Telefónica Innovation Day 2024: Ya puedes verlo en vídeo

El pasado Jueves 17 de Octubre de 2024 tuvo lugar nuestro evento de Telefónica Innovation Day 2024. En él presentamos todos los avances y novedades de lo que hemos estado trabajando en nuestros nuevos proyectos. A lo largo de los meses os he ido dejando ver algunas pinceladas, pero para este día queríamos traer muchas más novedades, y todas las pusimos públicas en este evento.

Figura 1: Telefónica Innovation Day 2024: Ya puedes verlo en vídeo

Ahora lo he subido a Youbute de forma completa, donde puedes ver que está dividido en varias partes claramente diferenciables y que yo voy a ir subiendo cortadas también a mi canal de Youtube, donde sabéis que guardo todas las charlas, entrevistas, conferencias y material en vídeo que hemos ido generando los últimos 20 años.

Figura 2: Telefónica Innovation Day 2024

En la presentación se habla de muchas cosas, de todas ellas os he ido hablando - o lo haré - en este blog, que ya sabéis que para mí es el corazón de mi comunicación al mundo exterior. Pero si seguí la presentación, por cada una de sus partes, tiene esta estructura:

Introducción a la Innovación

• - Time-Line de Innovación en Telefónica
• - Telefónica Innovación Digital
• - Kernel 2.0

Telefónica OpenGateway

• - Telefónica Open Gateway y las APIs de Camara
• - Geo-Fencing con OpenGateway
• - Camara for Drones
• - Protección de Ciberestafas con API Sim Swap
• - Developer Hub & Partner Program
• - Santander X Challenge con OpenGateway

Figura 3: Telefónica Innovation Day 2024: Open Gateway

Hogar Movistar

• - Movistar Prosegur Alarmas con IA
• - Living Apps
• - Movistar Home Connect

Figura 4: Chema Alonso y Antonio Guzman presentan Hogar Movistar

Tu.com

• - Tu Latch

Figura 5: Yaiza Rubio y Chema Alonso presentando Tu Latch

• - Tu Wallet

Figura 6: Yaiza Rubio y Chema Alonso presentando Tu Wallet

• - Tu Quantum Drop
• - Tu Quantum Encryption

Figura 7: Telefónica Innovation Day "Tu Quantum"

• - Tu MethaShield
• - Tu Gallery

Wayra

• - Inversión en Bit2Me
• - Inversión en Perplexity 
• - Living App de Perplexity

Todo el evento, además, se pudo seguir en Spatial, gracias al trabajo del equipo de Metaverso & Web3 de Telefónica Innovación Digital, que se preocuparon de que estuviera todo listo.

Figura 8: Experiencia del Telefónica Innovation Day 2024 en Spatial

Por supuesto, el evento está lleno de muchos más detalles, así que iré completando este artículo a medida que vaya subiendo los vídeos de las diferentes partes, y vaya subiendo nuevos artículos sobre lo que contamos ese día, pero por ahora, tienes material para saber todo lo que contamos allí.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

(UN)Expected Connnections: Telefónica Innovation Day - 17 de Octubre de 2024

Hoy lunes os quería dejar el último aviso para que podáis registraros y asistir al Telefónica Innovation Day que tendremos el próximo día 17 de Octubre de 2024 en horario de tarde, y que podrás seguir por Internet y de forma presencial en el Distrito C de Madrid. Es decir, en nuestros queridos "Head Quarters" de Telefónica.

Figura 1: (UN)Expected Connnections.

Telefónica Innovation Day - 17 de Octubre de 2024

El evento es un evento puro de Innovación y Tecnología. Todo va a girar en torno a ello. A todas las innovaciones que hemos estado haciendo el último año, apoyadas en muchas cosas que hemos ido haciendo en el pasado, porque esto no es un viaje de un año, sino un proceso en el que Telefónica se embarcó desde el nacimiento de la compañía: Innovar para evolucionar a un compañía que sirva mejor a sus clientes.

Figura 2: Welcome & Connecting Ground

La sesión tiene una agenda en tres bloques, muy diferenciados. El primero es el café y las demos en la sala adyacente, donde podrás probar y conocer de primera mano soluciones de las que os he ido hablando en el blog durante este año, mas alguna que aún no he contado. Podrás ver y experimentar demos con

• Telefónica Open Gateway
• Telefónica Aura & GenAI
• Telefónica Living APPS
• Movistar Experiencia Inmersiva
• Movistar Home Connect
• Tu Latch
• Tu Quantum Drop
• Tu VerifAI
• Tu Metashield
• Wayra & Startups invertidas

Todas las tecnologías, y las novedades, las veremos en la siguiente parte del evento, donde daré, con la ayuda de algún miembro del equipo de Telefónica Innovación Digital, la presentación con todas las novedades y detalles de lo nuevo de este año, y lo que aún no se ha presentado.

