Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora
  • ENS

CARMEN

Herramienta de Detección de APTs

CCNDroid

Herramientas de Seguridad para Android

CLARA

Auditoría de Cumplimiento ENS/STIC en Sistemas Windows

INES

Informe de Estado de Seguridad en el ENS

LORETO

Almacenamiento en la nube

LUCIA

Gestión de Ciberincidentes

MARIA

Sistema Multiantivirus

MARTA

Herramienta de Análisis de Ficheros

PILAR

Análisis y Gestión de Riesgos


REYES

Intercambio de Información de Ciberamenazas

ROCIO

Inspección de Operación. Auditoría de configuraciones de dispositivos de red

VANESA

Grabaciones y emisiones online

VULNERABILIDADES

Vulnerabilidad:
CCN-CERT-1706-20479

DSA-3898 expat - security update

EMPRESAS

Catálogo de Servicios

Sistema de Alerta Temprana, SAT de Internet 

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Guías SCADA

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

Seguridad al día

Aprobadas las ITS de Auditoría de la Seguridad y de Notificación de incidentes por parte del CSAE

La Comisión Sectorial de Administración Electrónica, en la que participa el Centro Criptológico Nacional, aprobó el pasado 21 de junio los proyectos de dos nuevas Instrucciones Técnicas de Seguridad (ITS) relativos al Esquema Nacional de Seguridad (ENS). En concreto, se trata de las ITS de Auditoría de la Seguridad y Notificación de Incidentes de Seguridad.

La primera de ellas tiene por objeto establecer las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica.

La segunda de las IT de notificación de incidentes pretende, según lo dispuesto en el Capítulo VII del citado RD, la notificación y gestión de incidentes de seguridad en los sistemas de información de las entidades del Sector Público, cuando tales incidentes tengan un impacto significativo en la seguridad de la información que manejan o los servicios que prestan, en relación con la categoría del sistema y con independencia de los requerimientos adicionales que cada organismo o entidad implemente.

En el momento en que se concluyan todos los trámites y sean publicadas en el Boletín Oficial del Estado ambas ITS, serán ya cuatro las Instrucciones Técnicas desarrolladas para facilitar la adecuación y cumplimiento del ENS de todo el Sector Público (tienen hasta el 5 de noviembre de 2017). Las otras dos son:

La Comisión Sectorial de Administración Electrónica (CSAE) es el órgano técnico, contemplado en la ley 40/2015, para la cooperación en materia de administración electrónica entre la Administración General del Estado, las administraciones de las Comunidades Autónomas y las entidades que integran la Administración Local. En él participan los titulares de las Direcciones Generales de las Comunidades y Ciudades Autónomas con competencias en materia de Administración Electrónica y por parte de la Administración General del Estado la Secretaría General de Administración Digital . Las entidades de la Administración Local quedan representadas por la Federación Española de Municipios y Provincias. Y las universidades a través de la CRUE, Conferencia de Rectores de las Universidades Españolas.

Riesgos al utilizar el servicio de mensajería IMBox

  • El informe CCN-CERT IA-17/17 está disponible en el área privada del portal del CCN-CERT.
  • El documento muestra los resultados de una auditoría de seguridad efectuada por el CCN-CERT sobre esta aplicación de Google Play.
  • El análisis realizado ha encontrado numerosos fallos de seguridad en la aplicación, entre los que se encuentran las escasas medidas del panel de administración o los ineficientes e inseguros mecanismos de control para la subida de ficheros.

El CCN-CERT ha publicado en el área privada de su portal web el Informe de Amenazas CCN-CERT IA-17/17 Análisis de IMBox y riesgos de uso, un documento que muestra los resultados de una auditoría de seguridad efectuada por el propio CERT Gubernamental Nacional sobre la aplicación y el servicio de mensajería IMBox de Google Play.

El análisis realizado estudia la aplicación desde la perspectiva de potenciales intrusos, y desde el punto de vista de un atacante que no tiene por qué tener relación alguna con el servicio objetivo, y que puede estar situado en cualquier punto de Internet.

El informe recoge una lista de numerosos fallos de seguridad encontrados en la aplicación durante el análisis, que a continuación se detallan:

  • El panel de administración no cuenta con las medidas de seguridad adecuadas.
  • La aplicación no cuenta con 'Certificate Pinning´.
  • La función de 'Recuperar Contraseña´ permite realizar ataques en busca de direcciones registradas.
  • El inicio de sesión se realiza a través del puerto 443/5222, sin cifrar y codificado en base64, incluyendo datos sensibles del usuario. Además, permite realizar ataques de fuerza bruta para listar usuarios registrados
  • Los mecanismos de cifrado y funciones criptográficas utilizadas por el aplicativo presentan graves problemas de seguridad y están desarrolladas de manera deficiente. Es posible realizar un ataque de fuerza bruta sobre el espacio de SBCODES
  • Los mecanismos de control para la subida de ficheros son ineficientes e inseguros.
  • Las solicitudes de descarga contienen un token de sesión en la URL.
  • La base de datos de la aplicación que se almacena en el dispositivo no se encuentra cifrada.
  • El aplicativo no presenta medidas de seguridad que impidan realizar un estudio de ingeniería inversa sobre el mismo.
  • La aplicación muestra información sensible a través de los mecanismos de debugging o depuración.
  • El aplicativo no presenta mecanismos que permitan la detección de cambio de un cambio de SIM en el dispositivo.
  • Un atacante que consiga acceso a la base de datos será capaz de suplantar al terminal de la víctima de forma transparente.

El informe también incluye una descripción de la aplicación y el entorno de estudio, así como el análisis en sí, centrándose en los permisos otorgados, la política de privacidad, el acceso al panel de administración, inicio de sesión, análisis de las comunicaciones o la subida e intercambio de ficheros.

Del mismo modo, el análisis aborda los aspectos de almacenamiento de las conversaciones y base de datos, el código de la aplicación, la información de debugging, el cambio de tarjeta SIM o la desinstalación de la aplicación del terminal.

Pueden acceder a este documento en la sección de Informes de Amenazas del portal del CCN-CERT.

CCN-CERT (26/06/2017)

Acceso al Informe de Amenazas CCN-CERT IA-17/17 Análisis de IMBox y riesgos de uso

 

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración