Gremlin Botnets: El club de los poetas muertos [Parte 6 de 6]

Y paso a paso llegamos a la última parte de esta serie. Ya hemos visto cómo puede robar fácilmente el control de una Cuenta de Developer de Android de un desarrollador si se caduca la cuenta de correo electrónico asociada a ella. Esto es algo que puede ocurrir por muchas factores, como que la cuenta de e-mail sea abandonada, o el fallezca el desarrollador y nadie elimine sus apps o tome control de ellas "legítimamente".

Figura 60: Gremlin Botnets: El club de los poetas muertos [Parte 6 de 6]

En la prueba que hicimos en la parte anterior de este artículo vimos como habíamos sido capaces de localizar con un test no demasiado grande un total de ocho cuentas de desarrolladores que podíamos controlar al ser capaces de tomar posesión de sus direcciones caducadas de correo electrónico. Pero si evaluamos ahora el impacto que estas cuentas tienen, el resultado es muy grande.

Impacto de la investigación de "los poetas muertos"

Al final, un desarrollador tiene varias apps subidas a Google Play, y cada una de esas apps tiene una base de usuarios que las han instalado. Es decir, una cuenta de desarrollador puede traer miles o cientos de miles de dispositivos móviles que unir a nuestra Gremlin Botnet por medio de convertir una a una todas esas apps en nuevas Gremlin Apps.

Figura 61: Lista de apps afectadas

En nuestro caso, con solo 8 cuentas de desarrollador se podían controlar un total de 35 diferentes apps, todas ellas con un diferente número de instalaciones, como podéis ver en la tabla, llevando a que un atacante se hiciera con una Gremlin Botnet de apps que poder volver maliciosas de una forma sencilla y de un tamaño considerable.

En nuestra investigación, el número total de instalaciones activas de estas apps ascendía a un nada desdeñable número de 4.854.350 descargas, lo que da una clara idea de la magnitud del problema que se puede producir si no se controla la caducidad de las cuentas de correo de los desarrolladores de las apps que tú, como administrador del parque móvil y/o responsable de seguridad de una empresa, no controlas.

Figura 62: Clasificación de los paquetes APK de apps en riesgo

Por supuesto, todos los paquetes de las apps que tienen una cuenta de desarrollador con una dirección de e-mail que cualquiera puede registrar debe levantar una alerta en todos los sistemas de seguridad, por eso en Tacyt, mASAPP y CyberThreats se generan esos reportes de seguridad que, si tienes la gestión de seguridad automatizada con una plataforma tipo SandaS GRC para ver tus indicadores de riesgo, te muestra la situación en tiempo real en cualquier cuadro de mandos.


Figura 63: Control del riesgo digital con SandaS GRC

Por supuesto, el problema, desde el punto de vista de seguridad, es un poco mayor y no nos podemos quedar aquí, ya que si tenemos la cuenta de un desarrollador de una app, probablemente esa aplicación necesitará infraestructura, y puede que también esté en riesgo.

Cuenta de developer, cuenta de infraestructura

Al final, cuando un desarrollador hace una aplicación móvil, probablemente necesite un backend donde almacenar datos. A este backend, que puede ser un servidor en un proveedor de hosting, o un entorno de cloud IaaS o PaaS, tendrá algún nombre de dominio, que seguramente esté registrado a su nombre, etcetera.

Es decir, si tienes una dirección de correo electrónico que pertenece a un desarrollador, probablemente también tengas la cuenta que abre muchos otros servicios de infraestructura que se pueden descubrir simplemente abriendo el código de la app extrayéndolo del APK y viendo a qué servidores se conectan, algo que como sabéis hacemos en Tacyt.

Figura 65: Links extraídos en Tacyt de una app

Por supuesto, una vez descubiertos esos servidores de backend, un atacante puede utilizar esa cuenta para ver si el desarrollador la ha utilizado como identificador del servicio. Algo muy común, pero que no debería haber pasado nunca.

