lunes, diciembre 05, 2016

Desconexión Invernal

Hoy es el día que he decidido comenzar mis vacaciones. Ha sido un año intenso en todos los sentidos, y desde que comenzó no he dejado de trabajar ni una semana. No he tenido vacaciones ni he descansado nada. Es verdad que tenía muchas cosas en las que centrarme, pero lo cierto es que se han tomado casi todos los días de mi año y puedo contar con los dedos de una mano los días que he estado en algo parecido a descansar. Ya me toca comenzar un periodo de Desconexión Invernal.

Figura 1: Desconexión Invernal

Como el año pasado, he decidido que la mejor forma de hacerlo es desconectar de mi vida digital durante un rato y centrarme en actividades del mundo físico. Así que voy a ver cómo me organizo para nadar, patinar, esquiar o montar en bici. Escuchar música, y olvidarme del ruido digital y laboral para ocuparme cosas de mi vida personal y no profesional. Voy a ver si encuentro un poco de conexión entre lo que hago y lo que es bueno para mí.

Aún tengo alguna cosa que hacer en mi trabajo, con compromisos ineludibles de mis responsabilidades que me van a obligar estar un poco atento, pero serán solo esos que ya tengo grabados a fuego en su slot de tiempo, y el resto de este periodo estaré off. No contestar e-mail, no responder mensajes de ningún tipo, no publicar en blog, no publicar en las redes sociales. Un poco de desconexión de mi “yo” online para conectar un poco más con mi “yo” offline.

Volveré en Enero, después del día de Reyes Magos o por ahí, según me apetezca, y tendréis algún artículo publicado en el blog a lo largo de estas Navidades que ya he dejado programado, pero el resto del tiempo el volumen de actividad bajará mucho por decisión propia, así que no os extrañéis y no os preocupéis por mí. Solo voy a comenzar un pequeño periodo de Desconexión Invernal.

Saludos Malignos!

domingo, diciembre 04, 2016

Becas Talentum en Seguridad: Hoy última oportunidad

Desde el área de Operaciones y Gestión de Seguridad de la Información, hemos abierto unas becas Talentum para seleccionar a un grupo de jóvenes que quieran venirse a pasar unos meses aprendiendo y trabajando en nuestros equipos de seguridad de información, y hoy es el último día para solicitar participar, así que no lo dejes pasar.

Figura 1: Becas Talentum en Seguridad de la Información

Las pruebas tienen una primera fase online que se cerrará hoy domingo a las 12:00 de la noche, así que si quieres participar debes hacerlo ahora. Los requisitos para participar los tenéis en la convocatoria de las mismas, que os dejo en el siguiente enlace: Becas Talentum en Fundación SEPI.

Figura 2: Becas Talentum abiertas hasta hoy mismo

Como os he dicho, un equipo de estas becas se vendrá directamente con nosotros al área de seguridad, a la parte de gestión y operaciones de seguridad, así que os garantizo que serán unos meses intensos haciendo muchas cosas con seguridad. 

ElevenPaths o LUCA-D3

Si quieres venirte a trabajar en ElevenPaths o LUCA-D3, ya sabes que siempre estamos buscando a gente que disfrute de la tecnología y quiera crear "caramelos", así que puedes contactar con nosotros vía hello@luca-d3.com o talent@11paths.com y te evaluaremos. 

Saludos Malignos!

sábado, diciembre 03, 2016

Cómo proteger WordPress con Latch Cloud TOTP #WordPress @elevenpaths #Latch

En ElevenPaths hemos implementado la funcionalidad de Cloud TOTP para que puedas proteger tus cuentas más utilizadas con la herramienta Latch. Como se explicó anteriormente con Gmail/Google, Microsoft Live/Outlook Online, Dropbox, Facebook y Amazon, hoy vamos a centrarnos en WordPress para ver cómo podemos integrar y proteger nuestra cuenta con Latch Cloud TOTP.

Figura 1: Cómo Proteger WordPress con Latch Cloud TOTP

Antes de comenzar con el proceso de configurar Latch Cloud TOTP en WordPress, queremos recordar que para WordPress existe un plugin oficial de Latch que te permite hacer uso de todas las funciones que ofrece Latch, como el uso de OTP, el planificador temporal de apertura y cierre,  el autolock, enterarte en tiempo real de si alguien con tu contraseña se ha conectado o ha intentado hacerlo, y tener una lista de todos los accesos e intentos de accesos en el log. Para configurar Latch en WordPress tienes un manual y aquí tienes un vídeo de cómo hacerlo en solo 10 minutos.

Figura 2: Proteger WordPress con Latch en 10 minutos


Ahora, para comenzar a usar la opción de Latch Cloud TOTP lo primero que tienes que asegurarte es de tener la última versión de Latch para Android o Latch para iPhone, incluido Latch para Apple Watch que te permitirá tener los Cloud TOTP en tu muñeca.

