Transferencia de archivos privados con Tranxfer y marcados contra filtraciones con Shaadow.io

Los equipos de Shaadow.io y Tranxfer nos hemos unido para darnos una solución frente a un problema diario. Una pandemia, un mundo globalizado y la constante digitalización de las empresas, son las motivaciones detrás esta alianza. Los canales digitales han abierto la puerta a un nuevo modelo de comunicación, más rápido y eficiente, y se ha multiplicado el intercambio de información, y el envío de documentos entre empleados y entre empresas.

Figura 1: Transferencia de archivos privados con Tranxfer

y marcados contra filtraciones con Shaadow.io

Cómo consecuencia de esta masificación de envíos, se pierde mucho del control que tienen las empresas cuando estos archivos se comparten en la red y el entorno de trabajo de los empleados, y pasan a enviarse vía plataformas de transferencia de documentos públicos a través de Internet. 

Shaadow.io

Fue para resolver dicha problemática, por lo que nació “Shaadow.io”, que identifica el origen de un documento que aparece filtrado en la red. Tienes en este blog publicados algunos artículos sobre Shaadow.io que ayudan a explicar bien cómo se puede utilizar esta tecnología para proteger la información.

• Protección del Secreto Empresarial con Shaadow.io
• Shaadow.io: Encuentra al miembro de tu equipo que filtra la información
• Cómo poner una marca oculta Shaadow.io a los documentos IMPRESOS que entregas para saber quién lo filtró
• Cómo poner una marca oculta Shaadow.io a la documentación que te piden las empresas para saber quién no la protegió bien

Shaadow.io crea marcas invisibles al ojo humano y las inserta en los documentos, generando copias únicas para cada usuario. Estas marcas permiten, en caso de detectar una filtración de información, a quién pertenece este documento.

Figura 2: Localiza al leaker que filtra los documentos confidenciales de tu empresa

El vídeo anterior es una situación en la que una empresa o un ejecutivo se puede encontrar constantemente, pero es que estas marcas han ayudado a compañías a lograr defender sus activos legalmente y ganar juicios millonarios, como la marca que que puso ATARI en su juego CENTIPEDE que le ayudó a ganar la contienda legal.

Tranxfer

Por su lado, Tranxfer es una solución B2B para el envío de documentos a través de Internet entre personas, en un entorno privado y seguro. Los administradores de la compañía tienen control sobre qué documento se envía, quién lo envía, a donde lo envía, quién y desde dónde lo ha descargado, cuántas veces y durante cuánto tiempo está disponible.

Figura 3: Transferencia de ficheros cifrados y controlados con Tranxfer

Una solución que evita que la información de tu compañía esté colgada en URLs públicas en plataformas de transferencia de archivos gratuitas en Internet, que hace que el control de la información que tienes en tu empresa sea nulo.

Tranxfer + Shaadow.io

Volviendo al contexto actual, con el elevado número de ciberataques que ocurren día tras día no para de crecer, y las filtraciones de documentos de empresas están cada día llenando los titulaares de las noticias, hemos decidido acordar la integración de Shaadow.io en la plataforma “Tranxfer”, dónde desde ahora también se pueden marcar los documentos con la marca invisible y localizar las fugas de documentos de tu compañía.

Figura 4: Tranxfer y Shaadow.io se han integrado para el control de la información enviada

Ahora enviar archivos seguros y marcarlos para detectar posibles fugas de información es más fácil e intuitivo. Solo tienes que acceder al panel principal de Tranxfer, e introduce los destinatarios, el asunto y el mensaje del correo electrónico, en la parte izquierda del interfaz.

Figura 5: Panel principal de Tranxfer

Una vez hecho esto, solo queda subir el documento al espacio destinado para ello en la parte derecha de la pantalla, y activar la marca invisible de Shaadow.io, tal y como ves en la imagen siguiente, pulsando en el icono de la huella dactilar.

Figura 6: Activación de Shaadow.io en Tranxfer

Hecho esto, ya se puede enviar la transferencia pulsando sobre el botón de “Enviar de forma segura” y le llegará una notificación por correo electrónico a todos los destinatarios. Los usuarios, cómo emisores, podrán acceder a la trazabilidad de la transferencia y ver todos los movimientos que están haciendo los destinatarios.