Figura 3: (Un)expected Connections Talk

Después, una vez acabada la sesión, todos los que asistáis de forma presencial al evento, podréis pasar a la parte de networking, con un vino, algo de comida, y todas las experiencias disponibles para probarlas si no has tenido tiempo.

Figura 4: Afterwork & Connecting Ground

Además, todos los miembros del equipo estaremos presencialmente en la sala para atender cualquier duda, curiosidad, necesidad, solicitud de contacto o de información que quieras. Que para eso es este día, y el evento presencial.

Figura 5: Regístrate al Telefónica Innovation Day

Así que, si quieres asistir a este día, regístrate cuanto antes. Ya hace unos días que estamos gestionando una lista de espera y una sala de desborde, para dar prioridad a clientes y partners en la sala principal, así que en cuanto te registres comenzaremos a buscarte un hueco para ver cómo conseguimos que puedas asistir a nuestro Telefónica Innovation Day.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Casi los últimos vídeos de talks, podcasts, demos y alguna charla mía. @elevenpaths

Estoy ya en la recta final de artículos que voy a dejar publicados en El lado del mal antes del cierre por vacaciones que voy a hacer dentro de nada, y quiero terminar de dejaros toda la información disponible. Ayer os dejé la lista de eventos de aquí a fin de año, hoy quiero dejaros los vídeos que hemos publicado en los últimos tiempos y que aún no os he sacado por el blog. No son muchos y he reservado otra entrada para dejaros todos los vídeos del Security Innovation Day de ElevenPaths - si quieres vivir el evento completo en vídeo - pero los que os dejo hoy dan para entretenerte un rato.

Figura 1: Casi los últimos vídeos de talks, podcasts, demos y alguna charla mía

Los dos primeros que os dejo son dos charlas mías que hice durante los últimos dos meses. Son bastante peculiares porque una es de solo unos minutos para contar alguna experiencia personal liderando equipos durante los últimos 20 años, algo a lo que me invitaron la Revista Forbes y Toyota con motivo de lanzamiento del nuevo Toyota Camry Hybrid, y que se ha resumido en estos menos de 4 minutos.

Figura 2: Rompiendo estereotipos de liderazgo

La segunda es la última charla que hice como CDO en el evento de Big Things, que además tiene la característica de que tuve que hacerla en inglés. En ella hablaba de como hemos ido construyendo en nuestra unidad desde los datos hasta las Living Apps dentro de Movistar+.

Figura 3: From Big Data to Living Apps [Eng]

Continuando con la charla anterior, hay que hablar de dos de las primeras Living Apps que hemos puesto en producción, que son la Living App de Air Europa y la Living App de Iberia. 

Figura 4: Movistar Living App de Air Europa

Hablando de ambas hemos publicado el artículo de Blog Think Big donde puedes tener más detalle de todas las funcionalidades que ofrecen a los más de 800.000 hogares donde hemos puesto en producción estas experiencias.

Figura 5: Movistar Living App de Iberia

Los últimos vídeos que os dejo ya tienen que ver todos con ElevenPaths, ya que son tres Talks, un podcast y la demostración de un nuevo producto. La primera charla es cómo utilizar nuestro SMS Stack SDK para desarrollar soluciones en el entorno IoT mucho más robustas con canal paralelo basado en SMS.

Figura 6: CodeTalk 4 Developers "Stack SMS SDK en IoT"

En ella nuestro compañero Fran Ramírez, del equipo de Ideas Locas , muestra una aplicación práctica de Stack SMS (una arquitectura desarrollada internamente que permite realizar comunicaciones a través de red GSM) para proteger el mundo de IoT frente ataques DDoS.

Figura 7: Contactar con Fran Ramírez

La segunda charla es la dedicada a Ciberseguridad en entornos sanitarios. En ella nuestros compañeros nos hablan de los riesgos de discontinuidad de negocio por culpa de ataques de ransomware o la filtración de información datos sensibles. Una charla que coordina nuestro CSA Lead Claudio Caracciolo.


Figura 8: ElevenPaths Talk "Ciberseguridad en entornos sanitarios
La tercera que queda, que ha sido el último vídeo del año, es la sesión dedicada al uso de técnicas de Machine Lerarning en el mundo de la Ciberseguridad que ha impartido nuestro compañero Enrique Blanco del equipo de Ideas Locas.

Figura 9: Libro de Machine Learning aplicado a Ciberseguridad

La charla, que tenéis a continuación es un pequeño resumen, y a la vez un buen complemento, del libro que tenemos publicado en 0xWord dedicado justo a esta temática, es decir a la Aplicación de Machine Learning en Ciberseguridad: "Técnicas y ejemplos en la detección de amenazas".

Figura 10: Machine Learning aplicado a Ciberseguridad

El siguiente vídeo es el podcast de 11Paths Radio donde se entrevista a Teniente Coronel Juan Sotomayor de la Guardia Civil. Una entrevista de una hora donde podrás conocer de cerca muchas cosas que seguramente desconocías y que tienen que ver con el mundo de los cibercriminales y el delito informático.

Figura 11: Entrevista al Teniente Coronel Juan Sotomayor en 11Paths Radio

Al Teniente Coronel Juan Sotomayor puedes contactarle a través de su buzón público en MyPublicInbox que tiene abierto como muchos de nosotros. Si quieres enviarle algún mensaje personal puedes utilizar su cuenta pública en Internet en MyPublicInbox.

Figura 12: MyPublicInbox del Teniente Coronel Juan Sotomayor

Y el último vídeo, es el que realizamos para la presentación de MetaShield CleanUp Online para Android. Una app que permite analizar documentos y limpiarlos de metadatos desde tu propio terminal Android.

Figura 13: MetaShield CleanUp Online para Android

Tienes información detallada de la utilidad en el artículo del blog de ElevenPaths, y en el vídeo se ve en un par de minutos cómo funciona esta solución.

Figura 14: MetaShield CleanUP Online para Android

Y esto es todo lo que os dejo hoy lunes, festivo en muchas partes. Espero que llene tus ratos libres con mucho aprendizaje y conocimiento, que es la única forma de estar preparado para el futuro, haciendo un trabajo diario de autoformación.


Figura 15: Entrevista en 11Paths Radio a Pilar Vila
Actualización: Antes de terminar el año hemos publicado también este interesante podcast de 11Paths Radio con Pilar Vila, así que os lo dejo también por aquí.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo ubicar fotos en un mapa a partir de sus metadatos

Es impresionante la cantidad de fotografías que tomamos hoy en día con nuestros teléfonos móviles. Casi se puede decir que toda la vida la documentamos con nuestras imágenes. Algunas compartiéndolas en redes sociales y otras simplemente almacenándolas en el terminal o en la nube. Y desde hace mucho años hablamos de los Metadatos que estás contienen y de los posibles riesgos que conllevan si se hacen públicos.

Figura 1: Cómo ubicar fotos en un mapa a partir de sus metadatos

Esta información también ha sido usada en muchos de los Análisis Forenses Informáticos, como el ejemplo del escote de la novia del defacer en la recopilación que se hizo en el 2012. Incluso para el desarrollo de herramientas que permitan determinar el robo de las cámaras o celulares como Stolen Camara Finder, si siguen siendo usadas y las imágenes cargadas en Internet. Hoy en día en cualquier Análisis Forense Pericial es una pieza fundamental de la información que se extrae. Podéis ver alguna de las charlas de Chema Alonso sobre este tema.


Figura 2: Metadata Security 
Esa información que esta dentro de los metadatos de las imágenes, es conocida como EXIF (Exchangeable Image File Format), que es un estándar creado en los años noventa por una empresa japonesa con el objetivo de que los archivos JPEG almacenaran las configuraciones usadas por los fotógrafos al momento de realizar la toma, creando etiquetas para guardar las diferentes informaciones de la configuración.

Figura 3: Tabla con metadatos de ubicación GPS

En el caso de la ubicación se crearon treinta y una etiquetas diferentes que contienen toda la información posible con relación a la geoposición, siendo desde 2004, usado normalmente en todos los dispositivos fotográficos. Para ver el detalle de los GPSTags toca tener en cuenta la tabla de la Figura 3.

