Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

Páginas 1 ... 3 4 5 6 7 ... 47
#161
Noticias Informáticas / Vulnerabilidad crítica de ejecución remota de código en la VPN SSL de Fortinet
Febrero 09, 2024, 09:48:35 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fortinet ha emitido una advertencia sobre una nueva vulnerabilidad crítica de ejecución remota de código en su VPN SSL FortiOS, que probablemente esté siendo explotada en ataques cibernéticos. La vulnerabilidad, conocida como CVE-2024-21762, tiene una clasificación de gravedad de 9,6. Es una vulnerabilidad de escritura fuera de límites que permite a atacantes no autenticados ejecutar código remoto a través de solicitudes maliciosas.

Para solucionar este problema, Fortinet ha recomendado a los usuarios que actualicen a la última versión de su software según la tabla proporcionada. Para aquellos que no pueden aplicar estos parches, Fortinet sugiere deshabilitar la VPN SSL en sus dispositivos FortiOS como estrategia de mitigación.

El aviso de Fortinet no proporciona ninguna información sobre los métodos de explotación de la vulnerabilidad o la identidad del individuo o grupo que la descubrió.

Además de CVE-2024-21762, hoy se revelaron otras vulnerabilidades, incluidas CVE-2024-23113 (calificada como Crítica/9.8 ), CVE-2023-44487 (calificada como Media) y CVE-2023-47537 (también calificada como Media). Sin embargo, estas vulnerabilidades no se han marcado como explotadas en la naturaleza.

Las vulnerabilidades de Fortinet suelen ser el objetivo de actores de amenazas que intentan infiltrarse en las redes corporativas para realizar ataques de ransomware y ciberespionaje.

Recientemente, Fortinet reveló que el grupo de amenazas patrocinado por el estado chino conocido como Volt Typhoon apuntó a las vulnerabilidades de FortiOS para implementar un malware personalizado llamado COATHANGER. Este troyano de acceso remoto (RAT) personalizado está diseñado para infectar dispositivos de seguridad de red Fortigate y recientemente estuvo implicado en ataques al Ministerio de Defensa holandés.

Dada la alta gravedad de la vulnerabilidad CVE-2024-21762 recientemente revelada y su potencial de explotación en ataques, se recomienda encarecidamente actualizar los dispositivos lo antes posible.

Fuente:
Vulnera
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#162
Noticias Informáticas / US desmantela el servicio de malware 'Warzone RAT' con sospechosos arrestados
Febrero 09, 2024, 09:26:47 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

BOSTON, 9 feb (Reuters) - Las autoridades estadounidenses dijeron el viernes que habían confiscado sitios web utilizados para vender a los ciberdelincuentes el malware llamado "Warzone RAT" que podría usarse para robar datos de las computadoras de las víctimas.

Dos personas en Malta y Nigeria han sido arrestadas por cargos relacionados, agregaron.

Los fiscales federales en Boston dijeron que las fuerzas del orden habían eliminado cuatro dominios que en conjunto ofrecían vender malware, lo que permitía a los ciberdelincuentes conectarse secretamente a las computadoras de las personas con fines maliciosos.

El malware, un llamado troyano de acceso remoto, permitía a los piratas informáticos explorar sistemas de archivos, tomar capturas de pantalla, obtener los nombres de usuario y contraseñas de la víctima, registrar las pulsaciones de teclas y observar a los usuarios de computadoras a través de sus cámaras web, dijeron los fiscales.

Jodi Cohen, jefa de la oficina de Boston de la Oficina Federal de Investigaciones, lo llamó malware sofisticado que se utilizaba para infectar computadoras en todo el mundo.

Dos personas en el extranjero están ahora detenidas y han sido acusadas en Estados Unidos por su presunta participación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una acusación formal en un tribunal federal de Atlanta acusó a Daniel Meli, de 27 años, de Zabbar, Malta, de causar daños no autorizados a computadoras protegidas y otros delitos relacionados con la cibernética.

Los fiscales dijeron que desde 2012 había vendido productos de malware como Warzone RAT a través de foros de piratería informática en línea y había ofrecido a la venta herramientas de enseñanza, incluido un libro electrónico. El gobierno de Estados Unidos busca su extradición.

El príncipe Onyeoziri Odinakachi, de 31 años, de Nigeria, fue acusado en una acusación presentada en Boston de conspiración para cometer múltiples delitos de intrusión informática, dijeron los fiscales.

La acusación alega que, desde junio de 2019 hasta marzo de 2023, Odinakachi brindó atención al cliente en línea a los usuarios del malware Warzone RAT.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#163
Noticias Informáticas / Meta elimina las cuentas de Facebook e Instagram del líder supremo de Irán
Febrero 09, 2024, 09:23:41 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Meta eliminó las cuentas de Facebook e Instagram del líder supremo de Irán, el ayatolá Ali Jamenei.

Las cuentas de Facebook e Instagram de Jamenei ya no están disponibles. Según Meta, las cuentas han sido deshabilitadas, lo que significa que se eliminaron permanentemente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Hemos eliminado estas cuentas por violar repetidamente nuestra política de Organizaciones e Individuos Peligrosos", dijo un portavoz de Meta a CNN.

La política no permite que organizaciones o individuos que proclamen una misión violenta o estén involucrados en violencia tengan presencia en Meta. Esto incluye a quienes glorifican, apoyan o representan a organizaciones terroristas designadas por el gobierno de Estados Unidos.

Irán ha sido acusado durante mucho tiempo de armar a Hamás, designado por el Departamento de Estado de Estados Unidos como Organización Terrorista Extranjera (FTO). En 2021, el Departamento de Estado de Estados Unidos dijo que el grupo recibe financiación, armas y entrenamiento de Irán. También se cree que Irán armó y entrenó a los hutíes en Yemen, que fueron redesignados como FTO por el presidente Biden el mes pasado.

"Hubo una enorme presión sobre Meta para que pusiera fin a la promoción por parte de Jamenei de estas organizaciones catalogadas como organizaciones e individuos peligrosos desde el 7 de octubre", dijo Mahsa Alimardani, investigadora de derechos digitales en Article 19, una ONG de derechos humanos.

"Es una pena que no lo hayan eliminado antes por contenido dañino contra su propia gente", añadió.

Meta no dio una razón específica de por qué la cuenta de Jamenei estaba incluida en la Política de Organizaciones e Individuos Peligrosos.

La cuenta principal de Instagram de Jamenei tenía más de 5 millones de seguidores antes de su eliminación.

Esta semana, Microsoft reveló que "actores alineados con el gobierno" iraníes lanzaron una serie de ciberataques desde octubre de 2023, "con la intención de ayudar a la causa de Hamás y debilitar a Israel y sus aliados políticos y socios comerciales".

Teherán ha negado oficialmente cualquier implicación en el ataque de Hamas del 7 de octubre contra Israel.

"Muchas de las operaciones inmediatas de Irán después del 7 de octubre fueron apresuradas y caóticas -lo que indica que tenía poca o ninguna coordinación con Hamás- pero, aun así, ha logrado un éxito creciente", dijo Microsoft en una entrada de blog el martes.

Solo en octubre de 2023 hubo 11 operaciones iraníes de influencia cibernética, en comparación con una operación cada dos meses en 2021.

A principios de diciembre de 2023, piratas informáticos alineados con Irán interrumpieron algunos servicios de transmisión de televisión en los Emiratos Árabes Unidos, Canadá y el Reino Unido, y los reemplazaron con un video de noticias deepfake en el que aparecía un presentador de noticias aparentemente generado por IA que afirmaba mostrar imágenes de palestinos heridos y asesinados. de las operaciones militares israelíes.

"Esperamos que la amenaza planteada por las operaciones cibernéticas y de influencia de Irán crezca a medida que persista el conflicto", dice el informe de Microsoft Threat Intelligence.

"El mayor descaro de los actores iraníes y afiliados a Irán, junto con la creciente colaboración entre ellos, presagia una amenaza creciente antes de las elecciones estadounidenses de noviembre", dijo Microsoft.

Fuente:
CNN
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#164
Noticias Informáticas / 137 criptomineros utilizan el 2,3% de la energía total de EE. UU.
Febrero 09, 2024, 09:21:30 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Administración de Información Energética de EE. UU. (EIA) ahora exige que las operaciones comerciales de minería de criptomonedas a gran escala informen su consumo de energía. Esta iniciativa es parte de un esfuerzo mayor para regular y penalizar la minería de criptomonedas debido a la exorbitante cantidad de energía que la industria consume anualmente.

Por ahora, la EIA sólo está recopilando datos, pero estos nuevos datos deberían dar lugar a nuevas regulaciones que penalizarán a los mineros en el futuro. Esto se produce cuando la compañía publicó un estudio (reportado por primera vez por Inside Climate News) que sugiere que la minería de criptomonedas representa hasta el 2,3% de la demanda de energía de EE. UU.

"Tenemos la intención de continuar analizando y escribiendo sobre las implicaciones energéticas de las actividades mineras de criptomonedas en los Estados Unidos...", dijo el administrador de la EIA, Joe DeCarolis, en un comunicado de enero. "Nos centraremos específicamente en cómo está evolucionando la demanda de energía para la minería de criptomonedas, identificaremos áreas geográficas de alto crecimiento y cuantificaremos las fuentes de electricidad utilizadas para satisfacer la demanda de la minería de criptomonedas".

Las palabras de DeCarolis resumen que Estados Unidos prestará mucha atención a los desafíos ambientales que podría estar causando la minería de criptomonedas. Podemos suponer que el gobierno de Estados Unidos quiere específicamente tomar medidas enérgicas contra las operaciones mineras que impactan la confiabilidad y sostenibilidad de la energía en áreas altamente pobladas. Potencialmente generando mayores costos de energía residencial y problemas de escasez de energía durante las horas pico. En enero de 2024, la EIA ha identificado 137 instalaciones de criptominería.

Nota de la EIA: "El tamaño representativo que se muestra para una instalación se basa en estimaciones contenidas en nuestro enfoque ascendente. El número entre paréntesis representa la cantidad de instalaciones". (Crédito de la imagen: Administración de Información Energética de EE. UU.)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La EIA descubrió que las operaciones de criptominería en los Estados Unidos han crecido sustancialmente en los últimos años, hasta el punto en que todas las operaciones de criptominería con sede en los EE. UU. consumen entre el 0,6% y el 2,3% del consumo total de electricidad del país. A modo de comparación, la industria minera total de Bitcoin de EE. UU. consume el presupuesto energético anual de Utah o Virginia Occidental. Se proyecta que el consumo de energía estimado de la minería de Bitcoin en todo el mundo estará entre el 0,2% y el 0,9% de la demanda global, lo que equivale al mismo consumo de energía que Grecia o Australia por sí mismas.

La minería de Bitcoin consume mucha energía en los Estados Unidos, específicamente debido a la cantidad exorbitante de minería que en realidad se lleva a cabo dentro de las fronteras de los Estados Unidos. La EIA descubrió que la participación global de la minería de Bitcoin que se lleva a cabo en los EE. UU. creció del 3,4% en 2020 a un enorme 37,8% en 2022.

Las increíbles demandas de energía de la industria de Bitcoin son el resultado de que el algoritmo de minería de Bitcoin se vuelve cada vez más difícil cada año. Bitcoin hoy no es lo que era hace ocho o diez años, donde se podía extraer en una sola computadora y obtener una ganancia decente. Hoy en día, Bitcoin debe extraerse en cientos de dispositivos de minería especializados (ASIC) para poder recolectarse. La continua dificultad del algoritmo de Bitcoin, a su vez, crea costos de energía cada vez más altos a medida que la criptomoneda se vuelve más difícil de extraer.

Podemos esperar que este fenómeno de poder aumente a medida que Bitcoin crezca en popularidad. Se espera que 2024 sea uno de los años más agitados en la historia de Bitcoin, y se espera que la criptomoneda supere su récord de $ 69,000 en algún momento después de su evento de reducción a la mitad en abril.

Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#165
Noticias Informáticas / Canadá prohibirá el Flipper Zero para frenar el aumento de los robos de coches
Febrero 09, 2024, 06:47:52 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gobierno canadiense planea prohibir el Flipper Zero y dispositivos similares después de etiquetarlos como herramientas que los ladrones pueden utilizar para robar automóviles.

Flipper Zero es una herramienta de prueba de lápiz portátil y programable que ayuda a experimentar y depurar varios dispositivos digitales y de hardware a través de múltiples protocolos, incluidos RFID, radio, NFC, infrarrojos y Bluetooth.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios han estado demostrando las funciones de Flipper Zero en videos compartidos en línea desde su lanzamiento, mostrando su capacidad para realizar ataques de repetición para desbloquear automóviles, abrir puertas de garaje, activar timbres y clonar varias llaves digitales.

"Los delincuentes han estado utilizando herramientas sofisticadas para robar automóviles. Y los canadienses están preocupados con razón", tuiteó el miércoles el ministro de Industria canadiense, François-Philippe Champagne.

"Hoy anuncié que prohibiremos la importación, venta y uso de dispositivos de piratería de consumo, como flippers, utilizados para cometer estos delitos".

El anuncio de Champagne se produce después de una cumbre nacional sobre la lucha contra el robo de automóviles organizada esta semana por el Gobierno de Canadá en Ottawa, Ontario.

Según el gobierno canadiense, cada año se denuncia el robo de alrededor de 90.000 vehículos (o un automóvil cada seis minutos), y el robo de automóviles genera mil millones de dólares en pérdidas anuales, incluidos los costos de seguro para reparar y reemplazar los automóviles robados.

Las cifras compartidas por el gobierno canadiense al describir el aumento de robo de automóviles que afecta actualmente a Canadá se alinean con los datos más recientes compartidos por la agencia gubernamental de Estadísticas de Canadá, que muestra un número creciente de informes de robo de automóviles desde 2021.

La policía canadiense también informó que el robo de vehículos de motor tuvo el impacto más significativo en el aumento del índice nacional de gravedad del delito en 2022.

El departamento de Innovación, Ciencia y Desarrollo Económico (ISED) del gobierno canadiense (y el regulador de industria y comercio del país) dice que "buscará todas las vías para prohibir los dispositivos utilizados para robar vehículos copiando las señales inalámbricas para la entrada remota sin llave, como el Flipper Zero, que permitiría la eliminación de esos dispositivos del mercado canadiense mediante la colaboración con las agencias policiales".

Dispositivos Flipper: los coches fabricados después de los años 90 son seguros

Mientras el gobierno canadiense insiste en que el Flipper Zero es una de las razones detrás del actual aumento de los robos de automóviles en el país, Flipper Devices, la compañía detrás de los dispositivos, dice que el dispositivo no puede usarse para robar vehículos construidos en los últimos 24 años.

"Flipper Zero no se puede utilizar para secuestrar ningún automóvil, específicamente los producidos después de la década de 1990, ya que sus sistemas de seguridad tienen códigos variables", dijo el director de operaciones de Flipper Devices, Alex Kulagin.

"Además, sería necesario bloquear activamente la señal del propietario para captar la señal original, algo que el hardware de Flipper Zero es incapaz de hacer".

"Flipper Zero está destinado a pruebas y desarrollo de seguridad y hemos tomado las precauciones necesarias para garantizar que el dispositivo no pueda usarse con fines nefastos".

Amazon también ha prohibido la venta de Flipper Zero desde abril de 2023 por ser un dispositivo de robo de tarjetas después de que la Agencia Nacional de Telecomunicaciones de Brasil comenzara a confiscar las compras entrantes de Flipper Zero en marzo de 2023 debido a su presunto uso por parte de delincuentes.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#166
Noticias Informáticas / US ofrece una recompensa de 15 millones por info de la banda de ransom HIVE
Febrero 09, 2024, 06:44:34 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Departamento de Estado de EE. UU. ha ofrecido una recompensa de 10 millones de dólares por información que conduzca al desmantelamiento final de la resbaladiza banda de ransomware Hive.

Un portavoz del departamento anunció el jueves que la agencia entregaría hasta $10 millones a la persona que pueda proporcionar información que ayude a identificar o localizar a cualquier individuo (o individuos) que ocupen puestos de liderazgo clave en el grupo criminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero hay más: el Departamento de Estado dijo que también ofrecerá otros $5 millones a cualquiera que tenga información que conduzca al arresto y/o condena de un miembro o afiliado de la pandilla Hive.


"Cualquier individuo, en cualquier país", dijo el Departamento de Estado.

"Los ataques de ransomware Hive han causado importantes perturbaciones a más de 1.500 víctimas en más de 80 países de todo el mundo", según la agencia.

Es la segunda concesión de 10 millones de dólares ofrecida por el Departamento de Estado: la primera otorgada en febrero pasado luego de una vigilancia del FBI de un mes de duración que resultó en la incautación de los servidores de Hive y su sitio dark web.

Las víctimas Hive incluyen hospitales, distritos escolares, empresas financieras e infraestructura crítica, lo que incluso afectó los servicios de respuesta durante la pandemia de COVID-19.

"En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y, no pudo aceptar nuevos pacientes inmediatamente después del ataque", decía el boletín de recompensa.

La recompensa de 10 millones de dólares de Hive del año pasado, parte del programa de Recompensas por la Justicia de EE. UU., cubría cualquier pista sobre la posible participación de la pandilla con gobiernos extranjeros.

El cibergolpe de enero pasado llevó a que el FBI capturara las notorias claves de descifrado de Hive, que luego fueron entregadas a cientos de víctimas, frustrando más de 130 millones de dólares en pagos de rescate.

"Continuaremos nuestra investigación y perseguiremos a los actores detrás de Hive hasta que sean llevados ante la justicia", dijo el Fiscal General Adjunto Kenneth A. Polite, Jr. de la División Penal del Departamento de Justicia.

La recompensa más reciente de 10 millones de dólares será financiada por el Programa de Recompensas contra el Crimen Organizado Transnacional (TOCRP) del Departamento de Estado de EE. UU.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#167
Noticias Informáticas / Falso admin de contraseñas de LastPass detectado en la App Store de Apple
Febrero 09, 2024, 06:42:40 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

LastPass advierte que se está distribuyendo una copia falsa de su aplicación en la App Store de Apple, probablemente utilizada como una aplicación de phishing para robar las credenciales de los usuarios.

La aplicación falsa usa un nombre similar al de la aplicación genuina, un ícono similar y una interfaz con un tema rojo que se asemeja al diseño auténtico de la marca.

Sin embargo, el nombre de la aplicación falsa es 'LassPass', en lugar de 'LastPass', y su editor es 'Parvati Patel'.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, sólo hay una valoración (la aplicación real tiene más de 52 mil), con sólo cuatro reseñas que advierten que es falsa.

Como LastPass se utiliza para almacenar información muy confidencial, como secretos de autenticación y credenciales (nombre de usuario/correo electrónico y contraseña), es probable que la aplicación se haya creado para actuar como una aplicación de phishing y robar credenciales.

El verdadero LastPass advirtió sobre la existencia de la aplicación clonada mediante una alerta en su sitio web para alertar a los clientes sobre el riesgo de pérdida de datos.

"Hemos incluido la URL de la aplicación fraudulenta, así como el enlace a nuestra aplicación legítima, para que los clientes puedan verificar que están descargando la aplicación LastPass correcta hasta que se elimine la aplicación fraudulenta", se lee en la alerta de LastPass:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Tenga la seguridad de que LastPass está trabajando activamente para eliminar esta aplicación lo antes posible y continuará monitoreando clones fraudulentos de nuestras aplicaciones y/o infracciones de nuestra propiedad intelectual".

La inclusión de una aplicación obviamente fraudulenta en la App Store de Apple es un caso muy raro, gracias al estricto proceso de revisión de aplicaciones de la compañía, que garantiza que el software en la App Store cumpla con altos estándares de privacidad, seguridad y contenido.

Este proceso incluye comprobaciones automáticas y revisión manual por parte del equipo de Apple para garantizar el cumplimiento de un conjunto detallado de pautas que los desarrolladores deben seguir. Sin embargo, de alguna manera, este clon de LastPass fue aceptado.

Además, cuando Apple se da cuenta de que una aplicación infringe sus directrices, normalmente actúa rápidamente para eliminarla de la App Store y prohibir al desarrollador. Sin embargo, el LastPass falso sigue disponible en la App Store de Apple en el momento de la publicación de esta historia.

El mismo desarrollador tiene otra aplicación en la App Store que parece legítima, por lo que no se puede descartar la posibilidad de que su cuenta haya sido secuestrada por actores maliciosos.

Actualización 9/2:

Apple ha confirmado que la aplicación fraudulenta LastPass ahora ha sido eliminada de la App Store por violar sus pautas sobre aplicaciones imitadoras. Además, el desarrollador de la aplicación ha sido eliminado del Programa de Desarrolladores de Apple.

El portavoz de Apple también señaló que la compañía cuenta con un proceso de disputa de contenido para los desarrolladores que creen que otro proyecto viola sus derechos de propiedad intelectual, confirmando que recibieron una disputa de marca de LastPass con respecto a la aplicación imitadora.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#168
Noticias Informáticas / Dispositivos Ivanti bajo fuertes ataques
Febrero 09, 2024, 06:40:34 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy, Ivanti advirtió sobre una nueva vulnerabilidad de omisión de autenticación que afecta a las puertas de enlace Connect Secure, Policy Secure y ZTA, e instó a los administradores a proteger sus dispositivos de inmediato.

La falla (CVE-2024-22024) se debe a una debilidad XXE (XML eXternal Entities) en el componente SAML de las puertas de enlace que permite a atacantes remotos obtener acceso a recursos restringidos en dispositivos sin parches en ataques de baja complejidad sin requerir interacción o autenticación del usuario.

"No tenemos evidencia de que CVE-2024-22024 haya explotado a ningún cliente. Sin embargo, es fundamental que tome medidas de inmediato para garantizar que esté completamente protegido", dijo Ivanti:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Para los usuarios de otras versiones compatibles, la mitigación lanzada el 31 de enero bloquea con éxito los puntos finales vulnerables hasta que se publiquen los parches restantes", añadió la compañía en un aviso separado.

La plataforma de monitoreo de amenazas Shadowserver actualmente rastrea más de 20,000 puertas de enlace VPN ICS expuestas en línea, con más de 6,000 en los Estados Unidos (Shodan actualmente rastrea más de 26,000 VPN ICS Ivanti expuestas a Internet).

Shadowserver también monitorea diariamente las instancias de Ivanti Connect Secure VPN comprometidas en todo el mundo, con casi 250 dispositivos comprometidos descubiertos el miércoles 7 de febrero.

Los dispositivos VPN de Ivanti han sido objeto de ataques que encadenan la omisión de autenticación CVE-2023-46805 y las fallas de inyección de comandos CVE-2024-21887 como días cero desde diciembre de 2023.

La compañía advirtió sobre un tercer día cero activamente explotado (una vulnerabilidad de falsificación de solicitudes del lado del servidor ahora rastreada como CVE-2024-21893) que ahora también está bajo explotación masiva por parte de múltiples actores de amenazas, lo que permite a los atacantes eludir la autenticación en ICS, IPS, y puertas de enlace ZTA.

Los parches de seguridad para las versiones de productos afectadas por las tres fallas se lanzaron el 31 de enero. Ivanti también proporciona instrucciones de mitigación para dispositivos que no pueden protegerse inmediatamente contra ataques en curso o versiones de software en ejecución que aún esperan un parche.

Ivanti instó a los clientes a restablecer los valores de fábrica de todos los dispositivos vulnerables antes de aplicar parches para bloquear los intentos de los atacantes de ganar persistencia entre las actualizaciones de software.

Además, el 1 de febrero, CISA ordenó a las agencias federales de EE. UU. que desconectaran todos los dispositivos VPN de Ivanti vulnerables en sus redes dentro de las 48 horas en respuesta a los ataques extensivos de múltiples actores de amenazas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#169
Noticias Informáticas / El comando ‘sudo’ llega a Windows 11
Febrero 09, 2024, 06:38:22 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ya se había producido algún rumor al respecto los últimos días, pero ahora ya es oficial, 'sudo' podrá ser invocado, próximamente, desde la consola de Windows 11. Y llegados a este punto hay dos posibilidades, en función de si has tenido contacto alguno con Linux o no.

En Windows lo más habitual es emplear una cuenta de administrador, es decir, una cuenta con permisos para realizar una enorme cantidad de acciones, muchas de ellas potencialmente peligrosas. En Linux, sin embargo, lo más común es emplear cuentas de usuario con permisos limitados a lo que esa persona hace de manera habitual. De este modo se evita el riesgo de llevar a cabo acciones nocivas de manera accidental, pero también que esa cuenta de usuario pueda ser empleada por terceros con aviesas intenciones si es que cae en sus manos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En cambio en Linux, un usuario con una cuenta limitada que desease llevar a cabo una operación, mediante la línea de comando, requiere un nivel de acceso superior al que le corresponde. Las dos opciones más rápidas son o abrir una consola como root (el tipo de cuenta con el nivel más alto de permisos en el sistema, también conocido como Super Usuario), o bien escalar sus permisos directamente desde la línea de comando. Y ahí es dónde entra 'sudo'.

Su nombre es la contracción de «SU (Super User) Do», es decir, «Super Usuario hace» y, por lo tanto, le estaremos indicando al sistema que, el comando que encontrará a continuación, debe ejecutarse como el usuario root del sistema. En ese momento, el usuario deberá autenticarse para que el sistema lleve a cabo esa acción.
Siendo así, Microsoft decidió incorporar el comando 'sudo' a Windows 11,y que ya ha se ha empezado a desplegar en la Preview Build 26052 de los canales Canary y Dev del programa de insiders.

Adicionalmente, y en la línea habitual de Microsoft desde que se «enamoró» de Linux y del ecosistema del software libre, este proyecto ha optado por una licencia del tipo MIT, por lo que hablamos de un proyecto de código abierto, cuyo repositorio se puede encontrar en GitHub:

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Eso sí, dado que ha debutado ahora en los dos canales más inestables del programa de insiders, y que parece que Microsoft pretende que la comunidad se involucre en su desarrollo, lo más probable es que todavía tengamos que esperar, quizá hasta finales de año, hasta que 'sudo' llegue a la versión final de Windows 11.

Es importante aclarar que, este 'sudo' para Windows no es un fork (una bifurcación) ni una adaptación del 'sudo' de Linux, se indica en la publicación de Microsoft. Así, debemos entender que se ha partido prácticamente de cero (obviamente al menos la inspiración sí que viene, obviamente, del sudo de Linux), de modo que, durante estos meses, si la comunidad se involucra, el resultado final puede acabar siendo muy interesante.

Fuente:
Microsoft
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio y Traducción al español):
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#170
Noticias Informáticas / La IA llega al Bloc de Notas de Windows
Febrero 09, 2024, 06:35:54 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


De manera totalmente imprevista, Microsoft ha encontrado la forma de continuar aportando novedades a su clásico Bloc de Notas. La herramienta acaba de estrenar una nueva función que hará que su uso resulte mucho más eficiente y que, sin duda, capte el interés de más usuarios.

El Bloc de Notas se estrenó en el año 1985, así que tiene una carrera de 39 años. Se trata de una de las herramientas más clásicas de Microsoft y, curiosamente, también es una de las que más ha mejorado en los últimos meses. Su último añadido sigue reforzando su nueva identidad como programa de moda capaz de atraer incluso a quienes no lo han usado nunca.

Hace tiempo los usuarios fieles al Bloc de Notas para tomar apuntes, nos acostumbramos al uso de pestañas y a otros rasgos como, por ejemplo, el recuerdo de la última nota abierta. Ahora lo que hace Microsoft es introducir una dosis de inteligencia artificial con el objetivo de conseguir que el programa tenga mucha más utilidad de la que ha sido natural hasta el momento.

Eso sí, ahora mismo se trata de una función que está disponible en la versión de Windows 11 del programa Insider, por lo que todavía no ha llegado a todos los usuarios. Por otro lado, como se trata de un elemento derivado de Copilot, tampoco tenemos muy claro cuándo se activará en nuestro país. En el momento en el que se autorice la disponibilidad de la herramienta de IA en nuestro mercado, suponemos que todas las funciones se activarán de manera simultánea.

Con la actualización que ha realizado Microsoft nos encontramos con una nueva función que resulta muy útil, práctica y que además no resulta, para nada, forzada. Lo que podemos hacer es seleccionar una parte del texto y pulsar el botón derecho. En ese momento se abrirá el menú de opciones habitual, pero con el añadido de un nuevo comando.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tiene el nombre de "Explicar con Copilot" y su función es exactamente esa: servir de explicación. La IA leerá lo que has seleccionado y buscará una explicación para poder informarte de aquello que no te termina de quedar claro en el archivo. Las opciones de explicación son más amplias de lo que se pueda imaginar, dado que es capaz de explicar todo tipo de elementos. El único requisito es que forme parte del texto del Bloc de Notas sin importar si se trata de un tipo de contenido u otro. La IA de Microsoft hará todo lo que esté en su mano para analizar y explicarte lo que hayas seleccionado.

Una forma más rápida de usar esta función es con un nuevo atajo de teclado que se ha incorporado en Windows con motivo de esta novedad. Se trata de la combinación de teclas Ctrl + E, la cual tendrá la misma finalidad y que se espera que pase a ser muy utilizada por parte de los usuarios.

Junto a esta novedad del Bloc de Notas, la actualización también ha añadido un cambio en la herramienta Recortes. Gracias a ello, ahora los usuarios tienen la posibilidad de añadir distintas formas en los documentos con los que estén interactuando, ya sean círculos, cuadrados, líneas, flechas, entre otros.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La forma de utilizar el sistema de formas es mediante el pulsado de un nuevo botón que se ha incorporado en la barra de herramientas. Una vez se pulsa este botón, es posible elegir la forma que el usuario quiere introducir en el documento o añadir varias dependiendo de las exigencias de cada momento. Por supuesto, es posible editar los colores de las formas o moverlas por el documento a fin de colocarlas donde resulte necesario.

Ambas novedades, como decíamos, están activadas en el programa para usuarios Insider, pero es de esperar que no tarden demasiado en llegar a todos los poseedores de equipos con Windows 11.

Fuente:
ADSLZone
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#171
Noticias Informáticas / Falla crítica en el gestor de arranque Shim afecta distribuciones de Linux
Febrero 07, 2024, 02:47:27 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vulnerabilidad crítica en el gestor de arranque Shim Linux permite a los atacantes ejecutar código y tomar el control de un sistema objetivo antes de que se cargue el kernel, evitando los mecanismos de seguridad existentes.

Shim es un pequeño gestor de arranque de código abierto mantenido por Red Hat que está diseñado para facilitar el proceso de arranque seguro en computadoras que utilizan la Interfaz de firmware extensible unificada (UEFI).

La herramienta está firmada con una clave de Microsoft aceptada de forma predeterminada en la mayoría de las placas base UEFI que se utiliza para verificar la siguiente etapa del proceso de arranque, generalmente cargando el gestor de arranque GRUB2.

Shim se creó por necesidad para permitir que proyectos de código abierto, como las distribuciones de Linux, se beneficiaran de las ventajas del arranque seguro, como evitar la ejecución de código malicioso o no autorizado durante el arranque, manteniendo al mismo tiempo el control sobre el hardware.

La nueva falla de Shim, rastreada como CVE-2023-40547, fue descubierta por el investigador de seguridad de Microsoft, Bill Demirkapi, quien la reveló por primera vez el 24 de enero de 2024.

El error reside en la fuente httpboot.c de Shim, que se utiliza para iniciar una imagen de red a través de HTTP.

"Al recuperar archivos a través de HTTP o protocolos relacionados, shim intenta asignar un búfer para almacenar los datos recibidos", se lee en el compromiso para corregir el error en httpboot.c.

"Desafortunadamente, esto significa obtener el tamaño de un encabezado HTTP, que puede manipularse para especificar un tamaño menor que los datos recibidos".

"En este caso, el código utiliza accidentalmente el encabezado para la asignación, pero los metadatos del protocolo para copiarlo del búfer rx, lo que resulta en una escritura fuera de límites".

Más detalles sobre la falla estuvieron disponibles el 2 de febrero de 2024, y Eclypsium publicó ayer un informe para llamar la atención sobre este problema de seguridad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La vulnerabilidad radica en el análisis de las respuestas HTTP por parte de Shim, lo que permite a un atacante crear solicitudes HTTP especialmente diseñadas para provocar una escritura fuera de límites.


Esto podría permitir que un atacante comprometa un sistema ejecutando código privilegiado antes de que se cargue el sistema operativo, evitando efectivamente los mecanismos de seguridad implementados por el kernel y el sistema operativo.

Eclypsium dice que múltiples rutas potenciales de explotación pueden aprovechar CVE-2023-40547, incluidos puntos de ataque locales, adyacentes a la red y remotos. El informe de la empresa destaca los siguientes tres métodos:

- Un atacante remoto puede ejecutar un ataque de intermediario (MiTM), interceptando el tráfico HTTP para el arranque HTTP, potencialmente desde cualquier posición de la red entre la víctima y el servidor.

- Un atacante local con privilegios suficientes puede modificar las variables EFI o la partición EFI utilizando un USB Linux activo para alterar el orden de arranque y cargar un shim comprometido, ejecutando código privilegiado sin deshabilitar el arranque seguro.

- Un atacante en la misma red puede usar PXE para cargar un cargador de arranque comprometido, explotando la vulnerabilidad.

Impacto y correcciones

RedHat emitió un código de confirmación para corregir CVE-2023-40547 el 5 de diciembre de 2023, pero las distribuciones de Linux que admiten Secure Boot y usan Shim deben implementar sus propios parches.

Las distribuciones de Linux que utilizan Shim, como Red Hat, Debian, Ubuntu y SUSE, han publicado avisos con información sobre la falla.

Se recomienda a los usuarios de Linux que actualicen a la última versión de Shim, v15.8, que contiene una solución para CVE-2023-40547 y otras cinco vulnerabilidades importantes.

Eclypsium explica que los usuarios de Linux también deben actualizar UEFI Secure Boot DBX (lista de revocación) para incluir los hashes del software Shim vulnerable y firmar la versión parcheada con una clave válida de Microsoft.

Para hacer eso, primero actualice a Shim 15.8 y luego aplique la actualización DBX usando el comando 'fwupdmgr update' (necesita fwupd).

Comando para actualizar DBX
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunas distribuciones de Linux ofrecen una herramienta GUI para realizar esta actualización, así que asegúrese de verificar su administrador de paquetes antes de profundizar en la terminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aunque es poco probable que se explote masivamente, CVE-2023-40547 no es un error que deba ignorarse, ya que ejecutar código antes del inicio del sistema operativo es una de las formas más fuertes y sigilosas de comprometer el sistema.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#172
Noticias Informáticas / Hackers chinos no logran reconstruir la botnet desmantelada por el FBI
Febrero 07, 2024, 02:44:11 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos.

Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon (también conocido como Bronze Silhouette) enviar actividad maliciosa a través de cientos de pequeñas oficinas/oficinas domésticas (SOHO) comprometidas en todo Estados Unidos para evadir la detección.

Sin embargo, después de obtener una orden judicial que le autorizaba a desmantelar la botnet el 6 de diciembre, agentes del FBI tomaron el control de uno de sus servidores de comando y control (C2) y cortaron el acceso de los piratas informáticos chinos a los dispositivos infectados (enrutadores Netgear ProSAFE, Cisco RV320 y DrayTek Vigor más recientes, y cámaras IP Axis).

Dos días después, Volt Typhoon comenzó a escanear Internet en busca de dispositivos más vulnerables para secuestrar y reconstruir la botnet desmantelada.

Según un informe del equipo Black Lotus Labs de Lumen Technologies, los actores de amenazas llevaron a cabo un ataque a gran escala en 3.045 dispositivos, incluido un tercio de todos los enrutadores NetGear ProSAFE expuestos en línea a nivel mundial. De estos intentos lograron infectar 630 dispositivos

"Observamos un período breve pero concentrado de actividad de explotación a principios de diciembre de 2023, cuando los actores de amenazas intentaron restablecer su estructura de comando y control (C2) y devolver la botnet a su funcionamiento", dijo el equipo de Black Lotus Labs de Lumen Technologies.

"Durante un período de tres días, del 8 al 11 de diciembre de 2023, los operadores de botnets KV apuntaron a aproximadamente el 33% de los dispositivos NetGear ProSAFE en Internet para su reexplotación, un total de 2100 dispositivos distintos".

Sin embargo, a pesar de sus esfuerzos concertados, Black Lotus Labs frustró los intentos de los piratas informáticos chinos de revivir la botnet al anular el enrutamiento de toda la flota de servidores C2 y de carga útil del atacante durante un mes, entre el 12 de diciembre y el 12 de enero.

Desde que se observó la última baliza de la botnet KV el 3 de enero, no se ha activado ningún otro servidor C2.

"La falta de un servidor C2 activo combinada con la acción autorizada por el tribunal del FBI contra la botnet KV y el enrutamiento nulo persistente de Lumen Technologies de la infraestructura del clúster KV actual y nueva proporciona una buena indicación de que el clúster de actividad KV ya no está efectivamente activo". Dijo Black Lotus Labs.

Volt Typhoon ha estado violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, utilizando un grupo de botnets KV de firewalls Fortinet FortiGate comprometidos (activos hasta agosto de 2023) como trampolín para sus ataques.

La lista de organizaciones que los ciberespías chinos han violado y atacado incluye organizaciones militares estadounidenses, proveedores de servicios de Internet y telecomunicaciones, así como una empresa europea de energía renovable.

Hace una semana, CISA y el FBI instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén seguros contra los continuos ataques de Volt Typhoon mediante el uso de configuraciones predeterminadas seguras y la eliminación de fallas en la interfaz de administración web durante el desarrollo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#173
Noticias Informáticas / HPE investiga una nueva infracción tras la venta de datos en un foro
Febrero 07, 2024, 02:38:19 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hewlett Packard Enterprise (HPE) está investigando una posible nueva infracción después de que un actor de amenazas pusiera a la venta en un foro de piratería, datos supuestamente robados, alegando que contenían credenciales de HPE y otra información confidencial.

La compañía declaró que no encontró ninguna evidencia de una violación de seguridad y que no se solicitó ningún rescate, pero está investigando las afirmaciones del actor de la amenaza.

"Somos conscientes de las afirmaciones y estamos investigando su veracidad", dijo el director sénior de Comunicaciones Globales de HPE, Adam R. Bauer.

"En este momento no hemos encontrado evidencia de una intrusión, ni ningún impacto en los productos o servicios de HPE. No ha habido un intento de extorsión".

Cuando se le pidió que proporcionara detalles adicionales sobre la investigación en curso de la compañía, Bauer dijo que no tenían "nada nuevo que compartir".

IntelBroker, el actor de amenazas que vende los supuestos datos de HPE, compartió capturas de pantalla de algunas de las credenciales de HPE supuestamente robadas, pero aún no ha revelado la fuente de la información ni el método utilizado para obtenerla.

"Hoy vendo los datos que tomé de Hewlett Packard Enterprise", dice el actor de amenazas en una publicación en el foro de piratería.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Más específicamente, los datos incluyen: acceso CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos HPE StoreOnce (garantía de números de serie, etc.) y contraseñas de acceso. (También se incluyen los servicios de correo electrónico)".

IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que expuso los datos personales de miembros y personal de la Cámara de Representantes de Estados Unidos.

Otros incidentes de ciberseguridad relacionados con IntelBroker, son la violación de la ley Weee! servicio de comestibles y un supuesto incumplimiento de General Electric Aviation.

Hackers rusos violan cuentas de correo electrónico corporativas de HPE

Esta investigación se produce después de que HPE revelara hace dos semanas que el entorno de correo electrónico Microsoft Office 365 de la empresa fue violado en mayo de 2023 por piratas informáticos, y que la empresa creía que formaban parte del grupo de piratería ruso APT29 vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

La compañía dijo que los piratas informáticos rusos robaron archivos y datos de SharePoint de su equipo de ciberseguridad y otros departamentos, y mantuvieron el acceso a su infraestructura en la nube hasta diciembre, cuando HPE fue alertada nuevamente de una violación de su entorno de correo electrónico basado en la nube.

"El 12 de diciembre de 2023, se notificó a HPE que un presunto actor estatal había obtenido acceso no autorizado al entorno de correo electrónico Office 365 de la empresa. HPE activó inmediatamente los protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad". HPE.

"A través de esa investigación, que continúa en curso, determinamos que este actor-estado-nación accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a individuos en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones."

Días antes de la revelación del hackeo ruso de HPE, Microsoft reveló una violación similar en la que APT29 violó algunas de sus cuentas de correo electrónico corporativas pertenecientes a su equipo de liderazgo y empleados de los departamentos legal y de ciberseguridad.

Más tarde, Microsoft compartió que los actores de amenazas obtuvieron acceso a las cuentas de correo electrónico corporativas después de piratear una cuenta de inquilino de prueba mal configurada forzando su contraseña por fuerza bruta en un ataque de "rociación de contraseñas".

HPE también fue violada en 2018 cuando los piratas informáticos chinos APT10, piratearon las redes de IBM y utilizaron el acceso para piratear los dispositivos de sus clientes.

Más recientemente, HPE reveló en 2021 que los repositorios de datos de su plataforma de monitoreo de red Aruba Central estaban comprometidos, lo que permitía a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.

Actualización: Después de la publicación del artículo, Bauer también le dijo que, los datos que se ofrecen a la venta en línea se obtuvieron de un "entorno de prueba".

"Según nuestra investigación hasta ahora, los datos en cuestión parecen estar relacionados con información contenida en un entorno de prueba. No hay indicios de que estas afirmaciones se relacionen con algún compromiso de los entornos de producción de HPE o la información del cliente", dijo Bauer en un comunicado, enviado por correo electrónico.

"Estas son credenciales locales utilizadas en un entorno de prueba aislado y no son aplicables al entorno de producción. Además, estas credenciales por sí solas no permitirían el acceso a los entornos de producción ya que contamos con medidas de seguridad de múltiples capas. Además, no tenemos ningún indicio de que estas afirmaciones se relacionen con cualquier compromiso de la información del cliente. Dicho esto, hemos tomado medidas adicionales para endurecer aún más nuestro entorno en relación con las credenciales en cuestión".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#174
Noticias Informáticas / Google aborda una vulnerabilidad crítica en Android
Febrero 07, 2024, 02:32:56 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Google lanzó sus parches de seguridad de febrero de 2024 para Android, abordando un total de 46 vulnerabilidades.

Entre estas vulnerabilidades, una falla crítica de ejecución remota de código, identificada como CVE-2024-0031, representa un riesgo significativo. Esta falla se encuentra dentro del componente Sistema del Proyecto de código abierto de Android (AOSP) y afecta a las versiones 11, 12, 12L, 13 y 14.

El aviso de Google dice: "Se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP) y se han vinculado desde este boletín. Este boletín también incluye enlaces a parches fuera de AOSP". Esto pone de relieve el compromiso de la empresa con la transparencia y su enfoque proactivo para abordar las vulnerabilidades de seguridad.

El aviso señala, además: "El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales". Esto subraya la gravedad de la vulnerabilidad, ya que permite a un atacante ejecutar código arbitrario de forma remota sin requerir permisos adicionales.

En respuesta a estas vulnerabilidades, Google ha lanzado dos niveles de parche de seguridad: el 2024-02-01 de Android y el 2024-02-05 de Android.

Estos parches están diseñados para permitir a los socios de Google abordar un subconjunto de vulnerabilidades. Sin embargo, Google recomienda encarecidamente a sus socios de Android que aborden todos los problemas descritos en el boletín para garantizar una seguridad integral.

Se recomienda a los usuarios que apliquen los parches de seguridad tan pronto como estén disponibles. La aplicación oportuna de estos parches es crucial para mitigar los riesgos asociados con estas vulnerabilidades.

Fuente:
Vulnera
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#175
Noticias Informáticas / Pagos de criptorescates alcanzaron récord de mil millones de dólares en 2023
Febrero 07, 2024, 01:23:00 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

7 feb (Reuters) - Los pagos de ataques de rescate relacionados con criptomonedas casi se duplicaron a un récord de mil millones de dólares en 2023, dijo el miércoles la firma de análisis blockchain Chainalysis.

Los estafadores que se dirigen a instituciones como hospitales, escuelas y oficinas gubernamentales para pedir rescate se embolsaron 1.100 millones de dólares el año pasado, en comparación con 567 millones de dólares en 2022.

Sin embargo, las pérdidas derivadas de otros delitos relacionados con las criptomonedas, como la estafa y la piratería, disminuyeron en 2023, dijo Chainalysis.

Bitcoin, la criptomoneda más grande, ha subido un 60% desde finales de septiembre a 43.134 dólares debido al entusiasmo por un nuevo ETF de bitcoin en Estados Unidos y a las señales de que los bancos centrales de todo el mundo comenzarán a recortar las tasas de interés.

"Un número cada vez mayor de nuevos actores se sintieron atraídos por el potencial de obtener altas ganancias y menores barreras de entrada", dijo Chainalysis.

La "caza mayor" se ha convertido en la estrategia dominante en los últimos años, con una parte dominante de todo el volumen de ingresos por rescates compuesta por pagos de 1 millón de dólares o más, añadió Chainalysis.

Un grupo de extorsionadores digitales llamado "cl0p", que subvirtió un software para compartir archivos MOVEit, hizo casi 100 millones de dólares en pagos de rescate, dijo la compañía de análisis.

Cientos de organizaciones, incluidos departamentos gubernamentales, el regulador de telecomunicaciones del Reino Unido y el gigante energético Shell, han informado violaciones de seguridad cibernética que involucran la herramienta de software MOVEit, que generalmente se usa para transferir grandes cantidades de datos, a menudo confidenciales, incluida información de pensiones y números de seguro social.

Un informe de noviembre mostró que el grupo de cibercrimen "Black Basta" había extorsionado al menos 107 millones de dólares en bitcoins, y gran parte de los pagos de rescate lavados llegaron al sancionado intercambio ruso de criptomonedas Garantex.

El robo de criptomonedas mediante ciberatracos y ataques de ransomware también es una importante fuente de financiación para Corea del Norte, según informes de la ONU.

Las cifras de Chainalysis subestiman el papel de las criptomonedas en todos los delitos, ya que solo rastrea las criptomonedas enviadas a direcciones de billetera identificadas como ilícitas. No incluye pagos por delitos no relacionados con las criptomonedas, como las criptomonedas utilizadas en acuerdos de tráfico de drogas.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#176
Noticias Informáticas / Virus o intento de atraco a FINCIMEX (Cuba)?
Febrero 07, 2024, 01:16:08 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sí hubo un ataque, al parecer, y aún los sitios de CIMEX continuaban dando error, ya con advertencias de "mantenimiento" o de imposibilidad de encontrar la dirección proporcionada.

Así, en los días previos los usuarios de la financiera estuvieron reportando problemas de "autorización denegada" a sus cuentas, invalidez de los códigos captcha y números de clave, tanto como demora excesiva en la llegada de remesas, aunque esto último, a la par de la nula respuesta a las quejas de los clientes, son problemas que han caracterizado los servicios de FINCIMEX aun en los momentos en que funcionaba "normalmente".

El 16 de noviembre de 2021 Fincimex informaba sobre el inesperado traslado de sus operaciones a un nuevo sitio web, cerrando las operaciones de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con "carácter temporal" bajo la justificación de realizar "actualizaciones técnicas" que le permitieran "regresar con mejores prestaciones"; sin embargo, unos días antes, el 10 de noviembre de 2021, ante las reiteradas quejas de los usuarios, Fincimex debió informar sobre la interrupción de los servicios de extracción de efectivo con tarjetas VISA, AIS y BFI en cajeros automáticos por  "dificultades tecnológicas".

Un año bien tenso el 2021 para CIMEX, en tanto a finales de junio de 2021 el atraco a uno de sus establecimientos comerciales causó la sustracción de cientos de tarjetas prepago para los combustibles que por breve tiempo circularon, aunque pudo causarle pérdidas considerables.

Ahora en 2024, a punto de ser activadas las nuevas tarjetas "Clásica" de prepago en USD y de iniciar las operaciones la nueva red de servicentros que comercializarán en moneda fuerte, FINCIMEX habría estado bajo un "intento de atraco".

De acuerdo con unas fuentes, los servidores de la corporación estatal CIMEX , a la cual pertenece Fincimex, no se infectaron por programas maliciosos con la intención de ponerlos fuera de servicio sino que fueron manipulados desde la propia empresa con la intención de, una vez activadas, obtener duplicados de las tarjetas prepago en circulación. Delitos de robo y fraude por los cuales actualmente estarían siendo investigadas varias personas dentro de la propia financiera, así como al menos dos estudiantes de 4to. año de la Universidad de Ciencias Informáticas (UCI) y al menos un profesor que, para los trabajos de diploma y por algunos servicios prestados, tuvieron vínculos directos con la corporación.

No obstante, otras fuentes consultadas, ligadas estrechamente a la UCI como parte de su claustro, aunque al igual descartan que el ataque proviniera del exterior —como se afirmó en la nota oficial—, no reconocen un vínculo directo entre los detenidos y CIMEX sino que se trataría solo de un ataque o atentado contra los servidores de la corporación, sin otros objetivos que no fueran inutilizarlos como protesta por la impopularidad de las medidas que entrarían en vigor.

Igual, de acuerdo con las fuentes, lo ocurrido con Fincimex es lo que los expertos en ciberseguridad denominan "ataque de denegación de servicio" o DoS, por sus siglas en inglés, considerado entre los ataques más comunes en los últimos años en Cuba ya provenientes del exterior o internos.

Los ataques de denegación de servicio tienen como objetivo bloquear o ralentizar el acceso de los usuarios a un sistema o servicio informático. En este caso, como los describe la literatura especializada, los servidores de CIMEX habrían sido inundados por un alud de solicitudes que saturaron su capacidad de respuesta, lo cual terminó bloqueándolos.

Hasta el momento, no se ha podido confirmar la identidad de las personas detenidas por el presunto ataque cibernético. Igualmente, ningún medio oficial o vinculado a estos, ni el Centro Nacional de Ciberseguridad o la Oficina de Seguridad para las Redes Informáticas de Cuba, han ofrecido detalles de lo ocurrido más allá de atribuir el ataque a un origen externo.

Solo el año pasado el Centro de Operaciones de Seguridad de la Empresa de Telecomunicaciones de Cuba (ETECSA) reveló que se detectaron en la Isla más de 2.600 incidentes, la mayor parte de ellos de los llamados DoS.

Asimismo, aseguró que los ciberataques contra sitios web cubanos se ejecutaron con el empleo de direcciones IP registradas en proveedores de servicios de telecomunicaciones de Estados Unidos, Reino Unido, Francia, Turquía, Alemania y Países Bajos, pero no hizo referencia a los numerosos ataques de robo de identidad, sustracción de datos y otros que son denunciados a diario en Cuba, casi todos internos.
   
Luego de los ciberataques de julio de 2021 a los servidores del Ministerio de Relaciones Exteriores, el Banco Central de Cuba y los Servicios de hospedaje de ETECSA, que afectó los sitios de la Presidencia de la República, Granma, Cubadebate y el Partido Comunista (PCC), entre otros, este a Fincimex es sin dudas el más significativo hasta la fecha.

Fuente:
CubaNet
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#177
Noticias Informáticas / Rompen el cifrado BitLocker de Windows
Febrero 07, 2024, 01:13:20 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El cifrado BitLocker lleva ya unos cuantos años disponible y viene integrado en las versiones Pro, Ultimate y Enterprise de los sistemas operativos Windows. Su debut se produjo en Windows Vista, y se ha mantenido desde entonces hasta nuestros días, ya que tanto Windows 10 Pro como Windows 11 Pro cuentan con dicha tecnología de cifrado.

La principal ventaja que tiene el cifrado BitLocker es que es una herramienta muy sencilla y fácil de utilizar, y el hecho de que venga integrado en Windows de forma gratuita ha sido clave para que su popularidad creciera exponencialmente. Gracias a esta solución podemos cifrar los datos de nuestras unidades de almacenamiento en Windows, ¿pero realmente es una solución tan segura como se cree?

Podríamos entrar en un debate profundo para intentar responder a esa pregunta, pero la verdad es que es innecesario, porque han conseguido romper el cifrado BitLocker de Windows utilizando algo tan simple y tan asequible como una Raspberry Pi Pico de 5 dólares. Puede que alguno esté pensando que, al menos, habrá sido relativamente difícil romper dicho cifrado, y que habrán necesitado bastante tiempo al utilizar un hardware tan modesto, pero nada más lejos de la realidad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El autor del vídeo adjunto ha necesitado solo 43 segundos para tumbar BitLocker.

¿Cómo lo ha hecho?

Pues ejecutando un ataque que aprovechaba el chip TPM, siglas de Módulo de Plataforma de Confianza, un componente que forma parte de los requisitos de Windows 11. En la mayoría de los ordenadores y portátiles profesionales este chip es fácil de localizar, y este utiliza el bus LPC para enviar y recibir información de la CPU.

El cifrado BitLocker depende del chip TPM para almacenar datos fundamentales, como los Registros de Configuración de Plataforma y la Clave Maestra de Volumen. La clave es que las comunicaciones entre la CPU y el bus LPC se realizan a través de líneas que no están cifradas desde el proceso de arranque, lo que deja abierta una importante vía de entrada que ha sido clave para completar el ataque.

Al conectar de forma física la Raspberry Pi Pico a los pines de un conector LPC no utilizado el atacante pudo hacerse con las claves de cifrado durante el arranque, porque estas no están cifradas, y al final pudo unir todas las piezas necesarias para obtener la Clave Maestra de Volumen en solo 43 segundos. Cuando terminó solo tuvo que retirar la unidad cifrada y utilizar dicha clave para descifrarla.

Obvia decir que este tipo de ataque solo funcionan en aquellos equipos que tienen un chip TPM externo, y que no es efectivo en sistemas que utilicen fTPM, ya que en este caso la información y los datos de importancia crítica se almacenan en la propia CPU, así que no existe esa vulnerabilidad del conector LPC con líneas sin cifrar durante el arranque.


Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#178
Noticias Informáticas / Proveedores de spyware están detrás de la mayoría de los días cero
Febrero 07, 2024, 02:27:47 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los proveedores comerciales de software espía (CSV) estaban detrás del 80% de las vulnerabilidades de día cero que el Grupo de Análisis de Amenazas (TAG) de Google descubrió en 2023 y utilizó para espiar dispositivos en todo el mundo.

Las vulnerabilidades de día cero son fallas de seguridad que los proveedores del software afectado no conocen o para las cuales no hay soluciones disponibles.

El TAG de Google ha estado siguiendo las actividades de 40 proveedores comerciales de software espía para detectar intentos de explotación, proteger a los usuarios de sus productos y ayudar a salvaguardar a la comunidad en general informando los hallazgos clave a las partes correspondientes.

Basándose en este seguimiento, Google ha descubierto que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos durante los últimos diez años pueden atribuirse a proveedores de software espía.

     "Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google

Esos proveedores de software espía utilizan los fallos de día cero para atacar a periodistas, activistas y figuras políticas según las indicaciones de sus clientes, incluidos gobiernos y organizaciones privadas.

Algunos CSV notables destacados en el informe de Google son:

     Cy4Gate y RCS Lab: empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS. La primera adquirió la segunda en 2022, pero opera de forma independiente.

     Intellexa: Alianza de empresas de software espía liderada por Tal Dilian desde 2019. Combina tecnologías como el software espía "Predator" de Cytrox y las herramientas de interceptación WiFi de WiSpear, ofreciendo soluciones de espionaje integradas.

     Negg Group: CSV italiano con alcance internacional establecido en 2013. Es conocido por el malware "Skygofree" y el software espía "VBiss", dirigido a dispositivos móviles a través de cadenas de exploits.

     NSO Group: empresa israelí famosa por el software espía Pegasus y otras sofisticadas herramientas de espionaje. Continúa operaciones a pesar de sanciones y problemas legales.

     Variston: CSV español que ofrece soluciones de seguridad a medida. Colabora con otros proveedores para exploits de día cero y está vinculado al marco Heliconia, que se está expandiendo en los Emiratos Árabes Unidos.

Estos proveedores venden licencias para usar sus productos por millones de dólares, lo que permite a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic.

Algunas de las cadenas de exploits utilizan n-days, que son fallas conocidas para las cuales hay soluciones disponibles; sin embargo, los retrasos en la aplicación de parches aún los hacen explotables con fines maliciosos, a menudo durante períodos prolongados.

Google dice que los CSV se han vuelto muy agresivos en su búsqueda de días cero, desarrollando al menos 33 exploits para vulnerabilidades desconocidas entre 2019 y 2023.

En el apéndice del informe detallado de Google se puede encontrar una lista de 74 días cero utilizados por 11 CSV. De ellos, la mayoría son días cero que afectan a Google Chrome (24) y Android (20), seguidos de Apple iOS (16) y Windows (6).

Cuando los investigadores de "sombrero blanco" (White Hat) descubren y corrigen las fallas explotadas, los CSV a menudo sufren daños operativos y financieros significativos mientras luchan por reconstruir una vía de infección alternativa que funcione.

"Cada vez que Google y sus colegas investigadores de seguridad descubren y revelan nuevos errores, causa fricción en los CSV y les cuesta ciclos de desarrollo", dice Google.

"Cuando descubrimos y reparamos las vulnerabilidades utilizadas en las cadenas de exploits, no solo protegemos a los usuarios, sino que evitamos que los CSV cumplan sus acuerdos con los clientes, impidiéndoles recibir pagos y aumentando sus costos para continuar operando".

Sin embargo, esto no es suficiente para detener la proliferación de software espía, ya que la demanda de estas herramientas es fuerte y los contratos son demasiado lucrativos como para que los CSV los abandonen.

Google pide que se tomen más medidas contra la industria del software espía, incluidos mayores niveles de colaboración entre los gobiernos, la introducción de directrices estrictas que gobiernen el uso de tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.

Google está contrarrestando proactivamente las amenazas de software espía a través de soluciones como Navegación segura, seguridad de Gmail, el Programa de protección avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir abiertamente información sobre amenazas con la comunidad tecnológica.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#179
Noticias Informáticas / Microsoft lleva el comando sudo de Linux a Windows Server
Febrero 07, 2024, 02:22:49 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft está incorporando la función 'sudo' de Linux a Windows Server 2025, ofreciendo una nueva forma para que los administradores aumenten los privilegios para las aplicaciones de consola.

Superuser do, o sudo, es un programa de consola de Linux que permite a los usuarios con pocos privilegios ejecutar un comando con privilegios elevados, normalmente como root.

Este comando ofrece mayor seguridad en Linux, ya que los servidores se pueden usar normalmente con cuentas con pocos privilegios y al mismo tiempo permiten a los usuarios elevar sus privilegios según sea necesario al ejecutar comandos específicos.

Probando sudo en Windows Server 2025

Microsoft lanzó la primera versión preliminar de Windows Server 2025 Insider la semana pasada. Sin embargo, poco después, se filtró en línea una versión más nueva.

Como informó por primera vez Windows Latest (descubierto por primera vez por @thebookisclosed en X), la versión filtrada contiene algunas características nuevas en desarrollo, incluida nueva configuración para un comando 'sudo' de Windows.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nueva configuración de sudo en la versión preliminar de Windows Server 2025
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estas configuraciones solo están disponibles después de habilitar el modo de desarrollador, y el comando sudo aún no funciona desde la línea de comando, lo que demuestra que se encuentra en una etapa temprana de desarrollo.

Sin embargo, la configuración de sudo proporciona algunas pistas sobre cómo funcionará el comando, con la capacidad de ejecutar aplicaciones sudo 'en una nueva ventana', 'con entrada deshabilitada' y 'en línea'.

Windows ya ofrece la posibilidad de elevar programas automáticamente mediante indicaciones de UAC, lo que hace que los programas se ejecuten con privilegios elevados en su propia ventana.

Sin embargo, algunas herramientas administrativas, como bcdedit y reagentc, requieren que sea administrador para ejecutar estos comandos.

En estos casos, el comando sudo permitirá que los programas se ejecuten según su configuración de Windows, como en una nueva ventana, en línea en la ventana actual o posiblemente en un shell no interactivo usando la configuración de entrada deshabilitada.

Si bien esta característica no se ha detectado en Windows 11, no sería sorprendente que Microsoft también agregue sudo a ese sistema operativo en el futuro.

Es importante tener en cuenta que Microsoft suele probar nuevas funciones en versiones preliminares que no se incluyen en las versiones de producción.

Sin embargo, será interesante ver cómo Microsoft integra esta característica en Windows y será algo a tener en cuenta.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#180
Noticias Informáticas / Nueva herramienta para combatir al Abuso Sexual Infantil en Internet
Febrero 07, 2024, 02:20:16 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

PIR (**), el grupo que administra el dominio .org, anunció una nueva asociación para patrocinar el acceso gratuito para grupos que ejecutan "Dominios de Nivel Superior" (Top Level Domain o como es conocido en sus siglas: TLD) (think .com, .net, etc.) a la lista de salto de TLD de Internet Watch Foundation y Alertas de Dominio.

Con acceso gratuito a ambas funciones, pueden cerrar rápidamente un sitio web, si se detectase Material de Abuso Sexual Infantil (Child Sexual Abuse Material o como es conocido en sus siglas: CSAM), y ese sitio cerrado tampoco pudiese volver a registrarse fácilmente con el mismo nombre u otro similar, con otro proveedor de dominio.

Buscan aumentar el número de TLD (Dominios de Nivel Superior) suscritos, de una docena a más de mil.

(**)
En 2002, Internet Society creó el Registro de Interés Público (PIR o Public Interest Registry), una corporación sin fines de lucro para gestionar, mejorar y ampliar el dominio .org
La Internet Society es responsable de nombrar la Junta Directiva de PIR.

Fuente:
The Verge
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#181
Noticias Informáticas / Hacen un ataque DDoS con cepillos de dientes inteligentes
Febrero 06, 2024, 05:38:20 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sucedió un escenario increíble: cepillos de dientes controlados remotamente participaron en un ataque distribuido de denegación de servicio (DDoS) para acceder y desactivar simultáneamente el sitio web de una empresa en Suiza, según informa Aargauer Zeitung.

Algunos cepillos de dientes inteligentes utilizan la conectividad para rastrear y mejorar los hábitos de higiene del usuario. Por ejemplo, las aplicaciones pueden determinar qué tan bien se cepillan los dientes los usuarios.

Los ciberdelincuentes aprovecharon las lagunas del lenguaje de programación Java para infectar en secreto cepillos de dientes inteligentes. Luego se utilizó un único comando para dirigir sus solicitudes a un servidor de destino.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Cada dispositivo conectado a Internet es un objetivo potencial o puede ser utilizado indebidamente para un ataque", advirtió Züger.

Los profesionales de la ciberseguridad evitan los dispositivos inteligentes por una buena razón: son fáciles de piratear debido a prácticas de actualización cuestionables y falta de soporte.

El informe de Aargauer Zeitung compartió que Züger y su equipo demostraron recientemente un experimento sobre cuánto tiempo tardaría una computadora conectada a Internet "sin ninguna protección" en infectarse. Supuestamente, el sistema quedó comprometido después de solo 20 minutos.

El año pasado se presentaron casi 50.000 incidentes cibernéticos ante la Oficina Federal Suiza de Ciberseguridad (BACS), un 43% más que el año anterior.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#182
Noticias Informáticas / FlipperZero para robar un Mercedes vía wireless?
Febrero 06, 2024, 05:34:14 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FlipperZero ha sido descrito como una "navaja suiza digital". Los ladrones se dirigen cada vez más a los coches sin llave aprovechando las vulnerabilidades del sistema de entrada.

"Anoche me robaron el coche en la entrada de mi casa", escribió la periodista tecnológica Eleanor Dallaway en una publicación de X el 6 de febrero.

"Aún conservo ambas llaves (estaban guardadas en un lugar seguro, lejos del coche), sin cristales rotos. La alarma no sonó (estábamos durmiendo con la ventana de arriba abierta y no escuchamos nada)", añade Dallaway.

Rik Ferguson, investigador de ciberseguridad y asesor especial de la unidad de delitos cibernéticos de Europol, respondió al tweet de Dallaway, diciendo que sospecha que FlipperZero podría haber sido utilizado para robar su Mercedes.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FlipperZero, un pequeño dispositivo que comenzó como un proyecto de Kickstarter, puede leer, grabar y manipular señales inalámbricas como radiofrecuencia (RF), comunicación de campo cercano (NFC), infrarrojos e identificación por radiofrecuencia ( RFID).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El dispositivo se ha utilizado con éxito para leer y clonar la tarjeta NFC, tarjetas de entrada, aire acondicionado, controles de TV o puertas. FlipperZero también puede leer y grabar señales de los llaveros del coche.

Sin embargo, los autos tienen un nivel adicional de característica de seguridad llamado "códigos rodantes" que cambia el código después de cada uso para evitar una forma simple de ataque de repetición. Desbloquear un automóvil con FlipperZero requeriría la explotación de vulnerabilidades adicionales.


Coches sin llave, el objetivo de los ladrones

Dado que los coches de lujo funcionan sin llave, los llamados robos de relés están aumentando. Los ladrones están explotando las vulnerabilidades de los sistemas de entrada sin llave para obtener acceso no autorizado a los vehículos.

Los sistemas de automóviles sin llave funcionan mediante un control remoto con el que el automóvil se comunica para bloquear y desbloquear, en lugar de una llave física. Los ladrones ya no necesitan robar una llave o irrumpir en una propiedad; en cambio, simplemente necesitan interceptar la señal del llavero.

Existe una amplia gama de dispositivos electrónicos, dispositivos de clonación de claves y otras herramientas que se pueden obtener fácilmente en Internet para apuntar al vehículo y robarlo en cuestión de minutos.

Reto de robar un auto

El año pasado, Hyundai y KIA lanzaron actualizaciones de software para millones de propietarios de automóviles en un esfuerzo por combatir un desafío viral en TikTok vinculado a una serie de autos robados, golpes en los guardabarros y más de una docena de muertes en los EE. UU.

El "desafío KIA", iniciado en Milwaukee, Wisconsin, por una pandilla de adolescentes conocida como "KIA Boyz", llamó la atención en 2021. Estos jóvenes ladrones comenzaron a compartir videos instructivos que demostraban cómo eludir los sistemas de seguridad de los vehículos y los autos con cables usando solo un destornillador. y un cable USB.

Este exploit afectó a todos los automóviles fabricados por Hyundai y KIA entre 2015 y 2019, que carecían de encendido por botón y de mecanismos antirrobo inmovilizadores, sumando un total de 8,3 millones de vehículos.

Los fabricantes de automóviles fueron demandados por no instalar dispositivos antirrobo en la mayoría de los modelos antes de 2021, creando un entorno propicio para los ladrones de automóviles.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#183
Noticias Informáticas / Encuesta de hardware y software de Steam: enero de 2024
Febrero 06, 2024, 05:31:27 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los últimos resultados de la encuesta de hardware y software de Steam confirman que Windows 11 está recibiendo más interés por parte de los usuarios, y es que dicho sistema operativo ha subido un 2,29% durante el mes de enero, lo que lo sitúa con una cuota total del 44,24%. Si lo comparamos con Windows 10 vemos que la diferencia a favor de este es de solo un 7,19%.

Esto representa un importante cambio de tendencia. Si Windows 11 mantiene su tendencia al alza y los valores de crecimiento son similares a los que registró en enero de este año podría acabar superando a Windows 10 antes del verano. Con con una media de crecimiento mensual del 2% en cuatro meses ya estaría por encima de dicho sistema operativo. Como dato anecdótico vemos que Windows 7 todavía tiene un 0,59% de cuota de usuarios, a pesar de que hace años que no tiene soporte oficial.

Saltando al hardware vemos que no hay cambios importantes.

NVIDIA sigue liderando en tarjetas gráficas y la familia GeForce X060 sigue siendo la más popular.
La GeForce RTX 3060 es la más utilizada con una cuota del 4,83%, seguida de la GeForce GTX 1650 y la GeForce RTX 3060 para portátil. El cuarto puesto es para la GeForce GTX 1060, quinta es la GeForce RTX 2060 y sexta la GeForce RTX 3060 Ti.

Dentro de la serie GeForce RTX 40 el modelo que más alto posiciona es la GeForce RTX 4060 para portátiles, con un 2,52%, y en escritorio la GeForce RTX 4070 con un 1,50%. Por el lado de AMD las mejor clasificadas son sus GPUs integradas, que suman un 2,11%, y en escritorio la Radeon RX 580 con un 0,92%. La mayoría de los usuarios de Steam tienen 8 GB de memoria gráfica (31,79%), un 15,04% tiene 12 GB de memoria gráfica y solo un 1,81% cuenta con 16 GB de memoria gráfica.

Por lo demás no hay sorpresas, los procesadores de 6 núcleos siguen siendo los más utilizados con una cuota del 31,64%, seguidos de los procesadores de 4 núcleos con un 22,49% y los de 8 núcleos con un 20,89%. La velocidad de trabajo más común es entre 2,3 GHz y 2,9 GHz, y la mayoría de los usuarios (un 49,60%) tiene 16 GB de memoria RAM.

La resolución dominante a la hora de jugar en Steam no ha cambiado, ya que un 59,70% de los encuestados juega en 1080p, y un 51,98% tienen unidades de almacenamiento de más de 1 TB. El kit de realidad virtual más utilizado es el Oculus Quest 2, con un 40,64%, seguido del kit de Valve con un 15% y del Meta Quest 3 con un 14,05%.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Steam
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio al español):
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#184
Noticias Informáticas / Vulnerabilidad de Mastodon permite secuestrar cualquier cuenta descentralizada
Febrero 05, 2024, 11:24:36 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella.

"Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella", dijeron los responsables en un escueto aviso.

La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado.

Se ha descrito como un "error de validación de origen" (CWE-346), que normalmente puede permitir a un atacante "acceder a cualquier funcionalidad".

"Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit", decía.

La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones y estas se aplican localmente.

Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.

La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código.

Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.

Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#185
Noticias Informáticas / AnyDesk es hackeado
Febrero 05, 2024, 11:21:22 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción.

La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes.

"Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario", dijo la compañía en un comunicado. "En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo".

Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas se han reutilizado en otros servicios en línea.

También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código.

AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado.

A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado bajo mantenimiento desde el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre "tiempos de espera intermitentes" y "degradación del servicio" con su Portal del Cliente.

AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales.

La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.

Actualización

La empresa de ciberseguridad Resecurity dijo que encontró dos actores de amenazas, uno de los cuales se conoce con el alias en línea "Jobaaaaa", anunciando un "número significativo de credenciales de clientes de AnyDesk a la venta en Exploit[.]in", señalando que podrían usarse para "soporte técnico, estafas y envíos postales (phishing)".

Se descubrió que el actor de amenazas ofrecía 18,317 cuentas por $15,000 en criptomonedas, además de aceptar un acuerdo a través de depósito en garantía en el foro sobre delitos cibernéticos.

"En particular, las marcas de tiempo visibles en las capturas de pantalla compartidas por el actor ilustran un acceso no autorizado exitoso con fecha del 3 de febrero de 2024 (divulgación posterior al incidente)", dijo la compañía. "Es posible que no todos los clientes hayan cambiado sus credenciales de acceso, o que este mecanismo aún estuviera en marcha por parte de los afectados".

No está claro cómo se obtuvieron las credenciales, pero Resecurity dijo que los ciberdelincuentes podrían apresurarse a monetizar las credenciales de los clientes disponibles a la luz del hecho de que las contraseñas podrían restablecerse.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#186
Noticias Informáticas / Ex ingeniero de la CIA condenado a 40 años por filtrar documentos clasificados
Febrero 05, 2024, 11:18:28 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un ex ingeniero de software de la Agencia Central de Inteligencia de Estados Unidos (CIA) ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por poseer material pornográfico infantil.

Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada.

"El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos", dijo el Departamento de Justicia de Estados Unidos.

La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses.

Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear "copias de archivos de desarrollo de herramientas de la CCI"en 2016.

Esta información incluía métodos para "recopilar inteligencia extranjera contra los adversarios de Estados Unidos", incluido un arsenal de armas cibernéticas y exploits de día cero que permitieron comprometer automóviles, televisores inteligentes, navegadores web y sistemas operativos móviles y de escritorio ampliamente utilizados.

La filtración, descrita como un "Pearl Harbor digital", le costó a la agencia "cientos de millones de dólares" y "perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente las vidas del personal de la CIA", dijeron los fiscales.

Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de "tejer narrativas falsas" sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas.

Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la dark web y sitios web rusos.

Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA.

El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era "romper relaciones diplomáticas, cerrar embajadas [y] poner fin a la ocupación estadounidense en todo el mundo".

"Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil", dijo el subdirector a cargo del FBI, James Smith. "La gravedad de sus acciones es evidente y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#187
Noticias Informáticas / Brecha de Cloudflare: hackers acceden al código fuente y a documentos internos
Febrero 05, 2024, 11:15:16 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-nación en el que el actor de la amenaza aprovechó las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.

La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo "con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare", dijo la empresa de infraestructura web, describiendo al actor como "sofisticado" y alguien que "operaba de manera reflexiva y metódica".

Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global.

El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso al sistema de gestión de código fuente de Bitbucket mediante el framework de simulación de adversario Sliver.

Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante.

"Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes", dijo Cloudflare.

"Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados".

Luego se dice que el actor de amenazas intentó sin éxito "acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil".

El ataque fue posible gracias al uso de un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados tras el hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta.

Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso.

La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2023. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.

"Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global", afirmó Cloudflare.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#188
Noticias Informáticas / Fallos de RunC permiten la fuga de contenedores y otorgan a los atacantes acceso
Febrero 05, 2024, 11:11:42 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.

Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido denominadas colectivamente Leaky Vessels por el proveedor de ciberseguridad Snyk.

"Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario", dijo la compañía.

runC es una herramienta para generar y ejecutar contenedores en Linux. Originalmente se desarrolló como parte de Docker y luego se dividió en una biblioteca de código abierto separada en 2015.

A continuación, se incluye una breve descripción de cada uno de los defectos:

    CVE-2024-21626 (puntuación CVSS: 8,6 ): runC Process.cwd y fuga del contenedor fds filtrado

    CVE-2024-23651 (puntuación CVSS: 8,7 ): desglose del contenedor de condiciones de carrera en tiempo de construcción de Buildkit

    CVE-2024-23652 (puntuación CVSS: 10.0 ) - Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit

    CVE-2024-23653 (puntuación CVSS: 9,8 ) - Verificación de privilegios de Buildkit GRPC SecurityMode: ruptura del contenedor en tiempo de compilación

La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando "WORKDIR".

"Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)", dijo Snyk.

No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas se solucionaron en la versión 1.1.12 de runC lanzada hoy luego de la divulgación responsable en noviembre de 2023. Las otras tres fallas de Buildkit se solucionaron con la versión 0.12.5.

"Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de creación de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. " dijo la empresa.

Docker, en un aviso independiente, dijo que las vulnerabilidades solo pueden explotarse si un usuario interactúa activamente con contenido malicioso incorporándolo al proceso de construcción o ejecutando un contenedor desde una imagen no autorizada.

"Los posibles impactos incluyen el acceso no autorizado al sistema de archivos del host, comprometer la integridad de la caché de compilación y, en el caso de CVE-2024-21626, un escenario que podría conducir a un escape completo del contenedor", dijo Docker.

Amazon Web Services (AWS), Google Cloud y Ubuntu también han publicado sus propias alertas, instando a los clientes a tomar las medidas adecuadas cuando sea necesario.

En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6 ) que un atacante podría aprovechar para salir del contenedor y obtener acceso raíz en el host.

Las debilidades de seguridad de la nube y los contenedores siguen siendo un riesgo de ataque, ya que las organizaciones otorgan permisos y privilegios administrativos excesivos a las cuentas durante la configuración inicial, dejando atrás configuraciones incorrectas y oportunidades de escalada de privilegios para los atacantes.

"Esta práctica crea un riesgo indebido cuando la mayoría de los incidentes graves de seguridad en la nube con impacto material están vinculados a la gestión fallida de identidades, acceso y privilegios", señaló Sysdig en su Informe de uso y seguridad nativo de la nube de 2024. "A menudo es el vector de ataque inicial en una cadena de ataques, y este compromiso de identidad conduce inevitablemente al abuso de aplicaciones, compromiso del sistema o filtración de datos".

Fuente[/b]:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#189
Noticias Informáticas / Mercados de Telegram impulsan los ataques de phishing con kits y malware
Febrero 05, 2024, 11:07:49 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad están llamando la atención sobre la "democratización" del ecosistema de phishing debido al surgimiento de Telegram como epicentro del cibercrimen, que permite a los actores de amenazas montar un ataque masivo por tan solo 230 dólares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Esta aplicación de mensajería se ha transformado en un centro bullicioso donde tanto los ciberdelincuentes experimentados como los recién llegados intercambian herramientas e ideas ilícitas creando una cadena de suministro oscura y bien engrasada de herramientas y datos de las víctimas", dijeron los investigadores de Guardio Labs Oleg Zaytsev y Nati Tal en un nuevo informe.

"Muestras gratuitas, tutoriales, kits e incluso piratas informáticos contratados: todo lo necesario para construir una campaña maliciosa completa de extremo a extremo". La compañía también describió a Telegram como un "paraíso de los estafadores" y un "caldo de cultivo para las operaciones modernas de phishing".

Esta no es la primera vez que la popular plataforma de mensajería pasa desapercibida por facilitar actividades maliciosas, impulsadas en parte por sus indulgentes esfuerzos de moderación.

Como resultado, lo que solía estar disponible sólo en foros de la dark web a los que solo se podía acceder mediante invitación ahora es fácilmente accesible a través de canales y grupos públicos, abriendo así las puertas del cibercrimen a ciberdelincuentes aspirantes e inexpertos.

En abril de 2023, Kaspersky reveló cómo los phishers crean canales de Telegram para educar a los novatos sobre el phishing, así como para anunciar bots que pueden automatizar el proceso de creación de páginas de phishing para recopilar información confidencial, como credenciales de inicio de sesión.

Uno de esos robots maliciosos de Telegram es Telekopye (también conocido como Classiscam), que puede crear páginas web, correos electrónicos y mensajes SMS fraudulentos para ayudar a los actores de amenazas a realizar estafas de phishing a gran escala.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Guardio dijo que los componentes básicos para construir una campaña de phishing se pueden comprar fácilmente en Telegram - "algunos se ofrecen a precios muy bajos y otros incluso gratis" - lo que hace posible configurar páginas fraudulentas a través de un kit de phishing, alojar la página en un sitio web de WordPress comprometido a través de un shell web y aprovechar un correo de puerta trasera para enviar los mensajes de correo electrónico.

Los correos de puerta trasera, comercializados en varios grupos de Telegram, son scripts PHP inyectados en sitios web ya infectados pero legítimos para enviar correos electrónicos convincentes utilizando el dominio legítimo del sitio web explotado para evitar los filtros de spam.

"Esta situación pone de relieve una doble responsabilidad de los propietarios de los sitios", dijeron los investigadores. "Deben salvaguardar no sólo sus intereses comerciales, sino también protegerse contra el uso de sus plataformas por parte de estafadores para albergar operaciones de phishing, enviar correos electrónicos engañosos y realizar otras actividades ilícitas, todo ello sin que ellos lo sepan".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para aumentar aún más la probabilidad de éxito de este tipo de campañas, los mercados digitales en Telegram también ofrecen lo que se conoce como "cartas", que son "plantillas de marca diseñadas por expertos" que hacen que los mensajes de correo electrónico parezcan lo más auténticos posible para engañar a las víctimas para que hagan clic en el enlace falso que apunta a la página fraudulenta.

Telegram también alberga conjuntos de datos masivos que contienen direcciones de correo electrónico y números de teléfono válidos y relevantes a los que dirigirse. Conocidos como "clientes potenciales", a veces se "enriquecen" con información personal como nombres y direcciones físicas para maximizar el impacto.

"Estos clientes potenciales pueden ser increíblemente específicos, adaptados a cualquier región, nicho, grupo demográfico, clientes específicos de la empresa y más", dijeron los investigadores. "Cada pieza de información personal aumenta la efectividad y credibilidad de estos ataques".

La forma en que se preparan estas listas de clientes potenciales puede variar de un vendedor a otro. Se pueden obtener en foros de ciberdelincuencia que venden datos robados de empresas atacadas o en sitios web dudosos que instan a los visitantes a completar una encuesta falsa para ganar premios.

Otro componente crucial de estas campañas de phishing es un medio para monetizar las credenciales robadas recopiladas vendiéndolas a otros grupos criminales en forma de "registros", lo que genera a los actores de amenazas un retorno de su inversión diez veces mayor según el número de víctimas que termine proporcionando detalles válidos en la página de estafa.

"Las credenciales de cuentas de redes sociales se venden por tan solo un dólar, mientras que las cuentas bancarias y las tarjetas de crédito podrían venderse por cientos de dólares, dependiendo de su validez y fondos", dijeron los investigadores.

"Desafortunadamente, con sólo una pequeña inversión, cualquiera puede iniciar una operación de phishing importante, independientemente de sus conocimientos previos o conexiones en el mundo criminal".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#190
Noticias Informáticas / Digitel (Venezuela) bloquea sus servidores debido a una amenaza de hackeo
Febrero 05, 2024, 11:04:27 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de telecomunicaciones Digitel informó que detectaron una amenaza de seguridad en su sistema, por lo que procedió a bloquear temporalmente sus servidores para prevenir cualquier hackeo y filtración de información.

En ese sentido, la compañía de telefonía móvil señaló que solo su página web estará fuera de servicio y dijo que este bloqueo no afecta la comunicación de los clientes, quienes pueden disfrutar de su servicio normalmente.

El equipo técnico y de seguridad de Digitel atiende la incidencia para restablecer la operatividad en todos sus portales y canales de atención. De esa manera ofrece disculpas por las molestias ocasionadas.

Fuente:
Globovisión
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#191
Noticias Informáticas / Hackers impulsan payloads de malware USB a través de sitios legítimos
Febrero 01, 2024, 12:28:51 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se descubrió que un actor de amenazas con motivación financiera que utilizaba dispositivos USB para la infección inicial, abusaba de plataformas en línea legítimas, incluidas GitHub, Vimeo y Ars Technica, para alojar cargas útiles codificadas, incrustadas en contenido aparentemente benigno.

Los atacantes ocultan estas cargas útiles a plena vista, colocándolas en perfiles de usuarios de foros en sitios de noticias tecnológicas o descripciones de videos en plataformas de alojamiento de medios.

Estas cargas útiles no suponen ningún riesgo para los usuarios que visitan estas páginas web, ya que son simplemente cadenas de texto. Sin embargo, cuando se integran en la cadena de ataque de la campaña, son fundamentales para descargar y ejecutar malware en los ataques.

Mandiant rastrea a los piratas informáticos responsables de esta campaña como UNC4990 y han estado activos desde 2020, apuntando principalmente a usuarios en Italia.

Alojamiento de carga útil (payloads) involuntario

El ataque comienza cuando las víctimas hacen doble clic en un archivo de acceso directo LNK malicioso en una unidad USB. No se sabe cómo los dispositivos USB maliciosos llegan a las víctimas para iniciar la cadena de ataque.

Cuando se inicia el acceso directo, ejecuta un script de PowerShell explorer.ps1, que a su vez descarga una carga útil intermedia que decodifica una URL utilizada para descargar e instalar el descargador de malware llamado 'EMPTYSPACE'.

Estas cargas útiles intermedias son cadenas de texto que se decodifican en una URL para descargar la siguiente carga útil: EMPTYSPACE.

UNC4990 ha probado varios enfoques para alojar cargas útiles intermedias, inicialmente usando archivos de texto codificados en GitHub y GitLab y luego cambiando a abusar de Vimeo y Ars Technica para alojar cargas útiles de cadenas codificadas en Base64 y cifradas con AES.

Mandiant señala que los atacantes no explotan una vulnerabilidad en estos sitios, sino que simplemente emplean características habituales del sitio, como una página Acerca de en un perfil del foro Ars Technica o una descripción de video de Vimeo, para alojar de manera encubierta la carga útil ofuscada sin levantar sospechas.

Vídeo de Vimeo que oculta código malicioso en la descripción
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, estas cargas útiles no amenazan directamente a los visitantes de los sitios abusados, ya que son simplemente cadenas de texto inofensivas, y todos los casos documentados por Mandiant ahora han sido eliminados de las plataformas intermediarias afectadas.

La ventaja de alojar las cargas útiles en plataformas legítimas y de buena reputación es que los sistemas de seguridad confían en ellas, lo que reduce la probabilidad de que sean marcadas como sospechosas.

Además, los actores de amenazas se benefician de las sólidas redes de entrega de contenido de esas plataformas y disfrutan de resiliencia ante las eliminaciones.

Incrustar las cargas útiles en contenido legítimo y mezclarlo con grandes volúmenes de tráfico legítimo hace que sea más difícil identificar y eliminar el código malicioso.

Incluso entonces, los atacantes podrían fácilmente reintroducirlo en una plataforma diferente que admita comentarios o perfiles visibles públicamente.

Cadena de ataque completa UNC4990
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cargando QUIETBOARD

El script de PowerShell decodifica, descifra y ejecuta la carga útil intermedia obtenida de los sitios legítimos y coloca EMPTYSPACE en el sistema infectado, que establece comunicación con el servidor de comando y control (C2) de la campaña.

Evolución del script de PowerShell
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En las fases posteriores del ataque, EMPTYSPACE descarga una puerta trasera llamada 'QUIETBOARD', así como mineros de criptomonedas que extraen Monero, Ethereum, Dogecoin y Bitcoin.

Las direcciones de billetera vinculadas a esta campaña han obtenido ganancias que superan los 55.000 dólares, sin contar Monero, que está oculto.

QUIETBOARD es una puerta trasera sofisticada de múltiples componentes utilizada por UNC4990, que ofrece una amplia gama de capacidades, que incluyen:

    Ejecutar comandos o scripts recibidos del servidor C2

    Ejecutando código Python recibido del C2

    Alteración del contenido del portapapeles para el robo de criptomonedas

    Infectar unidades USB/extraíbles para propagar malware en otros sistemas

    Tomar capturas de pantalla para robar información

    Recopilación de información detallada del sistema y de la red
    Determinar la ubicación geográfica del sistema infectado


QUIETBOARD también establece persistencia entre reinicios del sistema y admite la adición dinámica de nuevas funcionalidades a través de módulos adicionales.

Mandiant concluye subrayando cómo a UNC4990 le gusta realizar experimentos con sus campañas para descubrir vías óptimas para su cadena de ataque y perfeccionar sus metodologías.

A pesar de las medidas de prevención aparentemente sencillas, el malware basado en USB sigue representando una amenaza importante y sirve a los ciberdelincuentes como un medio de propagación eficaz.

En cuanto a la táctica de abusar de sitios legítimos para colocar cargas útiles intermedias, esto muestra que las amenazas pueden acechar en lugares inesperados y aparentemente inofensivos, desafiando los paradigmas de seguridad convencionales.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#192
Noticias Informáticas / La policía confisca 50.000 Bitcoins del extinto movie2k.to
Febrero 01, 2024, 12:22:06 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La policía de Sajonia, en el este de Alemania, confiscó 50.000 Bitcoin al antiguo operador del sitio pirata "movie2k.to" mediante un depósito voluntario en una billetera controlada por el estado.

Se trata de una cifra récord para las autoridades encargadas de hacer cumplir la ley del país, que corresponde a más de 2.100 millones de dólares al tipo de cambio actual Bitcoin-USD.

Movie2k fue una plataforma que funcionó entre 2008 y 2013 en un área legal gris, brindando principalmente a usuarios de habla inglesa y alemana enlaces para transmitir o descargar películas y programas de televisión, pero no alojaba ningún material protegido por derechos de autor.

Debido a su papel central en la piratería, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta enfrentó un importante escrutinio y desafíos legales por parte de las autoridades y varios grupos de la industria del entretenimiento, lo que provocó múltiples bloqueos a nivel de ISP y obligó a los operadores a cambiar sus dominios web varias veces.

El No tienes permitido ver los links. Registrarse o Entrar a mi cuenta original fue retirado alrededor de mayo de 2013 luego de una acción legal por parte de la Motion Picture Association of America (MPAA).

Con el apoyo de expertos del FBI, las autoridades policiales de Alemania continuaron investigando la identidad de los operadores detrás de la plataforma original y finalmente identificaron a un alemán de 40 años y a un polaco de 37.

Como anunció la policía, uno de los dos sospechosos transfirió voluntariamente Bitcoin a la Oficina Federal de Policía Criminal (BKA).

Se cree que las cantidades se obtuvieron de las ganancias obtenidas a través del funcionamiento de Movie2k, como ingresos por publicidad y suscripciones de membresía.

Los operadores de la plataforma comenzaron a intercambiar agresivamente dinero fiduciario con Bitcoin a mediados de 2012, ya sea como una opción de inversión o en anticipación de los riesgos legales de administrar una plataforma pirata a gran escala, asumiendo que la criptomoneda sería más difícil de rastrear y confiscar.

"En una investigación de la Fiscalía General de Dresde, la Oficina de la Policía Criminal del Estado de Sajonia y la investigación fiscal de la Oficina de Impuestos de Leipzig II como Unidad de Investigación Integrada de Sajonia (INES), a mediados de enero de 2024 se aseguraron provisionalmente casi 50.000 Bitcoins. " se lee en el anuncio de la policía.

"Se trata de la seguridad más amplia de Bitcoins realizada hasta la fecha por las autoridades policiales de la República Federal de Alemania."

La policía afirma que el acusado los transfirió voluntariamente a carteras proporcionadas por la BKA y que aún está pendiente la decisión final sobre el uso de esta importante cantidad.

Según el sitio de noticias alemán TarnKappe, uno de los dos sospechosos también estaba vinculado a "mega-downloads.net", cuyos operadores la policía de Hannover intenta descubrir desde 2009.

En agosto de 2020, el programador del sitio, que ha estado detenido desde noviembre de 2019, entregó más de 25 millones de dólares en Bitcoin (en ese momento) a las autoridades, admitiendo su participación en la plataforma.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#193
Noticias Informáticas / Exploit lanzado para falla de elevación local de Android que afecta a 7 OEM
Febrero 01, 2024, 12:15:36 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un exploit de prueba de concepto (PoC) para una falla de elevación de privilegios local que afecta al menos a siete fabricantes de equipos originales (OEM) de Android ahora está disponible públicamente en GitHub. Sin embargo, como el exploit requiere acceso local, su lanzamiento será de gran ayuda para los investigadores.

Registrada como CVE-2023-45779, la falla fue descubierta por el Red Team X de Meta a principios de septiembre de 2023 y se solucionó en la actualización de seguridad de Android de diciembre de 2023 sin revelar detalles que un atacante podría usar para discernirla y explotarla.

La vulnerabilidad existe debido a la firma insegura de los módulos APEX mediante claves de prueba, lo que permite a los atacantes enviar actualizaciones maliciosas a los componentes de la plataforma, lo que lleva a una elevación de privilegios locales.

Aunque la vulnerabilidad no se puede explotar directamente de forma remota, resalta las debilidades en la documentación de Compatibility Test Suite (CTS) y Android Open Source Project (AOSP) que Google planea abordar en la próxima versión de Android 15.

Los dispositivos que recibieron el nivel de parche de seguridad de Android 2023-12-05 están protegidos contra CVE-2023-45779.

Firma APEX insegura

Tom Hebb de Meta publicó un artículo explicando que el problema radica en la firma de módulos APEX utilizando claves de prueba disponibles públicamente de AOSP.

Los módulos APEX permiten a los OEM impulsar actualizaciones en componentes específicos del sistema sin emitir una actualización inalámbrica (OTA) completa, lo que hace que los paquetes de actualización sean más ágiles y fáciles de probar y entregar a los usuarios finales.

Estos módulos deben firmarse con una clave privada conocida sólo por el OEM, creada durante el proceso de construcción. Sin embargo, usar la misma clave pública que se encuentra en el árbol de compilación del código fuente de Android significa que cualquiera podría falsificar actualizaciones de componentes críticos del sistema.

Estas actualizaciones podrían otorgar a los atacantes privilegios elevados en el dispositivo, evitando los mecanismos de seguridad existentes y resultando en un compromiso total.

CVE-2023-45779 afecta a muchos fabricantes de equipos originales, incluidos ASUS (probado en Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) y Fairphone (5).

Los modelos anteriores se refieren únicamente a la cobertura de prueba, por lo que es probable que varios modelos, si no todos, de estos siete OEM sean vulnerables a CVE-2023-45779. El boletín de Fairphone sobre el tema lo confirma.

Hebb dice que la razón por la que varios OEM no detectaron el problema de seguridad es multifacética, incluyendo configuraciones predeterminadas inseguras en AOSP, documentación inadecuada y cobertura insuficiente por parte del CTS, que no pudo detectar el uso de claves de prueba en las firmas APEX.

Los fabricantes de equipos originales cuyos modelos de dispositivos fueron probados por los analistas de Meta y se confirmó que no eran vulnerables a CVE-2023-45779 gracias al uso de claves privadas son Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) y OnePlus (10T).

Exploit disponible

Los investigadores lanzaron un exploit para CVE-2023-45779 en GitHub, haciéndolo ampliamente disponible, pero eso no significa que los usuarios que aún no han recibido una solución deban estar particularmente preocupados.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Normalmente, la falla requeriría acceso físico al dispositivo objetivo y cierta experiencia en el uso de 'adb shell' para explotarlo, por lo que la prueba de concepto está destinada principalmente a la investigación y la validación de la mitigación.

Sin embargo, como hemos visto varias veces, siempre existe la posibilidad de que el exploit se utilice como parte de una cadena de exploits para elevar los privilegios en un dispositivo ya comprometido.

Si su dispositivo Android ejecuta algo anterior al nivel de parche de seguridad de Android 2023-12-05, considere cambiar a una distribución con soporte activo o actualizar a un modelo más nuevo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#194
Noticias Informáticas / CISA advierte sobre un error en el kernel del iPhone que ahora se explota
Febrero 01, 2024, 12:12:50 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CISA advirtió hoy que una falla de seguridad del kernel parcheada que afecta a los iPhone, Mac, televisores y relojes de Apple ahora se está explotando activamente en ataques.

Rastreado como CVE-2022-48618 y descubierto por los investigadores de seguridad de Apple, el error no se reveló hasta el 9 de enero en una actualización de un aviso de seguridad publicado en diciembre de 2022.

La compañía aún tiene que revelar si la vulnerabilidad también fue reparada silenciosamente hace más de dos años cuando se emitió el aviso por primera vez.

"Un atacante con capacidad de lectura y escritura arbitraria puede ser capaz de eludir la autenticación de puntero", reveló la compañía este mes.

"Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado en versiones de iOS lanzadas antes de iOS 15.7.1".

Esta vulnerabilidad de seguridad de autenticación inadecuada permite a los atacantes eludir la autenticación de puntero, una característica de seguridad diseñada para bloquear ataques que intentan explotar errores de corrupción de memoria.

Apple solucionó la falla con comprobaciones mejoradas en dispositivos con iOS 16.2 o posterior, iPadOS 16.2 o posterior, macOS Ventura o posterior, tvOS 16.2 o posterior y watchOS 9.2 o posterior.

La lista de dispositivos afectados por esta falla explotada activamente es bastante extensa y afecta tanto a modelos más antiguos como a más nuevos, incluyendo:

     iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores

     Macs con macOS Ventura

     Apple TV 4K, Apple TV 4K (segunda generación y posteriores) y Apple TV HD

     y Apple Watch Series 4 y posteriores

Se ordenó a las agencias federales aplicar parches antes del 21 de febrero

Si bien Apple aún tiene que compartir más detalles sobre la explotación activa de CVE-2022-48618 en la naturaleza, CISA ha agregado la vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas.

También ordenó a las agencias federales de EE. UU. que corrigieran el error antes del 21 de febrero, como lo exige una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

La semana pasada, Apple también lanzó actualizaciones de seguridad para corregir el primer error de día cero de este año (CVE-2024-23222) explotado en ataques, un problema de confusión de WebKit que los atacantes podrían aprovechar para obtener la ejecución de código en iPhones, Mac y Apple TV vulnerables.

El mismo día, la compañía también respaldó parches para modelos más antiguos de iPhone y iPad para dos días cero WebKit más, rastreados como CVE-2023-42916 y CVE-2023-42917 y parcheados en noviembre para dispositivos más nuevos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#195
Noticias Informáticas / Nueva falla de Linux glibc permite obtener root
Febrero 01, 2024, 12:06:53 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los atacantes sin privilegios pueden obtener acceso root en múltiples distribuciones importantes de Linux, en configuraciones predeterminadas, explotando una vulnerabilidad de escalada de privilegios locales (LPE) recientemente revelada en la biblioteca GNU C (glibc).

Registrado como CVE-2023-6246, este fallo de seguridad se encontró en la función __vsyslog_internal() de glibc, llamada por las funciones ampliamente utilizadas syslog y vsyslog para escribir mensajes en el registrador de mensajes del sistema.

El error se debe a una debilidad de desbordamiento del búfer introducida accidentalmente en glibc 2.37 en agosto de 2022 y luego trasladada a glibc 2.36 al abordar una vulnerabilidad menos grave rastreada como CVE-2022-39046.

"El problema del desbordamiento del búfer representa una amenaza significativa ya que podría permitir una escalada de privilegios locales, permitiendo a un usuario sin privilegios obtener acceso completo root a través de entradas diseñadas para aplicaciones que emplean estas funciones de registro", dijeron los investigadores de seguridad de Qualys.

"Aunque la vulnerabilidad requiere condiciones específicas para ser explotada (como un argumento de identificación argv[0] o openlog() inusualmente largo), su impacto es significativo debido al uso generalizado de la biblioteca afectada".


Afecta a los sistemas Debian, Ubuntu y Fedora

Mientras probaba sus hallazgos, Qualys confirmó que Debian 12 y 13, Ubuntu 23.04 y 23.10 y Fedora 37 a 39 eran vulnerables a los exploits CVE-2023-6246, lo que permitía a cualquier usuario sin privilegios, escalar dichos privilegios a acceso completo root en instalaciones predeterminadas.

Aunque sus pruebas se limitaron a un puñado de distribuciones, los investigadores agregaron que "probablemente otras distribuciones también sean explotables".

Mientras analizaban glibc en busca de otros posibles problemas de seguridad, también encontraron otras tres vulnerabilidades, dos de ellas, más difíciles de explotar, en la función __vsyslog_internal() (CVE-2023-6779 y CVE-2023-6780) y una tercera (un problema de corrupción de memoria todavía esperando un CVEID) en la función qsort () de glibc.

"El reciente descubrimiento de estas vulnerabilidades no es sólo una preocupación técnica sino una cuestión de implicaciones de seguridad generalizadas", afirmó Saeed Abbasi, director de producto de la Unidad de Investigación de Amenazas de Qualys.

"Estas fallas resaltan la necesidad crítica de medidas de seguridad estrictas en el desarrollo de software, especialmente para las bibliotecas centrales ampliamente utilizadas en muchos sistemas y aplicaciones".

Otras fallas de escalada de raíz de Linux encontradas por Qualys

En los últimos años, los investigadores de Qualys han encontrado otras vulnerabilidades de seguridad de Linux que pueden permitir a los atacantes obtener un control total sobre sistemas Linux sin parches, incluso en configuraciones predeterminadas.

Las vulnerabilidades que descubrieron incluyen una falla en el cargador dinámico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta de glibc (Looney Tunables), una en el componente pkexec de Polkit (llamado PwnKit), otra en la capa del sistema de archivos del Kernel (llamada Sequoia) y en el programa Sudo Unix (también conocido como Baron Samedit).

Días después de que se revelara la falla de Looney Tunables (CVE-2023-4911), se publicaron en línea exploits de prueba de concepto (PoC) y los actores de amenazas comenzaron a explotarlo un mes después para robar credenciales del proveedor de servicios en la nube (CSP) con ataques del malware Kinsing.

La pandilla Kinsing es conocida por implementar malware de minería de criptomonedas en sistemas comprometidos basados en la nube, incluidos servidores Kubernetes, Docker API, Redis y Jenkins.

Posteriormente, CISA ordenó a las agencias federales de EE. UU. que protegieran sus sistemas Linux contra los ataques CVE-2023-4911 después de agregarlo a su catálogo de errores explotados activamente y etiquetarlo como "riesgos significativos para las empresas federales".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




#196
Noticias Informáticas / Meta lanza su IA Code LLaMA 2 especializada en generar código fuente
Enero 30, 2024, 02:14:16 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Meta, el gigante tecnológico propietario de Facebook, Instagram y WhatsApp, viene desarrollando desde hace unos meses LLaMA, una 'familia' de modelos de IA de generación de texto, y hace sólo unas horas ha anunciado el lanzamiento de uno de los últimos miembros de la misma: Code LLaMA 70B, especializado en generar código de programación.

Code LLaMA está construido sobre la base de LLaMA 2, una IA potente aunque originalmente deficiente en el campo de la generación de código, por lo que ha sido ajustado entrenándolo, precisamente, con datasets especializados en el mismo.

Sus características

Code LLaMA 70B ofrece tres versiones gratuitas para uso en investigación y comercialización: código fundamental (CodeLlama - 70B), especialización en Python (CodeLlama - 70B - Python) y una versión afinada para instrucciones en lenguaje natural (Code Llama - 70B - Instruct 70B); ésta última destaca por su impresionante puntuación de 67,8 en el índice de evaluación humana (HumanEval).

Esto significa que este nuevo modelo supera (aunque sea por poco) el rendimiento de GPT-4 en materia de generación de código, tal como se ve en esta tabla:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto consolida a CodeLLaMA como uno de los modelos abiertos de mayor rendimiento disponibles en la actualidad. Aunque, como ya explicamos en su momento, la etiqueta de 'abierto' aplicada a los modelos de LLaMA resulta polémica: si bien cualquier programador individual o startup puede descargar este modelo (solicitándolo en este formulario : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta i ntegrarlo en sus herramientas, incluso las de tipo comercial...

...el modelo cuenta con una limitación en cuanto a su libre uso por parte de grandes compañías, lo que -siendo precisos- vulnera la definición de la etiqueta de "código abierto". En cualquier caso, esta es una gran noticia para la mayor parte de los programadores del mundo, que se benefician de la apuesta de Meta por el campo de la programación asistida por inteligencia artificial.

El propio Mark Zuckerberg, CEO y fundador de Meta, ha expresado su entusiasmo por este lanzamiento:

"Estamos compartiendo de manera abierta un nuevo y mejorado Code LLaMA, que incluye un modelo de 70B ('billions', miles de millones) de parámetros. La capacidad de escribir y editar código ha emergido como uno de los usos más importantes de los modelos de IA en la actualidad".

Fuente:
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#197
Noticias Informáticas / US deshabilitó una red de piratería china dirigida a sus infraestructuras críticas
Enero 30, 2024, 01:43:47 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

29 ene (Reuters) - El gobierno de Estados Unidos lanzó en los últimos meses una operación para luchar contra una omnipresente operación de piratería china que comprometió con éxito miles de dispositivos conectados a Internet, según dos funcionarios de seguridad occidentales y una persona familiarizada con el asunto.

El Departamento de Justicia y la Oficina Federal de Investigaciones solicitaron y recibieron autorización legal para desactivar de forma remota aspectos de la campaña de piratería china, dijeron las fuentes a Reuters.

La administración Biden se ha centrado cada vez más en la piratería, no solo por temor a que los estados nacionales intenten perturbar las elecciones estadounidenses de noviembre, sino porque el ransomware causó estragos en las empresas estadounidenses en 2023.

El grupo de hackers en el centro de la actividad reciente, Volt Typhoon, ha alarmado especialmente a los funcionarios de inteligencia que dicen que es parte de un esfuerzo mayor para comprometer la infraestructura crítica occidental, incluidos puertos navales, proveedores de servicios de Internet y servicios públicos.

Si bien la campaña Volt Typhoon salió a la luz inicialmente en mayo de 2023, los piratas informáticos ampliaron el alcance de sus operaciones a fines del año pasado y cambiaron algunas de sus técnicas, según tres personas familiarizadas con el asunto.

La naturaleza generalizada de los ataques llevó a una serie de reuniones entre la Casa Blanca y la industria tecnológica privada, incluidas varias empresas de telecomunicaciones y de transporte en la nube, en las que el gobierno de Estados Unidos pidió ayuda para rastrear la actividad.

Tales violaciones podrían permitir a China, dijeron expertos en seguridad nacional, perturbar de forma remota instalaciones importantes en la región del Indo-Pacífico que de alguna forma apoyan o prestan servicios a las operaciones militares estadounidenses. Las fuentes dijeron que a los funcionarios estadounidenses les preocupa que los piratas informáticos estuvieran trabajando para perjudicar la preparación de Estados Unidos en caso de una invasión china de Taiwán.

China, que afirma que Taiwán está gobernado democráticamente como su propio territorio, ha aumentado sus actividades militares cerca de la isla en los últimos años en respuesta a lo que Beijing llama "colusión" entre Taiwán y Estados Unidos.

El Departamento de Justicia y el FBI declinaron hacer comentarios. La embajada china en Washington no respondió de inmediato a una solicitud de comentarios.

Cuando las naciones occidentales advirtieron por primera vez sobre Volt Typhoon en mayo, el portavoz del Ministerio de Asuntos Exteriores chino, Mao Ning, dijo que las acusaciones de piratería informática eran una "campaña de desinformación colectiva" de los países de los Cinco Ojos, en referencia al grupo de países que comparten inteligencia formado por Estados Unidos. Canadá, Nueva Zelanda, Australia y el Reino Unido.

Volt Typhoon ha funcionado tomando el control de franjas de dispositivos digitales vulnerables en todo el mundo, como enrutadores, módems e incluso cámaras de seguridad conectadas a Internet, para ocultar ataques posteriores contra objetivos más sensibles, dijeron investigadores de seguridad a Reuters. Esta constelación de sistemas controlados remotamente, conocida como botnet, es una preocupación primordial para los funcionarios de seguridad porque limitan la visibilidad de los ciberdefensores que monitorean las huellas extranjeras en sus redes informáticas.

"Lo que sucede es que los chinos toman el control de una cámara o módem que está ubicado geográficamente justo al lado de un puerto o ISP (proveedor de servicios de Internet) y luego usan ese destino para dirigir sus intrusiones al objetivo real", dijo un ex funcionario familiarizado con el asunto. "Para el equipo de TI en el objetivo descendente, simplemente parece un usuario nativo normal que está sentado cerca".

El uso de las llamadas botnets por parte de gobiernos y piratas informáticos criminales para blanquear sus operaciones cibernéticas no es nuevo. Este enfoque se utiliza a menudo cuando un atacante quiere apuntar rápidamente a numerosas víctimas simultáneamente o busca ocultar sus orígenes.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#198
Noticias Informáticas / Mercedes-Benz expone datos internos incluido el código fuente de la empresa
Enero 30, 2024, 01:41:01 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de RedHunt Labs descubrieron que Mercedes-Benz dejó involuntariamente una clave privada accesible en línea, exponiendo así datos internos, incluido el código fuente de la empresa. No está claro si la filtración de datos expuso los datos de los clientes.

El token revelado tenía el potencial de proporcionar acceso sin restricciones al GitHub Enterprise Server de Mercedes, permitiendo a cualquiera recuperar los repositorios privados de código fuente de la empresa.

"El token de GitHub brindó acceso 'sin restricciones' y 'no monitoreado' todo el código fuente alojado en el servidor interno de GitHub Enterprise", dijo a TechCrunch Shubham Mittal, cofundador y director de tecnología de RedHunt Labs.

"Los repositorios incluyen una gran cantidad de propiedad intelectual... cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, contraseñas [de inicio de sesión único], claves API y otra información interna crítica".

Los repositorios expuestos incluían credenciales de Microsoft Azure y Amazon Web Services (AWS), una base de datos de Postgres y código fuente de Mercedes.

Una vez que Mercedes se dio cuenta de la filtración de datos, revocó el token expuesto y eliminó el repositorio público.

TechCrunch reveló el problema de seguridad a Mercedes el lunes. El miércoles, la portavoz de Mercedes, Katja Liesenfeld, confirmó que la empresa "revocó el token API respectivo y eliminó el repositorio público inmediatamente".

"Podemos confirmar que el código fuente interno se publicó en un repositorio público de GitHub por error humano", dijo a TechCrunch la portavoz de Mercedes, Katja Liesenfeld. "La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades". "Continuaremos analizando este caso de acuerdo con nuestros procesos normales. Dependiendo de esto, implementamos medidas correctivas".


Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#199
Noticias Informáticas / Neuralink implanta su primer chip cerebral en un ser humano
Enero 30, 2024, 01:38:43 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

29 ene (Reuters) - El primer paciente humano recibió el domingo un implante del startup de chips cerebrales Neuralink y se está recuperando bien, dijo el multimillonario fundador de la compañía, Elon Musk.

"Los resultados iniciales muestran una prometedora detección de picos neuronales", dijo Musk en una publicación en la plataforma de redes sociales X el lunes.

Los picos son actividad de las neuronas, que el Instituto Nacional de Salud describe como células que utilizan señales eléctricas y químicas para enviar información al cerebro y al cuerpo.

El año pasado, la Administración de Alimentos y Medicamentos de EE. UU. había dado autorización a la compañía para realizar su primer ensayo y así probar su implante en humanos, un hito crítico en las ambiciones del startup de ayudar a los pacientes a superar la parálisis y una serie de afecciones neurológicas.

En septiembre, Neuralink dijo que recibió la aprobación para el reclutamiento para el ensayo en humanos.

El estudio utiliza un robot para colocar quirúrgicamente un implante de interfaz cerebro-computadora (BCI) en una región del cerebro que controla la intención de moverse, dijo Neuralink anteriormente, y agregó que su objetivo inicial es permitir a las personas controlar el cursor o el teclado de una computadora. usando solo sus pensamientos.

Los hilos "ultrafinos" de los implantes ayudan a transmitir señales en el cerebro de los participantes, dijo Neuralink.

El primer producto de Neuralink se llamaría Telepathy, dijo Musk en una publicación separada en X.

El estudio PRIME del startup es una prueba de su interfaz inalámbrica cerebro-computadora para evaluar la seguridad del implante.

La compañía se ha enfrentado a llamados de escrutinio con respecto a sus protocolos de seguridad. Reuters informó a principios de este mes que la empresa fue multada por violar las normas del Departamento de Transporte de EE. UU. (DOT) con respecto al movimiento de materiales peligrosos.

La compañía estaba valorada en unos 5.000 millones de dólares en junio pasado, pero a finales de noviembre cuatro legisladores pidieron a la Comisión de Bolsa y Valores de Estados Unidos que investigara si Musk había engañado a los inversores sobre la seguridad de su tecnología después de que los registros veterinarios mostraran que los problemas con los implantes en monos incluían parálisis, convulsiones e inflamación del cerebro.

Musk escribió en una publicación en las redes sociales el 10 de septiembre que "ningún mono ha muerto como resultado de un implante Neuralink". Añadió que la empresa eligió monos "terminales" para minimizar el riesgo para los monos sanos.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#200
Noticias Informáticas / La NSA admite haber comprado en secreto datos de navegación sin autorización
Enero 29, 2024, 06:19:29 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad Nacional (NSA) de Estados Unidos admitió haber comprado registros de navegación en Internet a intermediarios de datos para identificar los sitios web y las aplicaciones que utilizan los estadounidenses y que de otro modo requerirían una orden judicial, dijo la semana pasada el senador estadounidense Ron Wyden.

"El gobierno de Estados Unidos no debería financiar y legitimar una industria turbia cuyas flagrantes violaciones de la privacidad de los estadounidenses no sólo son poco éticas, sino ilegales", dijo Wyden en una carta dirigida a la directora de Inteligencia Nacional (DNI), Avril Haines, además de instando al gobierno a tomar medidas para "garantizar que las agencias de inteligencia estadounidenses sólo compren datos sobre estadounidenses que hayan sido obtenidos de manera legal".

Los metadatos sobre los hábitos de navegación de los usuarios pueden suponer un grave riesgo para la privacidad, ya que la información podría utilizarse para recopilar datos personales sobre un individuo en función de los sitios web que frecuenta.

Esto podría incluir sitios web que ofrecen recursos relacionados con la salud mental, asistencia para sobrevivientes de agresión sexual o abuso doméstico y proveedores de telesalud que se centran en anticonceptivos o medicamentos abortivos.

En respuesta a las preguntas de Wyden, la NSA dijo que ha desarrollado regímenes de cumplimiento y que "toma medidas para minimizar la recopilación de información de personas estadounidenses" y "continúa adquiriendo sólo los datos más útiles y relevantes para los requisitos de la misión".

La agencia, sin embargo, dijo que no compra ni utiliza datos de ubicación recopilados de teléfonos utilizados en Estados Unidos sin una orden judicial. También dijo que no utiliza información de ubicación obtenida de sistemas telemáticos automotrices de vehículos ubicados en el país.

Ronald S. Moultrie, subsecretario de defensa para inteligencia y seguridad (USDI&S), dijo que los componentes del Departamento de Defensa (DoD) adquieren y utilizan información disponible comercialmente (CAI) de una manera que "se adhiere a altos estándares de protección de la privacidad y las libertades civiles". en apoyo de misiones legales de inteligencia o ciberseguridad.

La revelación es otro indicio más de que las agencias de inteligencia y de aplicación de la ley están comprando datos potencialmente confidenciales de empresas que requerirían una orden judicial para adquirirlos directamente de las empresas de comunicaciones. A principios de 2021, se reveló que la Agencia de Inteligencia de Defensa (DIA) estaba comprando y utilizando datos de ubicación nacionales recopilados de teléfonos inteligentes a través de intermediarios de datos comerciales.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La divulgación sobre la compra de datos personales sin orden judicial llega después de que la Comisión Federal de Comercio (FTC) prohibiera a Outlogic (anteriormente X-Mode Social) e InMarket Media vender información de ubicación precisa a sus clientes sin el consentimiento informado de los usuarios.

A Outlogic, como parte de su acuerdo con la FTC, también se le ha prohibido recopilar datos de ubicación que podrían usarse para rastrear las visitas de las personas a lugares sensibles, como clínicas de salud médica y reproductiva, refugios para víctimas de violencia doméstica y lugares de culto religioso.

La compra de datos confidenciales de estas "compañías turbias" ha existido en un área legal gris, señaló Wyden, y agregó que los consumidores no conocen a los intermediarios de datos que compran y revenden estos datos, quienes a menudo no saben quiénes son sus datos. se comparte o dónde se utiliza.

Otro aspecto notable de estas prácticas de datos oscuras es que las aplicaciones de terceros que incorporan kits de desarrollo de software (SDK) de estos corredores de datos y proveedores de tecnología publicitaria no notifican a los usuarios sobre la venta y el intercambio de datos de ubicación, ya sea con fines publicitarios o de seguridad nacionales.

"Según la FTC, no basta con que un consumidor dé su consentimiento para que una aplicación o un sitio web recopile dichos datos, se debe informar al consumidor y aceptar que sus datos se vendan a 'contratistas gubernamentales con fines de seguridad nacional", dijo el demócrata de Oregón. dicho.

"No conozco ninguna empresa que proporcione este tipo de advertencias a los consumidores antes de que se recopilen sus datos. Como tal, es probable que la infracción de la ley afecte a toda la industria y no se limite a este corredor de datos en particular".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Páginas 1 ... 3 4 5 6 7 ... 47