Figura 4: Resultado de la extracción de la marca Shaadow.io

En caso de que el documento apareciera filtrado, sólo con hacer una foto de éste y hacer la extracción de la marca tanto desde la plataforma Shaadow.io como también desde Tranxfer, podremos extraer la marca oculta y saber quién es el responsable de entre los destinatarios a los que se le envió la transferencia de este documento.
aaa

Figura 5: Transferencia de archivos privados con Tranxfery marcados contra filtraciones con Shaadow.io

Puedes ver en este vídeo cómo funciona el proceso completo y paso a paso del  marcado de archivos con la tecnología Shaadow.io en Tranxfer. Y si quieres integrar Shaadow.io en tu plataforma, o en tus procesos de control de información, en proyectos DLP, GDPR, o detección de fugas de datos o enemigos internos, no dudes en ponerte en contacto con nosotros. Escríbeme, y yo te ayudo con el proceso completo.

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

Protección del Secreto Empresarial con Shaadow.io

Hoy estoy aquí para informaros que el próximo martes 28 de junio a las 18.00h (hora española) en las instalaciones de Wayra Madrid, el equipo de shaadow.io hablará sobre protección del secreto empresarial junto con Kymatio, startup dedicada a la formación a empleados en ciberseguridad. 

Figura 1: Protección del Secreto Empresarial con Shaadow.io

Además contaremos con la participación de Carlos Seisdedos, reconocido experto en ciberinteligencia y autor del libro "Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet" de 0xWord, que comentará cuál es el contexto en el que nos encontramos y los principales problemas a solucionar. 

Figura 2: Contactar con Carlos Seisdedos

Colaboran también con nosotros Women4Cyber y PETEC, la Asociación Profesional de Peritos de Nuevas Tecnologías que nos acompañarán durante el evento.

Figura 3: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet
de Vicente Aguilera y Carlos Seisdedos en 0xWord

Ya hemos hablado mucho por este blog de las posibilidades de Shaadow.io, pero os dejo la lista de artículos para que puedas consultarlos y te animes a venir con nosotros al evento que tendrá lugar el próximo día 28 de Junio después del horario laboral.

• Shaadow: Encuentra al miembro de tu equipo que filtra la información

• Cómo poner una marca oculta Shaadow a la documentación que te piden las empresas para saber quién no la protegió bien

• Cómo poner una marca oculta Shaadow a los documentos IMPRESOS que entregas para saber quién lo filtró

Te invitamos a acompañarnos presencialmente en este evento, para ello es necesario que confirmes asistencia enviando un e-mail con tus datos personales (nombre, apellidos y número de DNI) a shaadow@shaadow.io. 

Figura 4: Shaadow. Localiza al leaker que filtra los documentos confidenciales de tu empresa

Posteriormente al evento, tendremos tiempo de charlar. Las plazas presenciales son limitadas. No obstante, el evento será en formato híbrido, por tanto, si no puedes acompañarnos, también puedes seguir el evento a través de nuestro perfil de LinkedIn y Twitter @shaadow_io. ¡Te esperamos! 

Un saludo,

Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

Cómo poner una marca oculta Shaadow a los documentos IMPRESOS que entregas para saber quién lo filtró

Una de las ventajas del uso de Shaadow.io es que aquellos documentos marcados con esta plataforma permiten la trazabilidad de los mismos aunque hayan pasado del formato digital al físico. Es decir, podremos saber la identidad de la persona que lo ha filtrado porque la marca y la información insertada en ellos con la tecnología de Shaadow.io se mantendrá aunque dicho documento sea impreso, escaneado, fotografiado o se le haga una captura de pantalla.

Figura 1: Cómo poner una marca oculta Shaadow.io a los documentos

IMPRESOS que entregas para saber quién lo filtró

Hasta ahora, la mayoría de soluciones de trazabilidad documental se basaban en la inserción de una serie de metadatos que se perdían en cualquiera de los escenarios anteriores. Si atendemos a las últimas noticias de filtraciones, observaremos que además son los más comunes: el contrato de Messi que destapaba El Mundo el año pasado había sido claramente impreso y, posteriormente, escaneado. Más reciente es el caso de los documentos filtrados acerca de las negociaciones entre Rusia y la OTAN, cuyos papeles fueron filtrados a El País por medio de fotografías (y/o una app destinada a escanear documentos con el teléfono móvil).

Figura 2: Contrato de Messi publicado por El Mundo

Actualmente, todo el mundo cuenta con esos dispositivos, y hacen falta tan solo unos segundos para que un tercero se haga con la información confidencial de otra persona si tiene acceso a esos documentos. Y por eso el artículo de hoy. Ya vimos en el primer artículo cómo utilizar Shaadow.io para localizar al miembro que filtra los documentos de una organización, y vimos cómo utilizar Shaadow.io para marcar la documentación que nos piden online las empresas y organizaciones con el objetivo de saber, si se filtra en el futuro, quién fue el responsable. Hoy vamos a ver el mismo proceso, pero con documentos impresos en papel.