Figura 3: Latch para Apple Watch con Cloud TOTP & Latches

Si no tienes cuenta de Latch aún, en estos dos artículos tienes una explicación paso a paso de cómo abrir tu cuenta para gestionar tus protecciones:
- Cómo comenzar a usar Latch en tu vida digital desde hoy
- Cómo empezar a usar Latch
Preparando WordPress para autenticación TOTP

Para poder aprovechar esta capacidad tendremos que disponer de un plugin que permita el uso de TOTP como doble factor de autenticación. En nuestro caso utilizaremos el plugin de Two Factor Authentication. Para instalar este plugin iremos al apartado “plugins” de nuestra cuenta y seleccionaremos “Añadir nuevo”, usaremos el buscador para encontrar el plugin y lo instalaremos para después activarlo.

Figura 4: Plugin Two Factor Authentication

A continuación entraremos en el apartado “Two Factor Auth” de nuestro menú, donde podremos observar distintas opciones de configuración.

Figura 5: Configuración del Plugin de Two Factor Authentication

En la parte inferior tenemos los ajustes avanzados, donde nos aseguraremos de que la opción TOTP este activada.

Figura 6: Activación del plugin

Después procederemos al escaneo del código QR con la aplicación de Latch para añadir el nuevo servicio que queremos proteger.

Figura 7: Configuración de la protección TOTP en la cuenta

Una vez lo hayamos hecho nos dirigiremos a la parte superior de la ventana y activaremos la protección pulsando sobre “Enabled” y después sobre “Guardar Cambios”.

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 8: Configuración de Latch Cloud TOTP en la app

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Two Factor Authenticator nos presentó anteriormente. En el momento que lo hagamos o introduzcamos los datos de la semilla "seed" manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que se nos muestra este mensaje, tendremos protegida nuestra cuenta de WordPress con Latch Cloud TOTP.

Iniciando sesión con Latch Cloud TOTP en Wordpress

Ahora, nos dirigimos al login de Wordpress e introducimos nuestro usuario y contraseña. Una vez validado, el sistema de login nos solicitará información sobre el código TOTP, tal y como se puede ver en la imagen siguiente. El segundo factor de autenticación está correctamente configurado en la cuenta de WordPress y podremos utilizar nuestro Latch para acceder a ese valor haciendo clic en la opción de PIN.

Figura 9: Login de WordPress protegido con TOTP

En nuestra aplicación de Latch debemos disponer de una entrada Latch Cloud TOTP que tenga el mismo nombre del servicio (en este caso localhost/wordpress) y generando tokens para la cuenta de WordPress que hayamos integrado con TOTP. Hay un botón, en dicha fila, con la palabra 'Pin' que deberemos pulsar para que nos genere un TOTP que será válido durante un breve período de tiempo (30 segundos), tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 10: Latch Cloud TOTP token para la cuenta de WordPress

Una demo de esto con el proceso completo de configuración de Latch Cloud TOTP en WordPress la tienes en este vídeo


Figura 11: Cómo configurar Latch Cloud TOTP en WordPress

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura.

Más recursos de fortificación de WordPress

Como punto final, os dejo una lista de recursos que os pueden venir bien si estáis administrando un WordPress o queréis aprender cómo fortificarlo de verdad. Estos son libros, vídeos, papers y artículos publicados que os pueden ayudar.

[Libro] Máxima Seguridad en WordPress
[Libro] Hardening GNU/Linux
[Paper] WordPress in Paranoid Mode (Parte 1)
[Paper] WordPress in Paranoid Mode (Parte 2)
[Vídeo] Proteger WordPress con Latch
[Vídeo] Proteger WordPress con Latch Cloud TOTP
[Vídeo] MyWordPress in Paranoid Mode (conferencia Chema Alonso)
[Vídeo] MyWordPress in Paranoid Mode (ElevenPaths Talks de Pablo González)
[Vídeo] Ejemplo de uso de Latch en WordPress
[Vídeo] WordPress Demo XSS en WP-UserAgent
[BlogPost] My WordPress in Paranoid Mode
[BlogPost] Máxima Seguridad en WordPress
[BlogPost] Hackear un WordPress con Network Packet Manipulation
[BlogPost] Fortificar comunicación entre WordPress y MySQL
[BlogPost] Fortificar WordPress frente a ataques de fuerza bruta
[BlogPost] Cómo robarle las contraseñas a los administradores de WordPress
[BlogPost] Agrupar el control de varios WordPress con un solo Latch
[BlogPost] WordPress: Time-Based XSPA (Cross-Site Port Attack)
[BlogPost] Cómo debería ser un WordPress un poco más seguro
[BlogPost] WPHardening: Automatizar fortificación de WordPress
[BlogPost] Protege los borradores de los artículos de tu WordPress
[BlogPost] Registro de cuentas en WordPress públicos
[BlogPost] Riesgos en la ejecución de tareas de Cron
[BlogPost] WordPres: XSS en plugin WP-UserAgent
[BlogPost] Listar los plugins de WordPress en un pentest
[BlogPost] WordPress: SQL Injection en Scarcity Builder Plugin

Por último, como se puede ver en la lista de recursos, es posible jugar con Latch para proteger WordPress de muchas maneras como Latch en las cuentas, Latch Cloud TOTP en las cuentas, Latch como 2FA de las tablas para configurar el Modo Paranoico o Latch para controlar varios WordPress. Pero si tienes una idea para Latch, recuerda que puedes ganar 5.000 USD con el concurso de plugins de Latch de este año. Y si quieres ayuda, puedes contactar con todos nosotros en la Comunidad de ElevenPaths.

Autor: Sergio Sancho (ElevenPaths)

viernes, diciembre 02, 2016

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras Críticas. Es el número 43 de la colección, y en esta ocasión la temática elegida ha sido una de las más importantes en la corriente de Industria 4.0 que se nos viene hoy encima.

Figura 1: Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación

Su autor es Juan Francisco Bolívar, y ha volcado su experiencia en la auditoría de estos sistemas para explicar cómo se auditan sistemas PLCs a través de los diferentes interfaces de acceso, cómo funcionan los protocolos HMI o cuál es la arquitectura de los sistemas SCADA que se implantan en muchas fábricas automatizadas a diferentes niveles.

Figura 2: Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación

El libro se centra en explicar las tecnologías que forman parte habitualmente de los sistemas industriales, cuáles son sus protocolos y sistemas, para después pasar a explicar cómo se pueden localizar los objetivos, cuáles son las herramientas necesarias para realizar una auditoría de seguridad y termina dando buenas prácticas y recomendaciones para la fortificación de los mismos. Os he subido el índice del libro a mi SlideShare.

Figura 3: "Infraestructuras Críticas y Sistemas Industriales: Auditorias de Seguridad y Fortificación"

La portada es obra de Rodol, que como veis se ha lucido con el diseñado haciendo una de las que a mí personalmente más me han gustado. Una pieza preciosa para mi colección particular de libros. 

Saludos Malignos!

jueves, diciembre 01, 2016

Lávate las manos antes de tocar tu smartphone o el equipo C.S.I. sabrá cómo eres

Hoy quería aprovechar para dejaros un paper que me han llamado la atención sobre cómo perfilar quién y cómo eres a través de tu smartphone utilizando técnicas forenses. Me ha llamado la atención porque a diferencia de lo que pensaba el paper no tiene nada que ver con analizar los datos dentro del terminal sino de analizar los productos que tus manos dejan al tocarlo. El artículo se titula "Lifestyle chemistries from phones for individual profiling".

Figura 1: Lávate las manos antes de tocar tu smartphone o el equipo C.S.I. sabrá cómo eres

Cada contacto deja restos, y las cosas que vas tocando en tu vida van quedando latentes en tus manos, pero además tus manos son parte de tu cuerpo, y algunos de los productos químicos que están dentro de ti, como aquellos tomados por tratamientos médicos especiales, pueden aparecer en tu piel, lo que hará que tal vez terminen en un terminal al tocar la pantalla táctil.

Figura 2: Artículo sobre el perfilado de personas por el rastro químico en sus smartphones

El paper lo que ha tratado de investigar es si se podía clasificar a una persona a partir de los restos químicos que quedan en un terminal, lo que podría ser una nueva forma en el futuro de hacer un perfilado rápido de las personas - al estilo que hacen los controles de aeropuerto cuando te capturan muestras de sudor o sustancias en una maleta o un pantalón -.

Figura 3: Captura de datos de diferentes voluntarios usando diferentes terminales móviles

En la muestra se han utilizado diferentes tipos de personas voluntarias, que han utilizado diferentes tipos de terminales con diferentes tipos de pantallas, que han sido analizados durante distintos momentos, que ha sido analizado para generar análisis de qué muestras y en qué ubicaciones de la pantalla se han descubierto esos restos químicos.

Figura 4: Proceso de análisis y atribución de terminal y estilo de vida

Con estas muestras se ha podido analizar los restos químicos del "estilo de vida", es decir, de las cosas en su día a día que una persona ha hecho. Además se ha hecho un análisis espacial para poder inferir la geometría y tamaño de la mano derecha del voluntario.

Figura 5: Restos químicos que apuntan a diferentes elementos del "estilo de vida"

Para saber el estilo de vida se han analizado los restos moleculares para localizar aquellos que aparecen en algún tipo concreto de producto de belleza, medicamento o alimento, con el fin de poder realizar un perfilado del voluntario.

Figura 6: Perfilado de voluntarios con su estilo de vida

Al final, el análisis final del trabajo consigue unir el estilo de vida, con el terminal móvil y la persona gracias a haber realizado un estudio espacial de la mano de cada uno de los voluntarios, lo que lleva a una identificación bastante concreta de cada uno de los que participaron en este experimento.

Figura 8: Atribución de personas por la geometría de su mano

Al final, el consejo de tu madre de lavarse las manos es muy importante, pero vamos a tener que empezar a trabajar con guantes al estilo Gattaca para no dejar nuestro perfilado completo en el terminal. O tal vez el próximo sensor que tenga el iPhone 8 o los nuevos Android sean sensores para acceder a tus muestras químicas de las pantallas y te pedirán permiso para acceder a él y poder perfilarte mejor para tener "better ads".

Saludos Malignos!