Figura 4: Metadatos GPS en Metashield Clean-Up Online

Que son los mismos que se visualizan cuando analizamos una imagen con el producto de ElevenPaths Metashield Clean-Up, tal y como se puede ver en la Figura 4.

¿Cómo podemos ubicar las fotografías en un mapa?

Cuando en el proceso solo tienes una fotografía, es muy simple tomar los valores y colocarlos en maps.google.com, pero si en un investigación o simplemente por curiosidad tomas todas las fotos que tengas en un equipo en el que estés haciendo un peritaje forense judicial y quieres localizarlas todas en un mapa, ya no es tan simple.

Figura 5: Libro de Técnicas de Análisis Forense informático
para Peritos Judiciales profesionales

Lo primero que toca hacer es entender cómo se almacena la información de latitud y longitud en los campos de GPS Tags, para lo que en nuestro tan querido por lo pentesters lenguaje Python existe la librería PIL que permite el manejo de imágenes con una gran cantidad de módulos. Uno específicamente para los datos EXIF, denominado ExifTags.  Con el que se busca específicamente el Tag llamado GPSinfo, que en Python es un diccionario creado con las claves que marca el estándar. Como se puede ver en el siguiente ejemplo.

Figura 6: Accediendo a GPSinfo

Revisando la tabla de la Figura 3, podemos ver qué significa cada campo. Y es en los campos 2 y 4 donde tenemos la información de Latitud y Longitud, respectivamente. Representados en una tupla de 3 campos, donde cada campo es una lista de 2 objetos. Estos datos nos dan Latitud, Minutos y Segundos, respectivamente en cada lista. Teniendo en cuenta que el segundo valor de la lista es la precisión de cada dato. Así que para transformarlos en un valor que se pueda buscar en un mapa, se debe aplicar la siguiente formula para cada campo

• Latitud = primer campo de la tupla*precisión en ese campo de la tupla
• Minutos = Segundo campo de la tupa / 60 * precisión en ese campo de la tupla
• Segundos = Tercer campo de la tupla / 3600 * precisión en ese campo de la tupla

Para el ejemplo que estamos haciendo, sería:

• Latitud = 33*1
• Minutos = 26 / (60*1)
• Segundos = 163327 / (3600*10000)

Y calculados sobre este ejemplo concreto que estamos viendo, el resultado es el que se puede ver en la imagen siguiente.

Figura 7: Latitud y Longitud calculados a partir de los campos 2 y 4

Ya se tienen los valores, solo falta tener en cuenta la referencia de ubicación, o sea si es Norte o Sur para la Latitud y si es Oeste o Este para la Longitud. Esto nos da el signo a usar. Si es Sur la Latitud es negativa y si es Este la Longitud es negativa, por lo que para nuestro ejemplo quedaría así:

Figura 8: Ajustadas las referencias

Si tenemos muchas fotografías y queremos ubicarlas todas en el map, debemos hacer este proceso con cada una de las imágenes, para lograr tener todas las ubicaciones y poder mostrarlas en un mapa con marcas usando, por ejemplo, la API de Google. Para usarla se requiere obtener una API Key aquí.

Figura 9: Resultado de ubicaciones mostradas en maps.google.com

Para hacerme más fácil todo este proceso, cree en Python un pequeño script al que llamé GPSpicture que esta disponible en GitHub, por si a alguien le viene bien en alguna investigación o simplemente por curiosidad quieran localizar en el mapa todas las imágenes cuya versión de EXIF sea 2.2 y contengan los datos de localización.

Figura 10: GPSPicture en GitHub

Autor: Diego Samuel Espitia Montengro (@dsespitia) CSA de ElevenPaths en Colombia

Todas las sesiones del Security Innovation Day 2018 de @ElevenPaths en vídeo

La semana pasada tuvimos ya la sexta edición de nuestro Security Innovation Day 2018 de ElevenPaths, donde contamos algunas de las cosas en las que hemos estado trabajando durante este año, para que nuestros clientes pudieran conocerlas de primera mano, así como probarlas en los puestos que montamos en el descanso.

Figura 1: Todas las sesiones del Security Innovation Day 2018 de ElevenPaths en vídeo

Ahora están disponibles ya todas ellas para verlas online, así que las hemos subido a Youtube para que puedas verlas tranquilamente desde dónde quieras, y cuándo tú puedas. Éste es el evento completo.