El día que utilizamos la dirección de correo electrónico como identificador de cuentas, convertimos algo que debería ser siempre público (una dirección de mensajería) en algo que no tiene por qué ser público, el id que abre una zona segura en una plataforma. Una de las cosas por las que dije aquello de que el e-mail estaba muerto, ¡larga vida al e-mail!

Tacyt & CARMA: Investigar en el mundo del malware

Como muchas veces hemos contado, en ElevenPaths hacemos muchas investigaciones al respecto del malware, adware, cibercrimen o mejoras de seguridad en el mundo de las apps móviles, y compartimos esas investigaciones con otros centros de formación, organizaciones y empresas. Así, tenemos un programa de colaboración para investigación en Tacyt para evolucionar los sistemas de seguridad del mundo de las apps móviles. Nuestro compañero Sergio de los Santos ha dirigido investigaciones con la Universidad Politécnica de Madrid e IMDEA o con la Universidad Piraeus en Grecia, donde hemos dado acceso a nuestra plataforma a sus equipos de investigación. 

Figura 66: CARMA ofrece muestras de malware en apps para investigadores

Y ahora hemos dado un paso más con el lanzamiento del programa Curated Android Malware APK Set (CARMA), que es un servicio gratuito ofrecido por el área de Innovación y Laboratorio de ElevenPaths. En él se proporciona a los investigadores un conjunto de muestras de malware, adware y otros archivos potencialmente peligrosos recopilados para el sistema operativo Android. Estas muestras tienen un uso exclusivamente destinado a la investigación o estudio académico y está prohibido su uso para cualquier otro fin, lucrativo o no.

Figura 67: Solicitud de participar en el programa CARMA

El fin de estos conjuntos es proporcionar muestras de calidad que puedan ser utilizadas para su análisis en sistemas expertos, Machine Learning aplicado a Ciberseguridad, nuevas ideas usando Inteligencia Artificial o cualquier otro método que permita mejorar la detección futura de este tipo de amenazas.

Figura 68: Tipo, año y tamaños de las muestras que se pueden solicitar

Como se puede ver, en él se ofrece un conjunto de varios Gigabytes de muestras de malware completas en su formato original, no alteradas y clasificadas por año, origen y tipo de amenaza. Desde Google Play y otros markets de aplicaciones, PUP, adware, malware, etcétera, todas ellas clasificadas por años desde 2017, y  donde también hay goodware.

Conclusiones finales y PPTs

El smartphone se ha convertido en el centro de nuestra vida digital personal, y por tanto las apps son parte de nuestro desarrollo persona, profesional y en sociedad. Necesitamos tener un ecosistema seguro de aplicaciones móviles para salvaguardar nuestra vida digital.

Entender los riesgos, las amenazadas y como gestionar esos peligros es fundamental. Las Gremlin Botnets bajo el control de grupos cibercriminales o de ciberespionaje son un riesgo importante para gobiernos y empresas. Las Gremlin Apps son un riesgo para las personas en Internet que pueden ver su vida totalmente comprometida.

Figura 69: Cómo protegerse de los peligros en Internet

En esta investigación solo quisimos poner de manifiesto cómo, si no tomamos precauciones, el poseedor de una Gremlin Botnet puede tener un poder muy peligroso, y por lo tanto todos tenemos que colaborar en su erradicación.

Figura 70: Gremlin Botnets: El club de los poetas muertos

Para terminar os, dejo las diapositivas que utilicé para la presentación de esta charla en RootedCON 2020 subidas a mi SlideShare, donde podéis ver resumido todo este largo artículo de seis partes. Esperamos que esta investigación os haya sido de utilidad y podáis aplicar alguna medida de contención de estos riesgos.

Saludos Malignos!

*********************************************************************************

- Gremlin Botnets: El club de los poetas muertos [Parte 1 de 6]

- Gremlin Botnets: El club de los poetas muertos [Parte 2 de 6]

- Gremlin Botnets: El club de los poetas muertos [Parte 3 de 6]

- Gremlin Botnets: El club de los poetas muertos [Parte 4 de 6]

- Gremlin Botnets: El club de los poetas muertos [Parte 5 de 6]

- Gremlin Botnets: El club de los poetas muertos [Parte 6 de 6]

*********************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)

ElevenPaths Security Day 2017: Cybersecurity beats... en vídeo

En el Canal de Youtube de ElevenPaths se han publicado todas las charlas que se impartieron durante el pasado Security Day 2017, en las que se hablaron de temas tan diversos como el WannaCry, la aplicación del GDPR, las tecnologías BlockChain o las nuevas tendencias en ciberinteligencia.

Figura 1: ElevenPaths Security Day 2017. Cyberecurity beats

Todas las charlas han sido divididas en pequeñas sesiones, para que sea mucho más fácil que las vayas viendo una a una. Además, durante los próximos días, en el Blog de ElevenPaths podrás ir accediendo a artículos que acompañarán con explicaciones cada una de las charlas. Aquí las tienes para que las disfrutes.

Figura 2: Keynote 

Figura 3: Alianza entre ElevenPaths & CheckPoint 

Figura 4: Alianza entre ElevenPaths & Open Cloud Factory 

Figura 5: CyberThreat Alliance 

Figura 6: BlockChain 

Figura 7: Eroski, Sandas GRC & GDPR

Figura 8: Preparados para GDPR con Sandas GRC 

Figura 9: Startups y emprendedores en Ciberseguridad 

Figura 10: CounterCraft 

Figura 11: Technology Experiences 

Figura 12: ¿Qué fue de Path 6? Hola, mASAPP 

Figura 13: Hack your attitude. Ganadores de Latch Plugin Contest

Os esperamos ahora esta semana en nuestra próxima cita, ahora con LUCA en el evento de este 15 de Junio que hemos titulado "Changing the Game with BigData". 

Saludos Malignos!

Security Day 2016_: Todas las presentaciones en vídeo

Ya hemos publicado los vídeos de todas las sesiones que se realizaron durante el Security Day 2016 de Eleven Paths para que puedas ver todo lo que presentamos allí. Para que te sea mucho más cómodo verlas, hemos dividido todas las sesiones vídeos cortos clasificados por temáticas concretas, así que puedes verlos seguidos o uno a uno seleccionando el que más te apetezca en cada momento.

figura 1: Security Day 2016_. Todas las presentaciones en vídeo

Ya os iré desgranando una a una las novedades en el blog de Eleven Paths, porque hemos presentado integraciones de Faast con FortiWeb, de MetaShield Protector con FortiGate, hemos presentado MetaShield Protector for Exchange Server en entornos privados, pero también como versión App para Office 365. Además, en la sesión hemos hablado de las novedades de SandaS y SandaS GRC - preparados para entornos de Ciberseguridad Industrial - y hemos hablado de nuestros servicios de Data Loss Detection además de los proyectos de Firma Digital integrando certificados digitales y firma digital manuscrita. Todo ello, en los siguientes vídeos y en este artículo tienes un resumen de lo principal.

Figura 2: Bienvenida por Chema Alonso & José Luis Gilpérez 

Figura 3: Keynote por Chema Alonso

Figura 4: Unidos somos más fuertes

Figura 5: Unidos somos más fuertes - Fortinet

Figura 6: Virtual Patching - FortinWeb & Faast

Figura 7: SandaS

Figura 8: SandaS GRC para ciberseguridad industrial

Figura 9: Hack Your Future! Entrega de premios

Figura 10: Firma Digital con SealSign

Figura 11: Data Loss Detection

Espero que este fin de semana, estos vídeos de entre 2 y 30 minutos llenen tus huecos de relax con algo de información que te pueda ser útil.

Saludos Malignos!

Security Day 2016_: Security Evolution [Madrid]

Un año más repetimos nuestro calendario en Eleven Paths y antes de irnos de KickOff y hacer la parada veraniega, hacemos un catch-up públicamente con todo lo que hemos avanzado en este periodo de tiempo en la parte tecnológica. Esta será la tercera edición del Security Day, y lo hacemos para enseñaros demostraciones de nuestras tecnologías, junto con proyectos que hemos implantado usando los productos, y alguna novedad que esperamos que os guste.

Figura 1: Security Day 2016_ - Security Evolution

En la agenda vamos a hablar de Virtual Patching y cómo utilizar Faast con sistemas WAF para el parcheo en caliente de vulnerabilidades. Vamos a hablar de cómo hemos desplegado servicios de firma digital con certificados digitales habilitados con firma digital manuscrita y protegidos con Latch. Vamos a hablar de como hemos utilizado SandaS GRC y Vamps en el control de sistemas industriales y SCADA.

También vamos a hablar de novedades con MetaShield Protector para Exchange Server y MetaShield para Office 365. Vamos hablar de nuevas alianzas estratégicas que hemos firmado con Fortinet o las integraciones que hemos hecho con CheckPoint y Kaspersky. Y vamos a hablar de las implementaciones con Sinfonier y Latch que se han hecho en los concursos.... y alguna sorpresa más. Esta es la agenda que tenemos preparada.

Figura 2: Agenda del evento

El evento es para clientes y profesionales y tendrá lugar en Madrid, el día 26 de Mayo, en el auditorio Rafael del Pino sito en la calle Rafael Calvo 39A. Será únicamente por la mañana y habrá un café y un cóctel al terminar.

Figura 3: Ubicación del evento

Para asistir hay que registrarse previamente y se confirmará las plazas a los asistentes por correo electrónico ya que hay un aforo limitado y debemos respetarlo, así que si quieres asistir, regístrate cuanto antes e intentaremos reservarte tu sitio.

Saludos Malignos!

Security Innovation Day 2015_ disponible en vídeo

El equipo de comunicación de Eleven Paths no ha tardado en editar todas las charlas del pasado Security Innovation Day 2015 para que las tengáis disponibles y podáis verlas si no pudisteis venir al evento o si no pudiste conectarte por streaming online. Las hemos divido en varias partes, para que sea aún mucho más fácil elegir el momento que quieres ver de toda la sesión. Para que el evento fuera como lo vas a ver online, los equipos trabajaron fuerte y duro. Desde la imagen que se eligió para el evento, el montaje y el diseño de todo el auditorio, las camisetas de Latch que se entregaron a los asistentes que trajeron su app con alguna identidad pareada, los ponentes y sus demos, los equipos de Product Management, IT, Comunicación, UX, Ingeniería y QA para conseguir que las cosas funcionaran como las vas a ver, etcétera.

Figura 1: Security Innovation Day 2015_ disponible en vídeo

Fue un trabajo enorme, y no importa cuántas veces lo haya dicho, me sigo sintiendo orgulloso de poder trabajar con ellos y ver día a día como hacen las cosas. Gracias a todos los que os dejasteis un poquito de vuestra sangre por conseguir que esa demo funcionara, que ese detalle estuviera en el sitio adecuado o que los asistentes estuvieran a gusto. Espero que, si no lo has visto hasta ahora, puedas disfrutar de las presentaciones - que están disponibles para descarga en la web del evento -

Figura 2: SID2015 - Bienvenida

Figura 3: SID 2015 - Amenazas más grandes significan necesidades más grandes

Figura 4: SID2015 - El control de tu identidad digital está en tus manos

Figura 5: SID2015 - Ciberseguridad, Comunidad Técnica y Concursos

Figura 6: SID2015 - Decisiones de seguridad que pueden salvar tu negocio:

Data Protection in the Cloud Era

Figura 7: SID2015 - ¿Me vas a creer a mí o a tus propios ojos? El dilema de la seguridad gestionada

Figura 8: SID2015 - Preventing Data Breaches. Nir Zuk, Founder y CTO de Palo Alto Networks

Figura 9: SID2015 - Conclusiones y despedida

Si has visto las charlas, habrás visto que está todo lo que os he ido contando estos días y algo más. A lo largo de este mes que viene aún os iré desgranando algún detalle más de lo que vamos haciendo, que en Eleven Paths tenemos la suerte de poder jugar con la tecnología día a día y siempre hay algo nuevo en lo que merece la pena pararse a mirar.

Figura 10: Parte del equipo de Global Security en Eleven Paths y Telefónica de España

Adoro este trabajo que tengo y la gente con la que lo comparto. Rocks!

Saludos Malignos!