¿Qué es bugBlast y cómo funciona?

Comenzamos una serie de artículos para hablaros de nuestros propios productos. A lo largo de diferentes posts os contaremos cómo son nuestras herramientas y qué se puede hacer con ellas, utilizando un enfoque eminentemente práctico. Comenzamos con una introducción a bugBlast, nuestra herramienta de análisis dinámico de sistemas de información. Se trata de una solución global, pensada para ser el nexo de unión entre usuarios, auditores, técnicos y cualquier otro profesional que esté relacionado con un proyecto de seguridad.

Screen-Shot-2014-12-17-at-16.27.28

bugBlast: auditorías de seguridad centralizadas

En un contexto como el actual, utilizar un único escáner de vulnerabilidades ya no es suficiente. Con bugBlast, el usuario dispone de una única interfaz en la que gestionar los resultados de todas las auditorías que realice. La herramienta permite lanzar escaneos de manera nativa (directamente desde bugBlast) o importando los resultados (mediante un CSV).

Esta interoperatibilidad abarca motores de detección comerciales y OpenSource, generando un ecosistema amplio y diversos. Este enriquecimiento de los resultados se traduce en auditorías más efectivas, reduciendo el riesgo de pérdidas económicas y reputacionales por una vulnerabilidad gestionada incorrectamente.

Con un sistema centralizador y automático, la auditoría de hacking ético deja de ser un producto temporalmente acotado para convertirse en un servicio continuo. Los datos son dinámicos, gracias a la posibilidad de programar escaneos periódicamente y a la realización de un seguimiento de la evolución de los sistemas d ela compañía.

Gracias a la existencia de múltiples taxonomías en bugBlast, la herramienta no hace una simple detección de vulnerabilidades, sino que las ofrece clasificadas en familias y tipos, pudiendo saber de forma concisa (y en base a los estándares internacionales de mayor prestigio) el riesgo que suponen para la compañía.

Arquitectura de la herramienta

bugBlast está disponible en dos modelos diferentes: SaaS (software as a service), que implica que nuestros clientes no tienen que realizar ninguna instalación en sus infraestructuras; y Appliance, para clientes que requieran realizar la instalación en sus instalaciones.

En ambos casos, la herramienta responde a las tendencias más vanguardistas en usabilidad y experiencia de usuario. Dispone de una interfaz tan intuitiva como sencilla, que permite exportar datos y facilita su integración a través de una API.

La exportación de datos queda reforzada gracias al generador de informes de bugThreats, que crea documentación bajo demanda en diferentes niveles: para técnicos, para ejecutivos, incluso personalizados a partir de las necesidades del usuario…

bugblast

Para más información sobre bugBlast o sobre cualquiera de las herramientas de buguroo, accede a nuestra web y pide una demo hoy mismo.

¿Puede un seguro cubrir los costes de un ciberataque?

El enésimo ataque informático sufrido por Sony, esta vez relacionado con la película The Interview, ha dejado unas sorprendentes palabras de Michael Lynton (CEO de Sony Pictures). Según este alto directivo, “el coste dista mucho de lo que la gente imagina” y las pérdidas “están dentro de los límites del seguro“. Las declaraciones pueden ampliarse en este artículo de RTVE y este otro de La Razón.

Sin duda, el ejecutivo trata de tranquilizar a inversores, trabajadores y clientes. Aun así, inmediatamente surge una duda: ¿puede un seguro cubrir los costes de un ciberataque? En este artículo vamos a analizarlo, distinguiendo claramente en dos tipos de pérdidas: económicas y reputacionales.

o-THE-INTERVIEW-TRAILER-facebook

PÉRDIDAS ECONÓMICAS: EL SEGURO RESPONDE

Aunque todavía no han trascendido cifras oficiales, algunas estimaciones hablan de que el último ataque a Sony Pictures podría tener un coste directo de 100 millones de dólares. Esto se deduciría no solo de la reparación de los equipos dañados, sino también de la inversión inmediata que habría que hacer en securizar la estructura de toda la compañía. También se contaría aquí la bajada de productividad, ya que durante varias semanas los empleados no han tenido cuentas de correo ni acceso a la red corporativa.

Lo descrito en el párrafo anterior si son gastos cubiertos por el seguro, siempre que previamente haya sido contemplado en la póliza. Y hay que tener en cuenta que muchas empresas, sobretodo las de perfil más clásico, pueden no tener actualizadas sus coberturas. Es decir, quizá estén protegidas ante robos o incendios, pero no ante ataques procedentes del ciberespacio.

Siempre decimos que cualquier empresa, sea tecnológica o no, está expuesta a un ciberataque. Una frutería con un ordenador conectado a internet y un datáfono puede ser el punto de partida para un ataque a cientos de tarjetas de crédito. En caso de que ocurra, si el seguro no fue ampliado en ese sentido no hará ninguna cobertura.

PÉRDIDAS REPUTACIONALES: EL VALOR DE LO INTANGIBLE

Pero vamos con la otra cara de la moneda. Una empresa que vale miles de millones, como Apple, Microsoft o la propia Sony, no se preocupa de los posibles daños materiales. El principal problema de un ciberataque son las pérdidas reputacionales, hasta el punto de que muchas veces las empresas gastan más dinero en ocultar que han sufrido un ataque que en la solución del mismo.

Y aquí es donde las declaraciones de Michael Lynton hacen aguas: ninguna compañía de seguros puede cubrir las pérdidas reputacionales. Se trata de un activo intangible, algo que es difícil de cuantificar en un momento concreto pero que tiene una importancia capital.

Sony es el mejor hilo conductor para hablar de este aspecto. Las fugas de información que ha sufrido en los últimos cinco años, incluyendo el robo de casi 80 millones de cuentas de usuarios de PlayStation Network, han generado en inversores, trabajadores y clientes una sensación permanente de inseguridad. ¿Quién no ha oído hablar del tema? ¿Quién no ha visto fakes que hablaban de nuevas fugas de información y que solo eran bulos?

“Reputación, reputación… ¿A quién le importa la reputación?” Pues si, la reputación es importante. Un ejemplo a bajo nivel sería el del típico chico de 15 años quiere comprar el DLC de The Last of Us, le pide la tarjeta a su padre… Y este monta en cólera, porque no quiere ni oir hablar de meter su dinero en los sistemas de Sony. Moraleja: se pierden ventas. Lo mismo se podría hablar a alto nivel, con inversores que en caso de duda no van a acudir a Sony, por falta de confianza en su estructura.
En definitiva, toda empresa atacada tiene desde el primer minuto una tarea muy difícil por delante. Así lo ha reconocido el propio Michael Lynton, afirmando que reconstruir la confianza en la compañía por parte de empleados e inversores será un desafío prioritario para Sony Pictures.sony

Why parser generator tools are (mostly) useless in static analysis

I would like to talk about a topic that is considered a resolved problem in compiler design but not as much in static analysis: the parsing phase, also known as syntactic recognition of source code.

Many parsing tools are oriented towards the compilation process. Because of that, the mathematical bases (established decades ago) behind parsing do not provide a satisfactory solution to the problems the industry is facing nowadays: source code static analysis. Let’s see why.

lupa1 Read more →

buguroo en la UPM, en la Cybercamp 2014, en la UCAV y en #StartupAlcobendas

En buguroo estamos disfrutando de un mes de diciembre muy movido. En tan solo diez días hemos estado en lugares tan prestigiosos como la Universidad Politécnica de Madrid o Startup Alcobendas, en eventos que hemos retransmitido por redes sociales y que ahora queremos compartir con todo el mundo en nuestro blog.

03/12/2014: CHARLA EN LA UPM

Nada más empezar el mes, nuestro Software Engineer Roberto Nieto acudió a la UPM para participar en un foro titulado “El Mercado Profesional de la Ciberseguridad”. Allí pudo hablar sobre oportunidades de I+D+I de nuestro sector, en una charla que tuvo mucha interacción con el público y que resolvió muchas dudas al talento emergente que está completando sus estudios.

B4BieW3CcAAUrV3

05-07/12/2014: STAND EN CYBERCAMP

En el puente de diciembre tuvimos una destacada presencia en la Cybercamp, un enorme evento sobre ciberseguridad para todos los públicos: estudiantes, empresas, familias… Durante todo el fin de semana tuvimos un stand en la zona de empleo, por el cual pasaron muchas personas interesadas en trabajar con nosotros. Ya hemos hecho algunas entrevistas y el nivel es muy bueno.

Además, varios miembros de nuestro equipo se pasaron por allí. José Carlos Corrales, Product Manager de bugThreats, participó como jurado en un concurso de proyectos. Por otro lado, nuestro CTO y Director Pablo de La Riva habló de su trayectoria al frente de buguroo en una mesa redonda con entidades como Facebook o Telefónica.

B4Lz1OxIAAAKahw

10/12/2014: MESA REDONDA EN LA UCAV

Esta misma semana formamos parte de una mesa redonda sobre nuevas tendencias de ciberseguridad, en el marco del Master en Ciberseguridad que Del0itte ofrece en la Universidad Católica de Ávila. Nuestro responsable de Marketing y Comunicación, Eduardo Sánchez, habló de los restos a los que se enfrentan empresas como la nuestra y explicó a los estudiantes cómo es el día a día en una empresa de ciberseguridad.

B4gpzz1CEAA4pwN.jpg large

10/12/2014: MESA REDONDA EN #STARTUPALCOBENDAS

Y para terminar, tuvimos el honor de participar en uno de los actos de presentación de #StartupAlcobendas, el vanguardista proyecto que ha puesto en marcha el ayuntamiento de Alcobendas. Nuestra ciudad impulsa esta iniciativa para enriquecer su ecosistema empresarial, y allí estuvimos para participar en una mesa redonda con otros proyectos como AutoScout24 o Gigas. Nuevamente nuestro CTO y director, Pablo de la Riva, contó su experiencia y asesoró a futuros emprendedores en base a su trayectoria profesional.

B4mDtsSIUAAr9La.jpg large

¿Y AHORA?

Estos cuatro eventos solo son una muestra de todo lo que estamos haciendo. La semana que viene iremos a la Universidad de Castilla-La Mancha, después iremos a eventos especializados como Hackron o Morteruelo, volveremos a hacer cosas en Alcobendas…

Curso de Ingeniería Inversa: “Cualquier empresa debería tener expertos en reversing”

Esta semana se está desarrollando en la CyberSOC Academy de Deloitte un curso de Ingeniería Inversa creado por buguroo. A la formación, cuya referencia es BCR-101 buguroo: Ingeniería Inversa, han asistido alumnos procedentes de las fuerzas y cuerpos de seguridad del Estado, además de altos mandos de difentes multinacionales. Para presentar el curso hablamos con Pedro Candel (@NN2ed_s4ur0n), el profesor que está impartiéndolo.

B3M2O9GIgAAgW0q¿Puedes hablarnos en líneas generales del curso de Ingeniería Inversa que estás impartiendo?

El curso de reversing sale de la CyberSOCAcademy de Deloitte, con los contenidos realizados por buguroo como fabricante. Es la segunda vez que se imparte en Madrid, en esta ocasión contamos como público con miembros de las fuerzas y cuerpos de seguridad del Estado, además de otras empresas multinacionales.

¿Qué perfil tiene que tener la persona que vaya a hacer un curso como este?

El reversing requiere una base sólida en cuanto a programación, sistemas y demás. Adicionalmente, tiene que tener ganas de aprender, tiempo para documentarse y practicar mucho.

¿Por qué es interesante para entidades públicas y privadas contar con expertos en malware?

Hoy en día el malware se distribuye camuflado, normalmente formando parte de software que en origen era totalmente legítimo. Por tanto, es básico que las empresas cuenten con profesionales capaces de analizar todo lo que sea susceptible de portar código malicioso. Estamos en una situación peligrosa, con malware cada vez más avanzado que es capaz de traspasar cortafuegos y antivirus sin ser detectados.

¿Qué empresas deberían contar con esta clase de especialistas?

Cualquier empresa, si quiere saber qué está recibiendo e instalando en sus equipos, debería tener expertos en reversing. Solo así se puede saber con precisión qué es lo que entra en la empresa al conectarse a internet.

¿Qué skills tiene un alumno que supera satisfactoriamente el curso de reversing?

Se trata de un 101, un curso introductorio que sienta las bases para poder analizar binarios tanto en Windows como en otros sistemas operativos. Ofertamos también un curso con contenidos mucho más avanzados, donde se llega a un nivel de completa especialización. También podemos hacer la formación a medida, incluso en la propia oficina del cliente.

Page 1 of 1612345»10...Last »