01.- Opening Session

La primera de las charlas la impartieron Pedro Pablo Pérez, CEO de ElevenPaths, y Julia Perea, Directora de Seguridad Digital de Telefónica de España. En ella se contaron las principales novedades durante este año, con foco en el anuncio de la disponibilidad de nuestros servicios en modo Self-Service Online, como mASSAP Online, Faast For WordPress o Latch. 

Figura 2: Opening Session

Además, se explicó cómo funcionan nuestros Security Operation Centers, el trabajo en la Telco Security Alliance, o las vulnerabilidades descubiertas por nuestros equipos de investigación este año, como la última que hemos publicado de CISCO.

02.- On the path towards an Intelligent MSSP

En la segunda sesión, se pudo ver en detalle todo lo que estamos haciendo para construir la mejor red de Security Operations Centers para construir el mejor servicio MSSP. Ahora mismo, nuestros servicios están reconocidos como uno de los mejores por los analistas de la industria, como verás en la presentación, pero aún estamos innovando en ese servicio para mejorar. 

Figura 3: On the path towards an Intelligent MSSP

Alberto Sempere, Director de Producto en ElevenPaths y Ester Tejedor [X] se encargaron de explicar todo este trabajo en detalle.

03.- Our princess is "always" in other castle. Chasing innovation.

Sesión para el equipo de innovación, en la que Sergio de los Santos y Gonzalo Álvarez Marañón se encargaron de contarnos algunas de las tecnologías y patentes en las que hemos estado trabajando. Merece la pena que veas esta charla para que conozcas algunos proyectos como Capacicard o SmartPattern que hemos patentado.

Figura 4: Our princess is "always" in other castle

04.- Beyond innovation

En esta charla Rames Sarwat y Yaiza Rubio (junto con Antonio Bordón) , nos contaron más detalles  sobre nuestro producto estrella de este año. Stela Filetrack, la solución para gestionar el Shadow Data Lake que son todos los ordenadores personales y servicios que utilizan tus usuarios para gestionar documentos.

Figura 5: Beyond innovation

Un producto que permite a cualquier departamento de IT, de Seguridad o CDO, gestionar los documentos que están más allá de los repositorios centrales. En esta tecnología hemos integrado todas nuestras tecnologías documentales, como SealSign, MetaShield Protector, SealPath y Shadow, para hacer una solución "Enterprise Ready" que permita hacer "magia" con los documentos de la compañía.

05.- Corporate APT using FakeNews

En esta charla, que dimos Martina Matarí - del equipo de Seguridad Digital de Telefónica y ganadora del último challenge de Cybersecurity en la Defcon - y yo, hablamos de los ataques a los empleados de una empresa. Comenzamos por los ataques a las identidades, después a los usuarios y acabamos con los ataques a la reputación de los empleados con FakeNews.

Figura 6: Corporate APT using FakeNews

Como ya os he contado, hice una demo con una FakeNews que utilizaba DeepFakes para hacer un vídeo falso mío y contar una noticia falsa que pudiera afectar a la reputación de un empleado. Tenéis más información de esto en el post de "How to Face Swapping Chema Alonso & Axl Rose using DeepFakes".

Saludos Malignos!

Chema vs Malware: Un juego en Scratch con FOCA y Latch

Este verano estuvo compartiendo unas semanas con nosotros en las oficinas de ElevenPaths en Valencia, una joven promesa de la informática de tan solo 14 años llamado Joan Ruiz Berenguer, estudiante del instituto público IES Districte Marítim ubicado en la misma ciudad. Ayer mismo, en el Security Innovation Day 2018 lo anunciamos, y hoy lo tenéis por aquí.

Figura 1: Chema vs Malware: Un juego en Scratch con FOCA y Latch

Joan ya había demostrado su creatividad siendo muy joven, tal y como nos cuenta su padre, Marc Ruiz:

“Joan desde muy pequeño le han encantado los talleres porque es muy creativo. Ya con cartón y pegamento se construía sus artilugios (manos de lobezno, cajeros automáticos,...). También fabricaba (y lo sigue haciendo) juegos de mesa con todo detalle de instrucciones, tablero, dados, …”.

Con 9 años descubrió el stop-motion y se lanzó a crear su primera animación usando esta técnica que podéis ver aquí o en su canal de Youtube (también tiene su cuenta en Twitter, @JoanRuiBere). Pero su verdadera pasión son los videojuegos, por eso cuando descubrió Scratch se puso manos a la obra para crear los suyos propios. Joan es un fan de Chema Alonso así que le propusimos que hiciera un juego basado en él utilizando esa misma plataforma ya que los juegos iban a ser el tema del Security Innovation Day 2018.

