de participar como ponente, impartiendo el taller de Introducción al Análisis Forense Digital:


Os dejo con el artículo de Igor, al que aprovecho para agradecer el gran trabajo que ha hecho:

https://blog.iurlek.com/2021/01/c1b3rwall-2020/

Saludos!

3 feb 2021

Empleo en ciberseguridad: ¿hacen falta más profesionales?

Buenas a todos, ayer despedimos al Enemigo Anónimo, la serie documental de C.Otto que nos lleva acompañando durante los últimos meses, y por la que han pasado muchos amigos y compañeros del sector, aportando su punto de vista sobre diferentes temas de rabiosa actualidad. En el último capítulo de la serie, Enemigo Anónimo se centra en uno de los temas más controvertidos, la supuesta falta de talento en el campo de la ciberseguridad. Junto a mi compañero  Daniel González, tuve la oportunidad de participar en este capítulo, compartiendo nuestra opinión al respecto y analizando el verdadero problema que hay detrás, aunque se acabe quedando a un nivel superficial. El tema es muy complejo y podríamos hablar de ello durante mucho tiempo y al final llegaríamos a la misma conclusión, la calidad hay que pagarla, tanto contratando al mejor personal por parte de las empresas y retribuyéndolo como se merece, como por parte de los clientes, que tendrán que entender que las tarifas sean acordes para que dichas empresas puedan retribuir como se merece a sus empleados:  



2 feb 2021

Formatos de imagen de última generación. ¿Merecen la pena?

Desde hace muchos años y hasta hoy día, se siguen utilizando formatos de imagen mejorables en el entorno web. A pesar de existir herramientas de compresión de imágenes, todos nos hemos visto con el problema de que las imágenes de nuestro sitio web sean demasiado pesadas y, por ende, ralenticen la carga de esta.

Esto ha mejorado mucho y han salido nuevos formatos de imagen, aunque en este caso hablaremos sobre uno concreto, por ser el que más compatibilidad ofrece y por estar respaldado por Google.

WebP

WebP format compatibility

Errores comunes

A pesar de no tener una total compatibilidad con todos los navegadores y sus versiones, existen soluciones para conseguir la mayor compatibilidad posible y poder aprovechar los nuevos formatos de imagen.

A continuación, veréis dos casos prácticos del problema y su solución:

  • La utilización de etiquetas de HTML <img> podría ser sustituido por el elemento picture de HTML5, donde nos permite añadir diferentes sources.

  • La utilización de CSS para la aplicación de background podría ser solucionado con la ayuda de Modernizr para mostrar una imagen diferente en caso de la no compatibilidad con WebP del navegador.

  • Soluciones adhoc sobre Javascript, fichero htaccess y módulos de terceros.

Resultados

Hemos realizado varias pruebas para evaluar el potencial de WebP y sin duda, es un gran cambio. En las pruebas realizadas hemos conseguido reducir el peso hasta en un 1162.2% sin pérdida de calidad en imágenes no optimizadas. Esta optimización reduciría también el posible impacto en ataques de tipo DDoS.


Imagen

Peso PNG

Peso WebP

Reducción %



655KB

67KB

877.61%



2.070KB

164KB

1162.2%



698KB

70KB

884.29%

 

Por último, hay que tener muy en cuenta que además de aumentar la velocidad de carga de tu sitio web, mejorarás el posicionamiento en Google 😊


¡Ponedlo en práctica y contadnos cómo os ha ido!

1 feb 2021

Honeypot de aplicaciones Web: Snare (parte I)


Buenas a todos/as, en el artículo de hoy me gustaría hablaros sobre Hardening de servidores. Muchos estaréis conmigo en que no son pocas las tareas que podremos llevar a cabo para fortificar este tipo de activos, pero por presentar un resumen a alto nivel, nos podríamos centrar en:

  • Instalación mínima: menos aplicaciones, menos vulnerabilidades.
  • Integración con las políticas de obligado cumplimiento: política de usuarios, arquitectura de red, actualización de parches, etc. 
  • Posibilidad de marcha atrás: registro de acciones, copia de respaldo.
  • Documentación de cumplimientos e incumplimientos.
Otro paso más teniendo en cuenta los siguientes principios:
  • Necesidad de perdidas de servicio en reinicios.
  • Entorno en preproducción.
  • Uso de canales cifrados siempre que sea posible.
  • Distribución de servicios en diferentes sistemas.
  • Uso de herramientas de seguridad.

En este último principio, podemos avanzar un paso más e implementar adicionalmente un honeypot en nuestro propio servidor. Para quien no sepa qué es y para qué se utiliza, un Honeypot se trata de una tecnología señuelo que podemos implementar en nuestra red y que se utiliza para simular cualquier dispositivo que se nos pueda ocurrir, ya sea un router, o un servidor FTP por ejemplo. El objetivo del mismo es poder utilizarlo para ser objetivo de ataques informáticos para poder detectar, monitorizar y obtener información tanto del atacante, como de las técnicas que use.  En este caso hablamos de un Honeypot de aplicaciones web sucesor del conocido Glastopf, creado por Lukas Rist y llamado SNARE (Super Next generation Advanced Reactive HonEypot). 

Glastopf ha dejado de mantenerse hace algún tiempo, pero por suerte tenemos a su sucesor: Snare, el cual tiene muchas de las características del primero con la capacidad de convertir páginas web existentes en superficies de ataque con Tanner. Tanner podemos definirlo como el cerebro del sensor del honeypot y se centra en analizar datos remotos para evaluar solicitudes HTTP y construir la respuesta a través del propio Snare. Tanner nos proporcionará multiples dorks para Snare multiplicando sus capacidades de atracción.

Entre las características de Snare que pueden resultar atractivas para los atacantes están las siguientes:

  • Algunos tipos de ataques que emula son RFI a través de una sandbox PHP, LFI o inyección HTML con peticiones tipo POST.
  • Los atacantes suelen usar motores de búsqueda y solicitudes especialmente diseñadas para encontrar a sus víctimas. Para atraerlos, Glastopf proporciona estos dorks y los extrae de las solicitudes extendiendo la superficie de ataque rápidamente.

Para instalarlo, necesitaremos disponer de python 3.6 como mínimo para ejecutar snare.

Pasos básicos de instalación:

  1. Obtener snare: git clone https://github.com/mushorg/snare.git && cd snare
  2. Instalar requisitos: pip3 install -r requirements.txt
  3. Instalar: sudo python3 setup.py install
  4. Clonar una página: sudo clone --target https://www.ohhoneyohsugarsugar.com/
  5. Ejecutar Snare: sudo snare --port 8080 --page-dir ohhoneyohsugarsugar.com
  6. Test: http://localhost:8080/index.html

Hay que tener cuidado porque clone por defecto nos copia toda la página, por lo que podemos indicar el máximo de profundidad con el parámetro --max-depth, como muchos ya sabréis.

Otros parámetros interesantes que podemos utilizar con snare son los siguientes:

  • list-pages: nos mostrará la lista de páginas que hemos clonado con clone.
  • host-ip: dirección IP a la que enlazar la página clonada.
  • index-page: nombre del archivo de la página principal, por defecto es index.html
  • server-header: por defecto Snare actuará como servidor nginx.
  • tanner: IP del servicio de Tanner, por defecto tiene el valor slurp.musmush.org

En el próximo post veremos cómo instalar y utilizar las características de Tanner junto a Snare, y la información que podemos obtener con nuestro Honeypot, ¡entre otras cosas!. 

¡Saludos!