Figura 3: Shaadow. Localiza al leaker que filtra los documentos confidenciales de tu empresa

Lo primero que haremos será seleccionar un documento, por ejemplo un CONTRATO DE ARRAS. Para este caso de uso protegeremos un contrato de arras tipo, empleados en operaciones de compra-venta de fincas. Una vez hecho esto, y habiendo creado un perfil en shaadow.io previamente, abrimos nuestro usuario y nos vamos a la zona de “Marcar” del menú lateral izquierdo, pinchando en “Marcar y descargar”.

Figura 4: Marcar y Descargar para luego IMPRIMIR

En el formulario, seleccionamos dicho contrato e introducimos las marcas con las que queramos protegerlo. Cada una de estas marcas vinculará una copia del CONTRATO DE ARRAS original con el destinatario al que la enviaremos. En este caso y al tratarse de un contrato de arras, utilizaremos las siguientes:

• nombre.apellido@banco.com
• nombre.apellido@inmobiliaria.es
• nombre.apellido@bufeteabogados.com 
• nombre.apellido@notaria.com.

Figura 5: Marcas a poner en cada documento IMPRESO

Una vez introducidas pulsamos en “Subir” y el sistema procesará cada una de ellas. Cuando el proceso haya finalizado, podremos descargar un .zip que contendrá cada una de las copias protegidas.

Figura 6: CONTRATOS DE ARRAS marcados listos para imprimir

En este caso, el fichero ZIP contendrá cuatro carpetas, una por cada marca. En cada una de ellas encontraremos el PDF que hayamos procesado pero con su correspondiente marca invisible, listo para enviar al interesado.

Figura 7: Los cuatro CONTRATOS DE ARRAS marcados listos para IMPRIMIR

Ahora, imprimimos los contratos, nos sentamos en la mesa, y los firmamos con nuestros bolis o plumas. Son cuatro documentos impresos, con marcas Shaadow.io totalmente invisibles. Pongamos por caso que uno de esos documentos se filtrase, intencionadamente o no, porque la cadena de custodia del mismo ha fallado. Por ejemplo, si alguien que lo imprimió para firmarlo lo ha descuidado y un tercero ha aprovechado la circunstancia para tomar una fotografía con su móvil.

Si esa fotografía llega hasta nosotros o se publica, tal y como aparece en la siguiente imagen, podremos determinar quién ha sido el culpable u origen de la filtración. Solo con una FOTO del documento IMPRESO, será suficiente.

Figura 8: FOTO del CONTRATO DE ARRAS IMPRESO y 

enviada por WhatsApp que queda pulibcada.

Cogemos la imagen y, como creadores de la marca, la procesamos en la plataforma de shaadow.io. Para ello entramos con nuestro perfil y nos vamos a la zona de “Extracción”, donde elegimos el documento (ya sea en formato PDF o JPG) y le damos al botón de “Subir”.

Figura 9: Extracción de marca de la foto de WhatsApp

Una vez hecho esto, la plataforma de Shaadow.io nos devolverá como resultado quién de las cuatro personas con acceso a ese documento ha sido la culpable de descuidar la cadena de custodia. En este caso, la marca que aparece en la imagen filtrada es nombre.apellido@bufeteabogados.com, lo que nos permitirá emprender acciones legales contra ellos por no proteger del modo más adecuado nuestra información.

Figura 10: De la foto del CONTRATO de ARRAS IMPRESO

y enviado por WhatsApp se puede extraer la marca Shaadow.io

Como ya se ha indicado anteriormente en este artículo, una de las formas más habituales de filtración de documentación confidencial de manera deliberada es a través de la ruptura de los medios de protección y trazabilidad digital más extendidos, aprovechando su vulnerabilidad o inefectividad en formatos físicos (Impresiones), ante capturas de pantalla (Screen-grabbing) o fotos robadas con el móvil.

Figura 11: Prueba gratis Shaadow.io

Hay métodos que no dan acceso a esos documentos o a su impresión si no se tiene una acreditación para ello, pero es adecuado complementar estas herramientas con otras que cierren los posibles agujeros que puedan surgir ante determinadas prácticas. Una de ellas es Shaadow.io, que nos protege en circunstancias y escenarios en las que otras tecnologías basadas en  Blockchain, que solo prevalecen en el formato digital, no tienen capacidad de acción. 

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

Not a Game: Un documental en Netflix sobre el mundo del gaming

Hace un tiempo que me pidieron una pequeña colaboración para un documental que ahora tenéis en Netflix. El objetivo era hacer una aproximación al mundo de los vídeo juegos para que los que piensan que es solo pérdida de tiempo entiendan que este mundo es mucho más serio y profesional que lo que muchos creen. El documental, que tenéis en Netflix se llama "Not a Game", y le va que ni al pelo el título.

Figura 1: Not a Game: Un documental en Netflix sobre el mundo del gaming

Yo hoy en día no soy muy jugón. Pero sí he jugado cuando era mucho más joven, y jamás le diría a un niño o una niña que no jueguen. De hecho, me encantan los juegos complicados que te obligan a pensar mucho y tener mucha destreza para conseguir pasar una fase. Y esto es algo que le digo a los padres, ya que la mayoría de los juegos son escenarios de Problem-Solver donde el jugador debe descubrir de qué manera resuelve un problema.

Figura 2: Not a Game en Netflix

El documental, como os he dicho, lo tenéis en Netflix, y dura poco más de hora y media, pero por si quieres tener más detalles de qué va, os dejo aquí este trailer publicado en Youtube donde podéis haceros una idea de cuál es el objetivo del documental.

Figura 3: Trailer de Not a Game

No veáis este documental porque penséis que yo salgo mucho, ya que mi aparición es meramente puntual, sino por si queréis conocer más este mundo de forma profesional en el que una gran parte de la población está participando.

Figura 4: SmartWifi Gaming-ON para dar prioridad al tráfico de red de los gamers

Para nosotros Gaming es clave, y por eso hemos metido en el roadmap de SmartWiFi Gaming-ON o el nuevo dashboard de Gamers que tendrá Movistar Home y que anunciaremos esta misma semana. No pienses nunca que son solo "jueguitos".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

The Social Dilema o Cómo la Inteligencia Artificial ha superado la debilidad humana y puede zombificarnos

Este fin de semana pude ver el documental de Social Dilema en Netflix, que se centra en explicar cómo las redes sociales han creado sistemas de Inteligencia Artificial para maximizar el negocio. Y para hacer esto, en una plataforma donde el objetivo es vender muchos anuncios estas Inteligencias Artificiales se han creado en conseguir lo que quieren los anunciantes y como se aplican a las redes sociales, motores de búsqueda, servicios de todo tipo en la red. Cambiar tu comportamiento para los que pagan los anuncios o "post promocionados de propaganda".

Figura 1: The Social Dilema o Cómo la Inteligencia Artificial

ha superado la debilidad humana y puede zombificarnos

Para poder hacer esto, necesitan muchos datos de ti. Datos, datos, datos, datos. Capturados de todas partes y lugares. Y cuando se tengan esos datos crear sistemas de Inteligencia Artificial que maximizan el beneficio de la empresa a largo plazo, así que se centran en subir el impacto de los anuncios, en subir el tiempo que las personas que están conectadas, y en conectar a más personas cada vez - y que ninguna se desconecte -.

Figura 2: Datos en tiempos de Cambridge Analytica

Una ecuación mágica de tres factores que arrastra a las personas de un lado a otro poco a poco. Así, polariza a las personas en política. Difunde lo que más retención temporal genera sin premiar la veracidad. Y convierte a las personas en un producto que hay que domesticar en pro de los que pagan: Los anunciantes. Y estos pueden tener el objetivo que sea.

Figura 3: Solo hay dos industrias que llaman usuarios a sus clientes (en inglés).

 La venta de drogas ilegales y las plataformas de software.

El documental cuenta perfectamente el proceso de "zombificación" o "domesticación" de las personas tal y como si se tratara de animales de granja que han sido domesticados para dar leche o lana. En este caso  se domestican a los "usuarios" convirtiéndolos en adictos de las plataformas con el objetivo de que "den dinero" para vender su tiempo y su cambio de comportamiento a los anunciantes. 

Figura 4: Usuario siendo "ordeñado" en la plataforma

Una cosa fantástica que escenifica como para cada uno, cuando se conectan a la "maquina de zombificar" se utiliza una realidad distinta. Así, lo que ves en la plataforma son noticias diferentes, falsas, cocinadas, intencionadas, para ir creándote una lista de "hechos" que te hagan pensar que la realidad que tú ves es la correcta y que los demás es que "no se enteran".  Conseguir incluso que los países "implosionen" por dentro con núcleos radicalizados.