Figura 2: Joan Ruiz Berenguer en su cuarto con su ordenador. Fuente: Marc Ruiz

El juego se llama “Chema vs Malware” y consiste en ir arreglando los ordenadores que un Evil Chema (lo podéis distinguir por el color del gorro, de color rojo) intenta acceder o instalar malware. Pero, además, en función del tipo de acción realizada sobre el ordenador, será necesario utilizar una de nuestras aplicaciones que tenemos en ElevenPaths para poder solucionarlo.

Figura 3: Evil Chema, la FOCA y Chema Alonso en el juego

Por ejemplo, si es intento de acceso, tenemos que instalar Latch (tecla Z), si por otro lado es una fuga de información, lo podemos solucionar instalando MetaShield Protector (tecla X). Otras de nuestras herramientas que aparecen en el juego son nuestra querida FOCA y también Tacyt.

Figura 4: Juego completo de Chema vs Malware en Scratch

Además, también existen “Power-ups” como en otros videojuegos clásicos. Si aparece un icono de la FOCA, podemos utilizarlo para directamente reparar todos los ordenadores que hayan sido manipulados (FOCA rulez!). Por otro lado, también aparece una tabla de "Skateboard" que nos permitirá ir más rápido por un tiempo limitado y así llegar antes a los equipos.

Figura 5: Power-Up de FOCA y smartphone sin cobertura Wi-Fi

El juego tiene varios niveles en los cuales la complejidad se incremente, aumentando el número de ordenadores y la velocidad del Evil Chema. Como misión adicional, tendremos también que recoger los smartphones que veamos y llevarlos a una zona donde tengan cobertura Wi-Fi. En este vídeo tenéis una pequeña demo de cómo es el juego.


Figura 6: Demo de Chema vs Malware
El juego, como podéis ver los más veteranos está inspirado en el famoso XBill de GNU/Linux, pero Joan lo ha interpretado de forma personal y creativa a nuestro mundo en ElevenPaths.  Es para nosotros todo un honor que alguien tan joven tenga a Chema Alonso como referencia. Esto nos motiva y ayuda a todo el equipo para ir mejorando, con el objetivo de concienciar y servir de ejemplo a estas nuevas generaciones.

Autor: Fran Ramírez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

Hace no mucho, el laboratorio de ElevenPaths me sorprendió con un proyecto de los suyos que iba a llevar uno de mis productos favoritos, MetaShield, a todos los usuarios de Skype, Telegram o Slack. La idea es bastante sencilla, y a la vez bastante útil y cómoda. Se trata de integrar el motor de limpieza y análisis de metadatos que utiliza MetaShield como un bot de las plataformas Skype, Telegram o Slack.

Figura 1: Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

El bot se puede invocar y hablar con él para extraer y analizar los metadatos de cualquier documento ofimático, y las únicas limitaciones que tiene son temporales. Es decir, el número de limpiezas que se puede hacer desde una determinada ubicación es de 2 por hora, aunque la integración que hemos hecho con la plataforma de bots permitiría hacer una limpieza de hasta 500 documentos a la hora, pero eso sería para implantaciones empresariales que lo requieran.

Figura 2: MetaShield Bot Skype

El funcionamiento es bastante sencillo, así que hemos grabado estos tres vídeos que explican el proceso de localización del bot en cada una de las plataformas - son bots públicos con los que cualquiera de vosotros puede interactuar -, como hacer el análisis de metadatos de un determinado documento y cómo limpiarlo.

Figura 3: MetaShield Bot Slack

Esto lo presentamos en el pasado Security Day de ElevenPaths, donde también hablamos de Dario - un proyecto que aparece en los vídeos de los bots de MetaShield - que sirve para analizar malware en macros de documentos ofimáticos, pero subiendo solo las partes del documento que son necesarias para ese análisis, lo que ayuda a dotar de más privacidad al documento. Pero eso es otra cosa que os contaremos más adelante.

Figura 4: MetaShield Bot Telegram

El el blog de ElevenPaths tenéis más información de estos tres bots de MetaShield en Skype, Telegram y Slack, y en la web de ElevenPaths tenéis información de todos los productos de la familia MetaShield Protector, incluida la versión de MetaShield Clean-up Online que permite analizar y limpiar metadatos en documentos con un sitio web.

Saludos Malignos!

