FaaS: Visión global de Pentesting by Design

Monday, June 24, 2013

La idea que tenemos sobre seguridad es diferente sobre lo que históricamente las organizaciones han ido utilizando. ¿Realmente es lo que necesitaban? Pensamos que un sistema continuo de pentesting proporciona a la organización una revisión al día de como se encuentra su infraestructura. Algo hay claro y es que la seguridad cambia diariamente por lo que las revisiones de seguridad cada 'equis' meses puede no ser una buena solución. 

Nuestra primera medida, bajo el modo Pentesting by Design, se denomina FaaS, FOCA As A Service. ¿Qué es FaaS? Es un sistema capaz de enumerar, analizar y explotar los activos de una organización con el fin de encontrar agujeros de seguridad que podrían ser explotados por otros usuarios con fines maliciosos, provocando pérdidas a la organización. Es la evolución natural de la aplicación FOCA, Fingerprinting Organizations with Collected Archives. En la siguiente imagen se puede observar un esquema del modelo y lo que FaaS representa y es capaz de realizar.

Figura 1: Esquema del modelo
El punto de partida de nuestro sistema son tres valores principales que toda empresa u organización dispone en Internet, de manera explícita o implícita por desconocimiento. Los valores son los siguientes:

  • Dominio. Los dominios son la cara visible y un activo importante en la imagen de una organización o empresa. FaaS realizará un estudio sobre los dominios públicos y obtendrá información sobre ellos,  enumerándolos de tal manera que podrá realizar un proceso de pentesting sobre los activos a partir de los dominios públicos.
  • Metadatos. Los documentos publicados en la web por las organizaciones pueden llevar consigo información interesante para inferir datos sobre como se organiza la empresa, nombres de usuarios, mails, versiones de software y otros datos de interés que pueden ser utilizados en contra de la organización, por ejemplo para llevar a cabo un APT, Advanced Persistent Threat.
  • Servicios. FaaS encontrará los servicios públicos de una organización y realizará acciones para evaluar la seguridad de éstos. Todo servicio público es un punto crítico de una organización, ya que una mala configuración o una aplicación desactualizada puede provocar una intrusión y pérdida o daño en los activos de la organización.
El sistema proporciona una serie de módulos con los que FaaS organiza toda la información recogida y evaluada con las pruebas de análisis y explotación de recursos. El módulo de reporting es imprescindible para que los usuarios puedan entender todo lo realizado sobre sus activos. FaaS prioriza la notificación de vulnerabilidades y recomendaciones de seguridad en configuraciones catalogadas como erróneas, además de enumerar y mostrar los activos que contiene una organización.

Figura 2: Módulos de FaaS

Eleven Paths is growing

Friday, June 14, 2013

Eleven Paths is growing. Apart from the people who joined from the beginning (just two months ago!), we've been hiring new employees that will have a key role in any product and service we are planning. Chema described in his post some of the new hirings; since Eleven Paths was presented last week we have received many curriculums that are being analyzed, thank you for your interest!

During the next days seven new employees will join us, but in this post we want to emphasize the hiring of the person who will be the responsible of our crazy ideas lab, Sergio de los Santos.

Many of you already know Sergio from his last company, Hispasec, where he was the manager of the SOC, the antifraud service, and the early warning service SANA; but maybe you also know him from famous service una-al-día, a pioneer in spanish language that is incredibly popular (if you are not subscribed, please do it now! ;) )

Actually, there is an unanimous opinon that all his articles have an incredible quality (both from the technical and the redaction point of view). Sergio has a huge experience and knowledge about security and he has been a influential speaker in many presentations talking about different aspects of current malware and threats, or about his book 'Máxima seguridad en Windows'.


Charla de Sergio de los Santos sobre malware from a diaz on Vimeo.

Eleven Paths is indubitably happy to hire profesionals like Sergio. He will lead our crazy ideas lab from Málaga; this new lab will develop fast and agile protoypes of those ideas we think can change and improve the world. When we talk about such ideas, we get some strange reactions, but we do think that there is a huge space for radical innovation about security. Sergio needs help, mainly developers, in Málaga, so if you live around and you are interested, do not hesitate to send us your resume!

Welcome Sergio!

Security should be transparent, but ready when needed

Wednesday, June 12, 2013

Security should be totally transparent for users; this was one of the key messages we discussed last week during the press conference we did with several journalists when launching Eleven Paths; nowadays users are overwhelmed with technical words hard to understand  (VPN, Firewall, Antivirus, patches, phishing, malware, ransomware, etc.) that makes them angrier and as a result, they tend to ignore any security measures. Security vendors often seem to build products and services only for security specialists or geeks.

Of course we need security products and services for security specialists or geeks, and they will take advantage of those products, but we also need implicit security in any technology, without forcing a user to become a specialist. Criminals perfectly know that it is easier to target normal users (that use online banking, stores sensible information, connects to social networks, etc.) than an enterprise with tons of security specialists.

During the press conference we visually explained this concept with 'The Big Bang Theory' characters: nowadays security is designed for people like Leonard, Sheldon, Howard o Raj, specialists or geeks. But we also want to create products for people like Penny.

I always mention the same example that I learnt from Hugh Thompson's keynote during RSA Conference 2012; he perfectly explains the role of security using an analogy with asymmetric/uneven bars in artistic gymnastics. There is always a person (known as the spotter) that helps the gymnast to jump to the bars and then the spotter appears or disappears depending on the difficulty of the movement; the spotter is always ready to protect the gymnast when it's needed:
  • The spotter is continuosly adapting to the gymnast's movements
  • The spotter knows perfectly the gymnast and detect when there could be any risk
  • The spotter appears and disappears depending on the gymnast's needs

Security should be like the spotter: transparent, but protecting the user when needed.