Figura 5: Cada uno vemos nuestra propia realidad en la red

Y eso hace encima que defiendas a los que han pagado los anuncios, las campañas de fake-news, etc... vehementemente. Esa parte me recuerda cuando tuve que prohibir memes y referencias políticas en mi grupo de amigos de WhatsApp para garantizar no ser infectados.

Figura 6: Misma búsqueda, distinta persona, distintos resultados

El documental merece la pena que lo veas, porque representa muy bien los algoritmos de Inteligencia Artificial "ordeñando" a los usuarios para que suba la retención, para que suban los ingresos, o para que suba la atracción de terceros, mediante el etiquetado de fotos o las notificaciones.

Figura 7: Algoritmo de Machine Learning analizando al usuario para "zombificarlo"

La disciplina de Growth Hacking que busca esos tres parámetros: Más usuarios, más tiempo en la plataforma, más efectividad de los anuncios de los anunciantes. Y tenemos la plataforma perfecta. La granja de domesticación de usuarios para que den dinero viendo anuncios. De hecho, viendo el documental me acordé de la herramienta de Facebook Data Valuation Tool que medía cuanto estás generando para Facebook por el mero hecho de pasar tiempo en su plataforma.

Figura 8: Facebook Data Valuation Tool

El documental impacta visualmente, y explica muchos conceptos con extrema sencillez. Tal vez si eres tecnólogo y llevas años viendo como evoluciona la tecnología y los servicios de Internet conozcas todo lo que se explica, pero verlo visualmente narrado y contado es una delicia.

Figura 9: Cada uno tenemos nuestra realidad que nos atrapa y refuerza

Además, hay un concepto del que hemos hablado ya muchas veces del que os traigo esta gráfica. Se ha hablado muchas veces de cuándo será el momento en el que la IA supere a la inteligencia humana. La llegada de la singularidad. Por ahora lo que tenemos es que la IA está superando la Paridad Humana en muchos y diversos aspectos concretos de resolución de problemas concreto y habilidades cognitivas, pero lo que sí que tenemos claro que la IA ha superado a la debilidad humana.

Figura 10: La IA ha superado a la debilidad humana

De esto hablé en mi discurso en la acto en el que me dieron el título de Doctor Honoris Causa, donde explicaba que una IA vendiendo anuncios a adictos a cualquier cosa no va a parar, ya que su éxito es el del anunciante. El de la empresa de casinos online, el de la venta de cosas, el de las operaciones de cirugía estética a adolescentes, el de consumo de lo que sea. Si una IA detecta una debilidad en unos usuarios que genera dinero en su plataforma, la va a explotar sin preocuparse si es bueno o no para la persona. Y entre ellas se encuentra la radicalización.

Figura 11: El documental muestra estudios que plantean que el incremento de los suicidios crece afectado en parte por la agresividad de este proceso de "ordeñado" en las RRSS

Ver este documental de The Social Dilema es obligado para todos los que cuando miráis vuestro tiempo de uso del terminal móvil es alto. Para que te des cuenta de que te están ordeñando para ellos. Que te están robando el tiempo de tu vida para maximizar un beneficio que no tiene que ser tuyo, y que, te lo garantizo, no es el tuyo.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) - Consigue 100 Tempos en MyPublicInbox

Shadow: Cómo localizar al que filtra la información en tu empresa

Durante el pasado Security Innovation Day 2016 hubo muchas noticias que merece la pena que os vaya desgranando. De todas ellas, hoy quiero destacar lo que muchos habéis podido leer ya en los medios de comunicación: La adquisición de la tecnología Shadow del Centro de Tecnológico de Galicia, Gradiant y que pasa a formar parte de la familia de soluciones que tenemos para la protección de la información que circula en documentos.

Figura 1: Shadow. Cómo localizar al que filtra la información en tu empresa

La estrategia que hemos seguido durante estos años para construir nuestro portfolio de soluciones se ha basado en la construcción de soluciones a problemas mediante la generación de alianzas estratégicas con empresas de referencia, más el enriquecimiento de nuestra oferta desarrollando nuestros productos, adquiriendo tecnologías o invirtiendo en empresas, como representa esta imagen que utilicé en la presentación del evento y que recoge un poco la línea temporal de adquisiciones, inversiones y desarrollo de productos.

Figura 2: Descripción de inversiones, adquisiciones y creación interna de productos en ElevenPaths.

En concreto, dentro de la solución de Data Protection, durante los últimos años hemos estado avanzando en la gestión documental segura en las empresas para proteger la información que circula en archivos. Con MetaShield Protector comenzamos un camino para evitar la fuga de información por medio de metadatos, información oculta y datos perdidos, que hemos ido extendiendo para tener una familia tan grande como la que tenemos hoy en día.

Figura 3: Familia de MetaShield Protector para gestión documental

Con al adquisición de las tecnologías SealSign ampliamos el ámbito de protección con la posibilidad de gestionar la firma digital por medio de sistemas centralizados de certificados digitales más la potencia de usar firma manuscrita biométrica con SealSign BioSignature, como os conté ayer mismo.

Shadow: Marcado de documentos con trazas de seguimiento

Ahora con Shadow añadimos a la familia la opción de implantar en documentos impresos o compartidos en formato postscript marcas de seguimiento que permiten realizar una traza hacia el origen del documento en caso de que se produzca una fuga del mismo con solo hacerle una fotografía. Cada documento lleva incrustada marcas de traza que se añade en el momento de imprimir los archivos, que no son visibles a simple vista, pero que utilizando el algoritmo de Shadow a partir de una una simple imagen del documento, es posible saber la información de la marca que hay guardada en él. 

Figura 4: The Shadow Files "The Truth is IN there"

Para presentar su funcionamiento hicimos una demo en dos pasos. Primero, contamos esta historia que podéis ver en este vídeo en la que se explica cómo un documento se imprime seis veces con seis marcas de Shadow y uno de ellos se filtra fuera de la organización mediante una fotografía hecha al documento original (previamente cortado), manchado de café y enviado vía WhatsApp. Queda irreconocible a simple vista, pero aún así, sigue manteniendo las características de la marca Shadow que hay en él.

Figura 5: Descripción de la tecnología de impresión con trazas Shadow

La segunda parte, que hicimos en el evento, consistía en averiguar quién de los seis miembros de la reunión había filtrado la documentación. El resultado, por supuesto es que el documento aún mantiene la traza y puede ser recuperado para sacar de él el nombre de la persona a la que se le ha entregado ese documento, y que se inyectó durante el proceso de impresión mediante técnicas de esteganografía documental.

Servicios de Document Loss Detection (DLD)

En este caso podría ser él mismo el filtrante, o que alguien se lo hubiera quitado a él, pero deja a los analistas una línea de investigación clara para lograr descubrir quién y de qué forma se ha producido la fuga de información.

Figura 6: Descripción del servicio de Document Loss Detection dentro de los procesos de Vigilancia Digital en nuestra oferta de CyberThreats

Este servicio, por supuesto, nos ayuda a completar el servicio de Document Loss Detection que ya incluimos en nuestro servicios de CyberThreats, por el que los analistas de seguridad investigan las fugas de información de los documentos de nuestros clientes. Para este servicio, como ya sabéis porque lo contamos en el evento de Mayo, habíamos invertido en la empresa 4IQ.

Figura 7: Anuncio de la inversión de Telefónica en 4IQ

Pero no solo eso, un sistema como Shadow también ayuda a localizar los documentos que se imprimen internamente dentro de una organización para localizar a los empleados que no estén siguiendo las políticas de "Paperless Office" dentro de empresa o que estén dejando documentos olvidados dentro de la propia empresa. Un simple proceso de recogida de documentos olvidados en el que el personal de limpieza se lleve aquellos que estén dejados al azar,  para que el equipo de seguridad interna pueda incidir en las buenas prácticas de seguridad de la empresa en las personas que no están teniendo cuidado de ellos. Pero también incluido con un plugin que modifique los adjuntos en el correo electrónico en el MTA para marcar la salida de ficheros o como un agente que monitorice los ficheros cuando se graban en el disco o... en cualquier punto del ciclo de vida del documento en tu empresa.

Saludos Malignos!

Tempest: En busca de software y hardware más silencioso

Hace ya algún tiempo os dejé un artículo aquí sobre un trabajo de investigación en el que se explicaba cómo utilizando la tecnología Tempest se podía extraer una clave de cifrado de un equipo con solo tocarlo, utilizando un side-channel que permitiera reconocer las instrucciones que se estaban realizando en el microprocesador. Este trabajo se centró en la extracción de las claves utilizadas en GnuPG y tocando el equipo para tener mediciones de las vibraciones.

Figura 1: Tempest - En busca de software y hadware más silencioso

Cuando se publicó el artículo, los investigadores instaron a los programadores a cambiar la forma en la que realizaban algunos de los cálculos criptográficos, para evitar ser tan "verbose" con las emanaciones de señales que se estaban produciendo por ciertas instrucciones. Es decir, cambiando determinadas instrucciones se puede reducir el volumen de señal que se genera en un side-channel y dificultad en gran medida el trabajo del atacante a la hora de reconocer las instrucciones.

Creando software con menos filtraciones en el side-channel

Esto, como se explica en el artículo de investigación "A Practical Methodology for Measuring the Side-Channel. Signal Available to the Attacker for Instruction-Level Events" se debe a que la señal que se filtra por un canal paralelo depende de dos cosas principalmente, que son:

1.- El tipo de instrucción
2.- La arquitectura del sistema que las ejecuta

Así, por ejemplo, las operaciones de Divisiones son mucho más proclives a dejar más información en un side-channel que una operación de Suma, y las arquitecturas que ejecutan más operaciones dentro del microprocesador tienen menos fugas de señal que las que tiran mucho de una caché externa del microprocesador.

Figura 2: Paper que explica la métrica SAVAT

Para medir lo que un código filtra de señal en un side-channel que pudiera ser atacado por medio de estas técnicas Tempest, los investigadores proponen una métrica que llaman SAVAT (Signal AVailable to ATtacker) , donde miden cuánto de reconocible es una señal por medio de una métrica que mide el periodo de la señal que se produce en el canal paralelo tras la ejecución de programas sintéticos de las instrucciones a medir.

Figura 3: Estrategia de medición de métrica SAVAT en la ejecución de instrucciones

Así, dependiendo de una arquitectura de equipo u otra, habrá una medición de qué instrucciones utilizadas en un programa están generando más información en el side-channel para que los compiladores puedan, por ejemplo, generar un código u otro a nivel de microprocesador consiguiendo evitar las instrucciones que ayuden a la filtración de información. Esto reduciría por tanto el impacto que podría tener un ataque Tempest como el descrito en el artículo inicial para extraer una clave GnuPG.

Usando Hardware con menos filtraciones en el side-channel

Por otro, lado hay que tener presente que la filtración de información que se hace en un canal paralelo depende del canal, así que unos investigadores han propuesto en el artículo "Side-channel Vulnerability Factor:A Metric for Measuring Information Leakage" una métrica para medir cuánto de seguro es un equipo contra la fuga de información por canales paralelos.

Figura 4: Paper que explica cómo medir el Side-Channel Vulnerability Factor de un sistema

En este trabajo lo que hacen es cruzar la ejecución de un algoritmo en una determinada arquitectura y grabar un side-channel para poder cruzar los datos y ver qué cantidad de información se puede reconocer a partir de una distancia del equipo. Dependiendo de lo verbose que sea el sistema será más fácil reconocer unas u otras instrucciones. El resultado final dará un SVF (Side-Channel Vulnerability Factor) que ayudará a reconocer equipos que filtran más o menos información por un determinado side-channel que otros.

Figura 5: Medición del SVF de un side-channel

Eligiendo una arquitectura con poco SVF y generando algoritmos de poco SAVAT, junto a medidas de atenuación de señal adecuadas, lo que se pretende conseguir es que los equipos sean más seguros a la hora de recibir ataques de extracción de información por medio de técnicas Tempest.

Saludos Malignos!

¿Cómo se puede romper el anonimato en TOR?

Dentro del concepto de Deep Web, que representa todas esas partes de Internet alejadas del mainstream, existe muchas redes. Algunas de ellas como CJDNS y su Hypberboria que necesitan contar con la confianza de sus miembros para dejarte entrar, otras directamente la propia web pero usando accesos escondidos en conexiones que se abren con port knocking, por puertos privados o que necesitan de credenciales especiales y otras tan populares hoy en día como la red TOR.

Figura 1: ¿Cómo se puede romper el anonimato en la red TOR?

Esta última, la red que utiliza The Onion Routing, se construye bajo las premisas de dar anonimato y privacidad tanto a clientes como servidores, y por ello ha sido lugar habitual de activistas políticos, hackers en busca de intimidad en sus acciones y, también cibercriminales con el más variopinto conjunto de negocios, que pueden ir desde la venta de identidad, drogas, asesinos a sueldos o cosas aún peores.

Por supuesto, los cuerpos de seguridad, las agencias de inteligencia y muchos gobiernos, han querido romper en la red TOR ese anonimato y privacidad, por lo que se han visto muchísimos ataques distintos. Desde el uso de exploits en el software cliente de conexión, al conocimiento de los usuarios de la red mucho antes de que lo fueran, pasando por la colocación de nodos falsos de salida, como el que vimos hace poco que infectaba los ficheros binarios que se descargaban.

Figura 2: Esquema de funcionamiento de The Onion Routing

El propio proyecto TOR reconoció que todo el tráfico que había circulado por la red durante los seis primeros meses del año había estado en riesgo, y por tanto, el anonimato estuvo comprometido en la red TOR tanto para clientes como para servidores. Las técnicas que se usaron para romper el anonimato fueron las de la correlación pasiva de tráfico de red, técnicas que habían sido explicadas tiempo atrás en un trabajo en inglés.

Ahora, el trabajo que analizaba dichos ataques ha sido traducido al español por Juan Eljach y Gustavo Rendón, para que sea más fácil de leer por los menos duchos en la lengua inglesa. He subido una copia en formato PDF a mi cuenta de SlideShare, y la tenéis disponible aquí para su lectura.

Figura 3: Analizando la efectividad de ataques de correlación pasivos en la red de anonimato TOR

La red TOR no para de crecer. Los bancos no están cortando las conexiones a sus sistemas de e-banking, y la propia Facebook - antítesis del anonimato en favor de la socialización de la red - ha abierto ya un nodo directamente en la red TOR. Dentro de poco ya TOR va a ser mainstream, así que más te vale conocer todo lo que puedas de ella, así que después de este documento, debes leer: "Users Get Routed:Traffic Correlation on Tor by Realistic Adversaries".

Saludos Malignos!

La historia no contada de Estados Unidos - Bush y Obama: La era del terror. Un documental de Oliver Stone

Ayer, mientras terminaba mi largo día, me topé en La 2 con la emisión de un documental que me cautivó. Es parte de una serie de documentales que ha hecho el cineasta Oliver Stone sobre La Historia No Contada de Estados Unidos, de hecho es la parte número 10 de la serie, titulado "La era del Terror" y está centrado en los mandatos de George Bush (hijo) y Barack Obama, y cómo han gestionado el miedo del pueblo norte-americano para hacer cosas.

Figura 1: Documental "La Historia No Contada de Estados Unidos - La era del terror"

Al verlo, recordé cómo viví todo el proceso electoral de George Bush y Al Gore, con los problemas de papeletas en las máquinas de votación del último estado, el estado de Florida, donde gobernaba Jeff Bush, el hermano de George Bush, lo que fue uno de los actos más bananeros que se recuerdan del primer mundo. Recordé cómo viví el atentado del 11-S y cómo sentí esa empatía de la que habla Oliver Stone. Recuerdo cómo fue la declaración de la invasión a Irak y cómo fue el día que tiraron la estatua de Saddam Hussein y cómo lo vi por la televisión. Un montón de recuerdos cercanos de la vida en USA.

Figura 2: Portada de la revista Time en Diciembre de 2010 dedicada a Julian Assange

El documental trata temas todavía más reciente, como las filtraciones de WikiLeaks, la persecución por todo el mundo del sitio web. Yo recordé como eso me llevó a pensar en la creación de DUST RSS como forma de evitar algo similar.


Figura 3: Conferencia de Dust RSS dada en la RootedCON 2011
Recuerdo la reacción de Anonymous contra HBGary y el cambio de la empatía a la reprobación de algunas acciones de USA que acabaron estallando con las filtraciones de Edward Snowden sobre cómo la NSA acabó con el espíritu de Internet, que incluso se ha hecho parte de la cultura popular en el mundo entero.

Figura 4: Del "Yes, We Can" de Obama, al "Yes, We Scan" de la NSA

Habla también de la creación de las cárceles por todo el mundo como la de Guantánamo y la presencia militar en casi 200 países de Estados Unidos y de cómo allí algunas acciones han sido difíciles de justificar. Yo recuerdo la narración propia sobre el infierno que vivía Bradley Manning en una de sus cárceles, para al final acabar cumpliendo una condena ejemplar.

Figura 5: Campaña a favor de Bradley Manning

Creo que si no lo has visto, merece mucho la pena que le des un vistazo este fin de semana. En poco menos de una hora podrás repasar los últimos 15 años de la historia de Estados Unidos, centrada en el impacto de que ha tenido en todo el mundo esta "Política del Terror", que cataloga Oliver Stone en su documental.

Saludos Malignos!