Los metadatos de Bin Laden (los de sus discos duros) #BinLaden #metadata @elevenpaths

Ya os he recogido muchas historias en el pasado sobre el Análisis Forense de Metadatos que llevaron a escándalos o revelación de información muy sensible. Las historias detrás de los metadatos suelen ser, cuanto menos, entretenidas y curiosas, y en algunas ocasiones reveladoras. En el libro de CRIME INVESTIGATION: Historias de investigación forense en las que los peritos resolvieron el caso,  recogimos algunas de ellas, centrándonos en descifrar los detalles de cómo pasó lo que pasó. Y hoy toca hablar de otro caso similar, el caso de los discos duros de Bin Laden [Parte I y Parte II].

Figura 1: Los metadatos de Bin Laden (los de sus discos duros)

Como sabéis, en Informática 64 le prestamos mucha atención a los metadados desde el principio. Así nació la FOCA, y la Nueva FOCA - de la que tenéis un seminario online especial este próximo 28 de Diciembre - continúa con la misma filosofía.  De la FOCA empezamos a derivar la familia de herramientas de seguridad de MetaShield Protector, orientados a proteger las fugas de datos de compañías por medio de los metadatos.

Figura 2: Pentesting con la "nueva" FOCA. 28 Diciembre. Online

Pero de toda la familia de tecnologías creadas alrededor de MetaShield Protector, hay dos que las usamos en todas las investigaciones: MetaShield Clean-Up Onlline (que permite analizar los metadatos de un documento vía web), y MetaShield Forensics, que permite analizar los metadatos de todos los documentos de un disco duro.

Figura 3: Vídeo Tutorial de MetaShield Forensics

Con estas herramientas y mucha paciencia, nuestros compañeros del Laboratorio de ElevenPaths suelen echarle un ojo en detenimiento a todos los incidentes en los que hay documentos, como ya se hizo con WannaCry y los documentos que apuntaban a Messi y ahora acaban de hacer con los archivos de los discos duros de Bin Laden.

Figura 4: Análisis de un fichero del equipo de Bin Laden con MetaShield Clean-Up Online

En los dos artículos que han publicado hasta el momento, se han analizado cosas curiosas. Se han mirado las muestras de los ficheros marcados como malware por los investigadores de la CIA y se han mirado uno por uno a ver si eran falsos positivos, falsos negativos o es lo que los investigadores tenían más datos que los conocidos.

Figura 5: Time-line de metadatos en todos los ficheros creado con MetaShield Forensics

Además, se han revisado los ficheros de volcados de memoria por errores o por entrada en hibernación del sistema. Estos archivos, desde hace mucho tiempo, son fundamentales en las investigaciones y siempre se hace un Análisis Forense de la Memoria RAM de los equipos  que se estudian.

Figura 6: Análisis con Mimikatz del fichero hiberfil.sys

De ellos se extraen URLs de servidores proxy en uso, direcciones visitadas, y muchas cadenas de texto que pueden contener de todo, hasta las contraseñas de acceso a servicios - como ya vimos en el caso de los procesos de los navegadores con Firefox.

Figura 7: Credenciales almacenadas en Firefox

En el caso de los discos duros de Bin Laden, no hay gestores de contraseñas, pero sí passwords almacenadas en los gestores de Firefox, algún fichero de texto, e incluso alguna contraseña en texto utilizada para el cifrado de comunicaciones entre terroristas.

Figura: Manuales de hacking entre los documentos

De hecho, siguen manuales similares al que salió a la luz pública hace tiempo sobre hacking y terrorismo del que os hablé en el artículo "Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad". Entre los archivos se puede encontrar algún manual de hacking que explica los mecanismos utilizados.

Figura: Índice con metadatos de todos los archivos de Bin Laden

Para que sea más fácil ver todos los documentos, hemos publicado una pequeña herramienta web que permite navegar por todos los ficheros y buscar por sus metadatos, así que podéis usarlo como índice para vuestras propias investigaciones.

Saludos Malignos!

OWASP ZSC (ZeroDay Cyber Research ShellCoder): Weaponizing ShellCodes

A menudo podemos utilizar la herramienta msfvenom de Metasploit para poder llevar a cabo la generación de shellcodes o código ofuscado para que los exploits consigan ejecutarlos sobre los objetivos. La herramienta msfvenom es una de las fundamentales en el mundo de la seguridad, pero hoy queremos hablar de otras herramientas que pueden complementar a la gran msfvenom de Metasploit. Una shellcode es un pequeño código Assembly el cual puede ser utilizado como un payload o parte de él en una explotación de software.

Figura 1: OWASP ZSC "Weaponizing ShellCodes"

Además, en otros ámbitos también son utilizados: el propio malware o la fase de bypass de antivirus, son claros ejemplos. La posibilidad de personalizar las shellcodes es algo interesante, desde el punto de vista ofensivo, ya que nos permite poder evadir y hacer más difícil la posible detección o contramedida en este caso. La herramienta OWASP ZSC utiliza nuevos encodes y métodos que, al principio, tendrán una menor detección por parte de los antivirus. OWASP ZSC permite generar miles de shellcodes de forma dinámica, a través del uso de encodes aleatorios. La herramienta puede ser descargada desde su Github.

Figura 2: GitHub OWASP ZSC

Con esta herramienta, OWASP, ha trabajado en la creación de nuevos métodos de ofuscación. Esto lo llevaron a cabo durante el último Google Summer of Code. Además, se está buscando penetrar en el área de shellcodes para macOS, lo cual hace que esta herramienta gane en interés. Lógicamente, aún no está, desde mi punto de vista, a la altura de herramientas como msfvenom, pero si el proyecto sigue adelante, la cosa promete.

Figura 3: OWASP ZeroDay Cyber Research Shellcoder

La instalación de la herramienta es sencilla: python installer.py, una vez descargado el código desde su Github. Accedemos a la herramienta ejecutando el comando zsc, previa instalación realizada. Como se puede ver en la imagen, las posibilidades que ofrece la herramienta van directamente relacionadas con la selección de las shellcodes, el listado de éstas y la ofuscación que se puede llevar a cabo.

Figura 4: Comandos de OWASP ZSC

Otra de las opciones que permite hacer las herramientas es listar las shellcodes disponibles. Para ello se puede hacer uso del comando shell_storm_list, una vez cargada la opción shellcode. El listado de shellcodes es el que se tiene disponible en el sitio web de Shell Storm, un sitio web que ofrece una gran cantidad de shellcodes para distintas plataformas y arquitecturas.

Figura 5: Shellcodes en OWASP ZSC

Para ejemplificar el uso de la herramienta, seleccionamos una de las shellcodes disponibles. Para este caso, utilizamos la ruta shellcode/generate/windows_x86/[shellcode]. Si quisiéramos utilizar otra ruta para otra plataforma, sería del tipo: Windows_x86_x64, Linux, etcétera. Para mostrar en el ejemplo, seleccionamos la shellcode add_admin, cuyo código permitirá que cuando se ejecute aparezca un nuevo usuario en el sistema con privilegios de Administrador.

Tras seleccionar la shellcode se puede introducir el nombre del usuario y la contraseña seleccionada. Tal y como se puede ver en la imagen, se preguntará por un encoder después de introducir los datos anteriores.

Figura 6: Generación de shellcode con creación  de un usuario administrador

Se nos preguntará si queremos almacenar los resultados en un fichero assembly o de Lenguaje C. Por otro lado, podremos mostrar la shellcode directamente en pantalla. En la imagen se puede ver un ejemplo de esto. Al final obtenemos una serie de OpCodes, los cuales forman nuestra shellcode. Es el momento de introducirlos en el exploit con el objetivo de que el código que se ejecute, una vez comprometida la máquina en el proyecto de Ethical Hacking, sea el que hemos generado.

Figura 7: Selección de encoder para la shellcode

Para finalizar el ejemplo, configuramos la shellcode en un exploit contra la máquina remota. En sitios como exploit-db existen muchos exploits que podéis modificar y, además, tienen la versión del software vulnerable para que descarguéis y configuréis en vuestro laboratorio con el objetivo de poder probar y aprender.

En la imagen, se puede ver como se ha creado un usuario llamado “pepe” con privilegios de Administrador y que tiene como contraseña “1234”. En este instante, el pentester puede lograr acceso a la máquina a través de este código ejecutado aprovechando la vulnerabilidad.

Figura 8: Creación de usuario con la shellcode

Sin duda, OWASP ZSC es una herramienta que debemos llevar en la mochila del pentesting, ya que es un gran complemento a msfvenom. Además, el listado de shellcodes proporcionado desde Shell Storm ayuda a enriquecer el proceso. Si no lo has probado, te recomendamos que la pruebas.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths