This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - AXCESS

Pages: [1] 2 3 ... 47
1
You are not allowed to view links. Register or Login

Los desarrolladores de malware para Android ya están ajustando sus tácticas para eludir una nueva función de seguridad de 'Configuración restringida' introducida por Google en el nuevo Android 13.

Android 13 se lanzó esta semana, con el nuevo sistema operativo implementado en los dispositivos Google Pixel y el código fuente publicado en AOSP.

Como parte de este lanzamiento, Google intentó paralizar el malware móvil que intentaba habilitar permisos potentes de Android, como AccessibilityService, para realizar un comportamiento sigiloso y malicioso en segundo plano.

Sin embargo, los analistas de Threat Fabric dicen hoy que los autores de malware ya están desarrollando droppers de malware para Android que pueden eludir estas restricciones y entregar cargas útiles que disfrutan de altos privilegios en el dispositivo de un usuario.

Seguridad de Android 13

En versiones anteriores de Android, la mayoría de los programas maliciosos móviles ingresaban a millones de dispositivos a través de aplicaciones cuentagotas disponibles en Play Store, que se hacen pasar por aplicaciones legítimas.

Durante la instalación, las aplicaciones de malware solicitan a los usuarios que otorguen acceso a permisos riesgosos y luego descargan (o descartan) cargas útiles maliciosas abusando de los privilegios del Servicio de Accesibilidad.

Los Servicios de accesibilidad son un sistema de asistencia para discapacitados que se abusa masivamente en Android y que permite que las aplicaciones realicen deslizamientos y toques, retrocedan o regresen a la pantalla de inicio. Todo esto se hace sin el conocimiento o permiso del usuario.

Por lo general, el malware usa el servicio para otorgarse permisos adicionales y evitar que la víctima elimine manualmente la aplicación maliciosa.

En Android 13, los ingenieros de seguridad de Google introdujeron una función de 'Configuración restringida', que impide que las aplicaciones descargadas soliciten privilegios del Servicio de Accesibilidad, limitando la función a los APK de Google Play.

Sin embargo, los investigadores de ThreatFabric pudieron crear un cuentagotas de prueba de concepto que eludió fácilmente esta nueva función de seguridad para obtener acceso a los Servicios de accesibilidad.

You are not allowed to view links. Register or Login

Omitir la configuración restringida de Android

En un nuevo informe publicado hoy, Threat Fabric descubrió un nuevo gotero de malware de Android que ya está agregando nuevas funciones para evitar la nueva función de seguridad de configuración restringida.

Mientras seguía las campañas de malware Xenomorph para Android, Threat Fabric descubrió un nuevo cuentagotas aún en desarrollo. Este cuentagotas recibió el nombre de "BugDrop" debido a las muchas fallas que plagan su funcionamiento en esta fase inicial.

Este novedoso cuentagotas presenta un código similar a Brox, un proyecto de tutorial de desarrollo de malware de distribución gratuita que circula en foros de piratas informáticos, pero con una modificación en una cadena de la función del instalador.

"Lo que nos llamó la atención es la presencia en el código de Smali de la cadena "com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED", explica Threat Fabric en el informe.

"Esta cadena, que no está presente en el código Brox original, corresponde a la acción requerida por los intentos de crear un proceso de instalación por sesión".

You are not allowed to view links. Register or Login

La instalación basada en sesiones se usa para realizar una instalación de malware en varias etapas en un dispositivo Android al dividir los paquetes (APK) en partes más pequeñas y darles nombres, códigos de versión y certificados de firma idénticos.

De esta manera, Android no verá la instalación de la carga útil como una descarga local del APK y, por lo tanto, no se aplicarán las restricciones del Servicio de accesibilidad de Android 13.

"Cuando se implemente por completo, esta ligera modificación eludiría por completo las nuevas medidas de seguridad de Google, incluso antes de que estén efectivamente implementadas", comenta Threat Fabric.

Grupo Hadoken

BugDrop es todavía un trabajo en progreso por parte de un grupo de creadores y operadores de malware llamado 'Hakoden', quienes también son responsables de crear el cuentagotas Gymdrop y el troyano bancario para Android Xenomorph.

Cuando BugDrop esté listo para su implementación masiva, se espera que se use en campañas de Xenomorph, lo que permitirá el robo de credenciales en el dispositivo y el comportamiento fraudulento en los dispositivos Android más recientes.

Además, las últimas muestras de Xenomorph analizadas por Threat Fabric han agregado módulos troyanos de acceso remoto (RAT), lo que hace que el malware sea una amenaza aún más potente.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

2
You are not allowed to view links. Register or Login

LAS VEGAS, 17 ago (Reuters) - Un equipo de piratas informáticos de dos universidades estadounidenses ganó el campeonato "Capture the Flag", un concurso considerado como las "Olimpiadas de la piratería", que reúne a algunos de los mejores del mundo en el campo.



En el salón de baile alfombrado de uno de los casinos más grandes de Las Vegas, las pocas docenas de piratas informáticos que competían en el desafío se sentaron encorvados sobre computadoras portátiles de viernes a domingo durante la conferencia de seguridad DEF CON que organiza el evento.

El equipo ganador incluyó a participantes de la Universidad Carnegie Mellon, sus ex alumnos y la Universidad de Columbia Británica.

El concurso consiste en acceder a un software personalizado diseñado por los organizadores del torneo. Los participantes no solo deben encontrar errores en el programa, sino también defenderse de los ataques de otros competidores.

Los piratas informáticos, en su mayoría hombres y mujeres jóvenes, incluyeron visitantes de China, India, Taiwán, Japón y Corea del Sur. Algunos trabajaban para sus respectivos gobiernos, algunos para empresas privadas y otros eran estudiantes universitarios.

Si bien sus países pueden participar en el espionaje cibernético entre sí, el concurso DEF CON CTF permite que los piratas informáticos de élite se unan en el espíritu del deporte.

La recompensa no es dinero, sino prestigio. "Ninguna otra competencia tiene la influencia de esta", dijo Giovanni Vigna, un participante que enseña en la Universidad de California en Santa Bárbara. "Y todo el mundo deja la política en casa".

"Fácilmente encontrarás a un participante aquí yendo a otro que puede ser de una supuesta nación enemiga para decir 'hiciste un trabajo increíble, un truco increíble'".

El juego ha adquirido un nuevo significado en los últimos años, ya que Estados Unidos, sus aliados y rivales han elevado la ciberseguridad como una prioridad clave de seguridad nacional. En los últimos diez años, la industria de la ciberseguridad ha aumentado su valor a medida que ha evolucionado la tecnología de piratería.

Ganar el título es una insignia de honor para toda la vida, dijo Aaditya Purani, una participante que trabaja como ingeniera en el fabricante de automóviles eléctricos Tesla Inc.

El concurso de este año se transmitió por primera vez en YouTube, con comentarios en vivo al estilo de los deportes televisados.



DEF CON en sí, que comenzó como una reunión de unos pocos cientos de piratas informáticos a fines de la década de 1990, se organizó en cuatro casinos este año y atrajo a una multitud de más de 30,000, según el personal organizador.

El sábado por la tarde, los participantes del concurso "Capture the Flag" se sentaron a escribir en sus computadoras portátiles mientras los asistentes a la conferencia entraban y salían de la sala para mirar. Algunos participantes comieron en las mesas, hamburguesas y papas fritas con los ojos fijos en las pantallas.

Seungbeom Han, ingeniero de sistemas de Samsung Electronics, que formó parte de un equipo de Corea del Sur, dijo que era su primera vez en el concurso y que había sido un honor calificar.

La competencia fue intensa y sentarse ocho horas al día en las sillas no fue fácil. Hicieron descansos para ir al baño, dijo con una sonrisa, "pero son una pérdida de tiempo".

Fuente:
Reuters
You are not allowed to view links. Register or Login

3
You are not allowed to view links. Register or Login

Nueva York (CNN Business) Se robó una asombrosa cantidad de $ 1.9 mil millones en criptomonedas en piratería de varios servicios en los primeros siete meses de este año, lo que marca un aumento del 60% con respecto al mismo período del año anterior, según un informe publicado el martes de firma de análisis de blockchain Chainalysis.

El aumento se produce incluso cuando el valor de muchas criptomonedas se desplomó en la primera mitad de este año.

El informe atribuyó gran parte del aumento a los ataques a los protocolos de finanzas descentralizadas (DeFi).

El término se refiere a los servicios que intentan reemplazar las instituciones financieras tradicionales con software que permite a los usuarios realizar transacciones directamente entre sí a través de la cadena de bloques, el libro mayor digital que sustenta las criptomonedas.

Algunos de los hacks criptográficos más grandes de 2022 se produjeron en los protocolos DeFi, incluido el hack de $ 625 millones de la red Ronin del videojuego Axie Infinity en marzo. Algunos de estos robos, incluido el incidente de Axie, se han atribuido desde entonces a piratas informáticos asociados con Corea del Norte.

Según el informe de Chainalysis, los piratas informáticos afiliados a Corea del Norte han robado aproximadamente mil millones de dólares de los protocolos DeFi en lo que va del año.

Se cree que estos robos son parte de una estrategia más amplia para ayudar a generar ingresos para el régimen de Corea del Norte, ya que en gran medida ha estado aislado del mundo.

Las transacciones de DeFi, basadas principalmente en la tecnología blockchain de Ethereum, han crecido rápidamente en popularidad en los últimos dos años.

Estos protocolos son "excepcionalmente vulnerables a la piratería" gracias a su código fuente abierto, grandes conjuntos de activos y un rápido crecimiento que puede haber llevado a un lapso en las mejores prácticas de seguridad, según Elliptic, una firma de análisis de blockchain.

La tecnología es relativamente inmadura en general. Este espacio solo ha surgido realmente en los últimos dos años”, dijo a CNN Business Tom Robinson, científico jefe de Elliptic.

"Se cometen errores, se aprende de ellos, pero siempre hay errores en el software. Creo que el problema aquí es que el software es lo único que protege estos activos".

Chainalysis advierte que el aumento de los robos de criptomonedas no muestra signos de disminuir a pesar de la caída en el mercado de las criptomonedas.

"Mientras los criptoactivos mantenidos en los grupos de protocolos DeFi y otros servicios tengan valor y sean vulnerables, los malos intentarán robarlos", según el informe.

Chainalysis apunta a dos hacks DeFi recientes a gran escala, incluidos los USD 190 millones supuestamente robados del proveedor de puentes de criptomonedas Nomad, que ocurrieron después del punto de corte de datos para el informe.

Pero puede haber al menos un lado positivo en el informe: la cantidad de dinero perdido en estafas de criptomonedas, como el esquema Ponzi de $ 2 mil millones de dólares llevado a cabo por el fundador de BitConnect, Satish Kumbhani, fue un 65% menor que el año anterior como valor decreciente. de crypto lo convirtió en una oportunidad de inversión menos atractiva para las víctimas potenciales.

Fuente:
CNN Business
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

La semana pasada LaLiga y la Serie A emitieron nuevas advertencias sobre el uso de IPTV pirata. Entonces sucedió lo impensable. En sus respectivos países de origen, España e Italia, los problemas técnicos hicieron que los suscriptores legales se perdieran partidos al comienzo de la nueva temporada. Afortunadamente, una nueva campaña contra la piratería de la Serie A anunciada en los estadios tuvo un éxito del 100 % en llegar a los piratas de IPTV.

A medida que las principales ligas de fútbol de Europa lanzan sus campañas de la temporada 2022/23, la presión para equilibrar los libros en los clubes más prestigiosos del continente sigue siendo una prioridad.

Solo en la ventana de fichajes de verano, el club Barcelona de LaLiga gastó 153 millones de euros, pero eso es una pizca en comparación con los cheques de pago que entrega a sus mejores jugadores. El club tiene una nómina semanal de 5,3 millones de euros, de los que más del 10% va al jugador holandés Frenkie de Jong. Su salario semanal de 560.962€ significa que cuando expire su contrato en 2026, el Barcelona le habrá pagado 116.680.000€.

Por esta razón, y un par de docenas más, Barcelona necesita una inundación de efectivo de los fanáticos que compran boletos y suscripciones de TV premium. Según LaLiga, la supervivencia del juego depende de estos ingresos. Cuando los fanáticos recurren a suscripciones piratas de IPTV para ahorrar dinero, no solo molestan a los contadores del club, sino que también financian a los delincuentes que brindan servicios piratas "poco confiables".

El acuerdo de Movistar y DAZN anuncia una nueva era

Movistar Plus+ y DAZN, propiedad de Telefónica, obtuvieron los derechos de LaLiga a fines del año pasado en un acuerdo de cinco años por valor de 4.950 millones de euros, y Movistar Plus+ acordó más tarde pagar a DAZN 1.400 millones de euros para resolver los conflictos de transmisión. Así, para ayudar a proteger su inversión, este mes Movistar Plus+ y LaLiga obtuvieron una orden judicial para bloquear rápidamente los servicios piratas de IPTV.

Con los oídos de los fanáticos zumbando con las advertencias de piratería de LaLiga pero tranquilizados por los beneficios de volverse legal, el pasado fin de semana se preparó el escenario para el Barcelona vs. Rayo Vallecano y el lanzamiento de la asociación Movistar/DAZN.

Desde múltiples ángulos, las cosas salieron mal. A los suscriptores de Movistar Plus+ se les dijo que no podían acceder al contenido de DAZN a través de su aplicación existente y que descargaran una aplicación adicional de DAZN.

Verás los [partidos] de DAZN en su app: si tienes DAZN incluido en tu oferta, solo tienes que crear tu cuenta”, tuiteó Movistar Plus+ el sábado. "Es muy fácil."

Debería haber sido fácil, más fácil que comprar un servicio de IPTV pirata seguro, pero no lo fue.

Habiéndose registrado ya en un servicio, los suscriptores de Movistar Plus+ descubrieron que para descargar la aplicación DAZN, también tenían que registrarse para obtener una cuenta en DAZN. Sin embargo, los servidores de DAZN no podían hacer frente al volumen de suscriptores de Movistar Plus+, por lo que no podían emitir cuentas ni activar el acceso a los servicios pagados.

Cuando se resolvieron los problemas, los aficionados del Barcelona y el Rayo se habían perdido la mitad del primer partido del primer fin de semana de la temporada, a pesar de pagar un abono legal. Movistar Plus+ señaló con el dedo a DAZN, que luego admitió haber sufrido problemas técnicos.

La pareja dice que se han tomado medidas para garantizar que no haya más problemas pero, si la falta de confiabilidad fuera una razón para que los fanáticos se alejaran de los servicios piratas de IPTV, eso podría ser difícil de vender en el futuro. Para los nuevos piratas conversos de Movistar Plus+, perderse la mitad del partido probablemente iba en contra de lo que se les prometía.

Lamentablemente, las pruebas y tribulaciones de apoyar financieramente el hermoso juego no terminaron ahí.

Los fanáticos del fútbol italiano experimentan lo peor

Al igual que LaLiga, la Serie A de Italia se encuentra en una guerra perpetua contra los servicios piratas de IPTV y los decodificadores conocidos localmente como "pezzotto". La Serie A también es fanática del bloqueo de ISP, que regularmente está respaldado por severos mensajes de su CEO de que los piratas están acabando con el deporte. Este fin de semana, los dedos de la culpa apuntaban en otras direcciones.

Debido a los 'problemas técnicos' que sufrió DAZN, los aficionados de la Serie A no pudieron ver los partidos de fútbol por los que habían pagado. Una gran cantidad de suscriptores no pudieron iniciar sesión en sus cuentas y para aquellos que pudieron, ser expulsados al azar se convirtió en una característica del primer fin de semana de la temporada.

Con los fanáticos en Twitter declarando que la Serie A y DAZN son los responsables de “matar el fútbol”, montones de piratas con acceso ininterrumpido a los partidos se regodeaban mientras los compradores legítimos echaban humo de frustración.

Cuando los piratas ofrecen un producto mejor

Tanto desde la perspectiva de las relaciones públicas como de la lucha contra la piratería, el fin de semana fue un desastre. La Serie A relanzó recientemente su campaña "La piratería mata al fútbol", que se promociona en todos los estadios de fútbol a través de gráficos y un anuncio de video en pantalla grande durante las dos primeras rondas de la nueva temporada.

Si el único objetivo era llegar a los ojos de los piratas, la campaña fue todo un éxito porque solo los piratas tenían acceso continuo a los partidos. Si el objetivo era fomentar un cambio de comportamiento entre los piratas, el daño podría durar años. Pero justo cuando las cosas no podían empeorar, lo hicieron.

Aquí viene el gobierno

Valentina Vezzali, seis veces medallista de oro olímpica y 16 veces campeona mundial de esgrima, ahora dedica su tiempo a la política como subsecretaria de deportes del gabinete de Italia. Después de ver la debacle futbolística del fin de semana, exige una reunión entre la Serie A y el gobierno para averiguar qué salió mal.

También se invita al regulador de telecomunicaciones italiano AGCOM, que también es responsable de bloquear los sitios de piratería. No está claro qué puede hacer AGCOM, pero una presentación de cómo los sitios piratas bloqueados pueden brindar un servicio de mejor calidad que las empresas multimillonarias podría ser un evento potencial de PPV por derecho propio.

Según un informe local, en algún momento durante el fin de semana, DAZN se vio obligado a crear un enlace separado a una transmisión de baja resolución. Según los informes, los espectadores abandonaron sus televisores por dispositivos más pequeños ya que la calidad de la imagen era muy mala. Nuevamente, muy divertido para los piratas;

Últimas noticias: #DAZN compra los servidores de #pezzotto para llevar su servicio a los estándares. Como regalo para todos los clientes, como compensación, también documentales y canales calientes”, escribió un usuario en respuesta.

Cuando se le pidió una explicación sobre el caos, la Serie A dijo que no haría comentarios. Teniendo en cuenta que incluso los "criminales" detrás de los servicios piratas de IPTV tienden a ofrecer explicaciones a los clientes molestos (mientras que también ofrecen una experiencia de entrega de contenido aparentemente superior), uno tiene que preguntarse quién está en el negocio equivocado y qué se necesita para arreglar las cosas.

Mientras tanto, DAZN transmitirá la revancha entre Oleksandr Usyk y Anthony Joshua en los Estados Unidos y otros mercados el próximo sábado. Eso es lo que se ha anunciado, al menos.

Fuente:
TorrentFreak
You are not allowed to view links. Register or Login

5
Noticias Informáticas / Robados casi 570.000 USD a Curve.Finance
« on: August 17, 2022, 04:17:03 am »
You are not allowed to view links. Register or Login

Unos atacantes que secuestraron la página de aterrizaje de Curve Finance se movieron rápidamente para convertir los fondos robados en varios tokens a través de diferentes exchanges, billeteras y mezcladores.

Los protocolos de finanzas descentralizadas (DeFi) siguen siendo objetivo de los hackers, y Curve Finance se ha convertido en la más reciente plataforma atacada tras un incidente de secuestro de DNS.

El 9 de agosto, el creador de mercado automatizado advirtió a los usuarios de que no utilizaran el front end de su sitio web, luego de que varios miembros de la comunidad cripto señalaran el presunto exploit.

Aunque la forma exacta en la que se llevó a cabo el ataque aún se está investigando, el consenso es que los atacantes lograron clonar el sitio web de Curve Finance y redirigieron el servidor DNS a la página falsa. Los usuarios que intentaron hacer uso de la plataforma vieron cómo sus fondos eran depositados en pool operado por los atacantes.

Curve Finance consiguió remediar la situación a tiempo, pero los atacantes consiguieron desviar lo que en un principio se estimó en USD 537,000 en USD Coin (USDC) en el tiempo que tardó en revertir el dominio secuestrado.

La plataforma cree que su proveedor de servidores DNS, Iwantmyname, fue hackeado, lo que permitió el desarrollo de los acontecimientos posteriores.

Cointelegraph se puso en contacto con la empresa de análisis de blockchain, Elliptic, para analizar cómo los atacantes lograron engañar a los usuarios confiados de Curve. El equipo confirmó que un hacker había comprometido el DNS de Curve, lo que llevó a la firma de transacciones maliciosas.

Elliptic estima que se robaron 605,000 USDC y 6,500 DAI antes de que Curve encontrara y revirtiera la vulnerabilidad. Utilizando sus herramientas de análisis de la cadena de bloques, Elliptic rastreó los fondos robados hasta una serie de exchanges, billeteras y mezcladores diferentes.

Los fondos robados se convirtieron inmediatamente en Ether (ETH) para evitar una posible congelación de USDC, ascendiendo a 363 ETH por valor de USD 615,000.

Curiosamente, 27.7 ETH se "lavaron" a través del ahora sancionado por la OFAC, Tornado Cash. 292 ETH se enviaron al servicio de intercambio de monedas, FixedFloat. La plataforma consiguió congelar 112 ETH y confirmó el movimiento de fondos según un portavoz de Elliptic:

"Hemos mantenido contacto con el intercambio, que confirmó otras tres direcciones en las que el hacker retiró fondos del exchange (eran órdenes completadas que FixedFloat no pudo congelar a tiempo). Estas incluyen 1 dirección de BTC, 1 dirección de BSC y 1 dirección de LTC".

Elliptic está supervisando ahora estas direcciones marcadas, además de las direcciones originales basadas en Ethereum. Otros 20 ETH se enviaron a una billetera caliente de Binance, y otros 23 ETH se trasladaron a la billeteras caliente de un exchange desconocido.

Elliptic también advirtió al ecosistema en general de nuevos incidentes de esta naturaleza tras identificar un listado en un foro de la darknet que afirmaba vender "páginas de aterrizaje falsas" para hackers de sitios web comprometidos.

No está claro si este listado, que se descubrió justo un día antes del incidente de secuestro de DNS de Curve Finance, estaba directamente relacionado, pero Elliptic señaló que pone de manifiesto las metodologías utilizadas en este tipo de hackeos.

Fuente:
CoinTelegraph
You are not allowed to view links. Register or Login

Vía
Hacking Land
You are not allowed to view links. Register or Login





6
You are not allowed to view links. Register or Login

Se ha lanzado un código de exploit para una vulnerabilidad crítica que afecta a los dispositivos de red con el sistema en un chip (SoC) RTL819x de Realtek, que se estima en millones.

La falla se identifica como CVE-2022-27255 y un atacante remoto podría explotarla para comprometer dispositivos vulnerables de varios fabricantes de equipos originales (OEM), desde enrutadores y puntos de acceso hasta repetidores de señal.

Investigadores de la empresa de ciberseguridad Faraday Security en Argentina descubrieron la vulnerabilidad en el SDK de Realtek para el sistema operativo de código abierto eCos y revelaron los detalles técnicos la semana pasada en la conferencia de hackers DEFCON.

Los cuatro investigadores (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) a los que se atribuye el hallazgo de la vulnerabilidad son estudiantes de informática de la Universidad de Buenos Aires.

Su presentación cubrió todo el esfuerzo que llevó a encontrar el problema de seguridad, desde elegir un objetivo hasta analizar el firmware y explotar la vulnerabilidad, y automatizar la detección en otras imágenes de firmware.

CVE-2022-27255 es un desbordamiento de búfer basado en pila con una puntuación de gravedad de 9,8 sobre 10 que permite a los atacantes remotos ejecutar código sin autenticación mediante el uso de paquetes SIP especialmente diseñados con datos SDP maliciosos.

Realtek abordó el problema en marzo y señaló que afecta a las series rtl819x-eCos-v0.x y rtl819x-eCos-v1.x y que podría explotarse a través de una interfaz WAN.

Los cuatro investigadores de Faraday Security han desarrollado un código de exploit de prueba de concepto (PoC) para CVE-2022-27255 que funciona en los enrutadores Nexxt Nebula 300 Plus.

También compartieron un video que muestra que un atacante remoto podría comprometer el dispositivo incluso si las funciones de administración remota están desactivadas.



Los investigadores señalan que CVE-2022-27255 es una vulnerabilidad de cero clics, lo que significa que la explotación es silenciosa y no requiere interacción por parte del usuario.

Un atacante que explote esta vulnerabilidad solo necesitaría la dirección IP externa del dispositivo vulnerable.

Pocas líneas de defensa


Johannes Ullrich, decano de investigación de SANS, dice que un atacante remoto podría aprovechar la vulnerabilidad para las siguientes acciones:

    bloquear el dispositivo
    ejecutar código arbitrario
    establecer puertas traseras para la persistencia
    redirigir el tráfico de red
    interceptar el tráfico de la red

Ullrich advierte que si un exploit para CVE-2022-27255 se convierte en un gusano, podría propagarse por Internet en minutos.

A pesar de que un parche está disponible desde marzo, Ullrich advierte que la vulnerabilidad afecta a "millones de dispositivos" y que es poco probable que una solución se propague a todos los dispositivos.

Esto se debe a que varios proveedores utilizan el SDK vulnerable de Realtek para equipos basados en SoC RTL819x y muchos de ellos aún no han publicado una actualización de firmware.

No está claro cuántos dispositivos de red usan chips RTL819x, pero la versión RTL819xD del SoC estaba presente en productos de más de 60 proveedores. Entre ellos ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet y Zyxel.

El investigador dice que:

    Los dispositivos que usan firmware construido alrededor del Realtek eCOS SDK antes de marzo de 2022 son vulnerables

    Eres vulnerable incluso si no expones ninguna funcionalidad de la interfaz de administración

    Los atacantes pueden usar un solo paquete UDP en un puerto arbitrario para aprovechar la vulnerabilidad

    Es probable que esta vulnerabilidad afecte más a los enrutadores, pero algunos dispositivos IoT construidos alrededor del SDK de Realtek también pueden verse afectados.

Ulrich creó aquí una regla de Snort que puede detectar el exploit PoC. Busca mensajes "INVITE" con la cadena "m=audio" y se activa cuando hay más de 128 bytes (tamaño del búfer asignado por Realtek SDK) y si ninguno de ellos es un retorno de carro.

Los usuarios deben verificar si su equipo de red es vulnerable e instalar una actualización de firmware del proveedor lanzada después de marzo, si está disponible. Aparte de esto, las organizaciones podrían intentar bloquear las solicitudes UDP no solicitadas.

Las diapositivas para la presentación de DEFCON junto con exploits y un script de detección para CVE-2022-27255 están disponibles en este repositorio de GitHub:

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login


7
You are not allowed to view links. Register or Login

Ayer lunes 15 de Agosto el Poder Judicial de Córdoba, Argentina, confirmó que el sábado 13 de agosto sufrió un ciberataque que afectó a su infraestructura tecnológica y comprometió la disponibilidad de algunos servicios informáticos.

Al momento de este artículo el sitio web está fuera de servicio.

You are not allowed to view links. Register or Login

En un comunicado, el organismo aseguró que estableció un plan de emergencia para brindar acceso a la ciudadanía, dado que provisoriamente decidió suspender los trámites electrónicos de expedientes judiciales, y que aprobó a través de un acuerdo reglamentario un Plan de Contingencia para reestablecer gradualmente los servicios electrónicos.

En este documento el Poder Judicial de Córdoba confirmó que se trata de un ataque de ransomware.
Según informa el periodista Luis Ernesto Zegarra, se trata de una variante del ransomware Play.

Este malware cifra los archivos de los equipos comprometidos y generalmente añade la extensión .PLAY a cada uno.

You are not allowed to view links. Register or Login

Los operadores detrás del ransomware Play suelen dejar en los equipos comprometidos un archivo de texto con una dirección de correo de contacto para negociar el pago de un rescate a cambio devolver el acceso a los archivos cifrados.

Al parecer Play es un grupo nuevo en la escena del ransomware. En junio de este año usuarios comenzaron a reportar en foros ataques a usuarios de habla inglesa y en Alemania. Aparentemente no cuenta con un sitio en la dark web, como sí utilizan muchos otros grupos para publicar el nombre de sus víctimas y publicar datos robados de sus sistemas.

De esta manera, el Poder Judicial de Córdoba se suma a la lista de víctimas afectadas por un ransomware en Argentina.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

Vía (traducción al español)
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

8
You are not allowed to view links. Register or Login

El grupo de ransomware LockBit publicó en su sitio de la darkweb 140 GB con información que la banda criminal asegura fue robada de los sistemas de OSDE, una compañía que ofrece servicios de salud y atención médica en Argentina, y que el pasado 27 de junio confirmó que sufrió un incidente de seguridad.

Entre la información robada se encuentran historias clínicas de pacientes, información sobre enfermedades, tratamientos, estudios médicos, así como datos personales de algunos afiliados. Además de la información médica, el paquete de datos incluye información interna, direcciones de correo electrónico, entre otra información.

Los cibercriminales habían demandado a OSDE el pago de un rescate de 300.000 dólares a cambio de un descifrador para recuperar los archivos del cifrado y para evitar la publicación de la información robada. Sin embargo, al parecer la decisión de LockBit se debe a que la empresa de salud no accedió a pagarle a los atacantes, algo que por cierto es lo más recomendado, ya que además de estar financiando el negocio de los cibercriminales, pagar no asegura que los atacantes eliminarán la información robada o que no la venderán en foros clandestinos; tampoco que descifrarán los archivos. Además, muchas compañías que pagaron luego fueron víctimas de nuevos ataques.

You are not allowed to view links. Register or Login

Acerca del ransomware Lockbit

LockBit es un grupo de ransomware que opera desde 2019 bajo el modelo de Ransomware-as-a-Service (Raas). Está entre las bandas de ransomware más activas en 2021 y también en lo que va de 2022. En mayo de este año y luego del cierre del grupo de ransomware Conti, LockBit concentró el 40% de las víctimas de ransomware  en los últimos años.

Entre las técnicas que utiliza esta banda para acceder a los sistemas de las víctimas para exfiltrar información y luego cifrar los archivos están: correos de phishing, ataques a servicios RDP, y explotación de vulnerabilidades.

En junio de este año la banda lanzó la versión 3.0 del ransomware y anunció un programa de recompensas para que terceros reporten vulnerabilidades, ideas de mejora y otras acciones a cambio de recompensas que van desde los 1.000 dólares hasta 1 millón.

Además, otro de los cambios que introdujo el grupo con el lanzamiento de su nueva versión y su nuevo sitio en la dark web tienen que ver con otras formas de explotar el modelo de negocio, ya que ahora cualquiera que llegue al sitio del grupo tendrá la posibilidad de pagar por eliminar la información o descargar los datos robados. Esto claramente con el objetivo de presionar más a las víctimas para que paguen.

Vale la pena mencionar que LockBit se ha cobrado varias víctimas en América Latina desde que comenzó a operar. Entre las más de 850 víctimas acumuladas se encuentran organizaciones y organismos gubernamentales de países como Argentina, Brasil, México, Venezuela, Perú y Panamá.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

9
You are not allowed to view links. Register or Login

Desde fines de julio y en lo que va de agosto se han detectado varios correos de phishing apuntando a clientes del Banco República de Uruguay. Los correos suelen hacer referencia al supuesto bloqueo temporal de la cuenta debido a un intento de acceso no autorizado.

Utilizando como excusa la necesidad de confirmar sus datos para evitar la suspensión de la cuenta, estos correos falsos suelen ser enviados desde direcciones de correo que nada tienen que ver con el dominio oficial de la entidad financiera, ya que en esta ola reciente hemos observado que en la mayoría de estos correos de phishing utilizan direcciones de Hotmail o Gmail.

Probablemente cuentas que fueron previamente comprometidas y utilizadas para el envío de estas campañas maliciosas.

You are not allowed to view links. Register or Login

Los mensajes incluyen un enlace a un sitio con una apariencia similar a la del sitio oficial del BROU con la intención de hacer creer a las potenciales víctimas que se trata del sitio legítimo y no generar sospecha.

Es importante recordar que nunca un banco solicitará confirmar datos a través del correo. En caso de recibir estos correos se recomienda eliminarlos.

Desde el Banco República están recordando a través de redes sociales y SMS a sus clientes que la entidad nunca se comunicará por correo electrónico para alertar que la cuenta ha sido bloqueada y que tampoco solicitará un código o contraseña por afuera del sitio oficial.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

La Agencia de Ciberseguridad Nacional de Estados Unidos (CISA) sumó a su catálogo de vulnerabilidades que están siendo explotadas activamente un fallo descubierto recientemente en UnRAR y la vulnerabilidad apodada DogWalk que afecta a Windows.

Acerca de la vulnerabilidad en UnRAR

Registrada como CVE-2022-30333, se trata de una vulnerabilidad del tipo path traversal en la versión de RAR para sistemas Linux y UNIX. De ser explotada exitosamente, un actor malicioso es capaz de descargar en el sistema de la víctima archivos arbitrarios con tan solo descomprimir un archivo RAR.

La vulnerabilidad, que afecta a cualquier versión de Linux y UNIX que utilice UnRAR, recibió un puntaje de 7.5 en la escala de severidad CVSS y se dio a conocer en junio.

Los investigadores de SonarSOurce fueron quienes descubrieron el fallo y publicaron un reporte en el que explicaron cómo podría ser utilizada para comprometer un servidor del servicio de webmail Zimbra y lograr acceso al servidor de correo.

En el caso puntual de Zimbra, como el servicio utiliza UnRAR para extraer automáticamente los archivos adjuntos y analizarlos en busca de malware o spam, un atacante podría enviar un correo electrónico con un archivo RAR adjunto y comprometer a la víctima sin necesidad de que interactúe con el adjunto.

Por su parte, Rarlab lanzó en mayo la versión 6.12 que contiene el parche que repara la CVE-2022-30333 en todas las versiones de RAR para Linux y UNIX.

Acerca de la vulnerabilidad DogWalk

Además del fallo en UnRAR, CISA también añadió a su listado de vulnerabilidades que se sabe están siendo utilizadas por actores maliciosos un fallo en Windows. Más específicamente, la vulnerabilidad apodada DogWalk que radica en un componente de la herramienta de Windows MSDT (MicrosoftSupport Diagnostic Tool). Se trata de una vulnerabilidad de ejecución remota de código (RCE), registrada como CVE-2022-34713, que permite a un atacante implantar malware ejecutable en la carpeta de inicio de Windows. Si bien este fallo había sido reportado en 2020, Microsoft consideró en ese momento que no representaba un riesgo de seguridad, pero recientemente un investigador demostró el alcance que tenía este fallo.

Luego de esto, Microsoft lanzó un parche para corregir el fallo en la actualización de agosto de 2022 y confirmó que está siendo utilizada por atacantes en campañas maliciosas.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

El mercado de los procesadores de consumo general pasa por un momento dorado, y es que gracias a la «guerra» que están librando AMD e Intel es posible encontrar a día de hoy chips muy potentes con precios muy competitivos. Así, por ejemplo, ahora mismo tenemos el Ryzen 5 5500 por solo 135 euros, un precio excelente para este chip de 6 núcleos y 12 hilos, y también podemos conseguir el Core i3-12100F desde 105 euros, un precio que también es muy bueno teniendo en cuenta su enorme rendimiento monohilo.

Más competencia siempre es bueno para los consumidores, ya que suele representar una mayor variedad de productos a precios muy atractivos, aunque esto tiene una contrapartida importante, y es que al haber más procesadores entre los que elegir se complica la toma de decisiones. Comprar el procesador más potente no siempre es la mejor decisión, de hecho los que mejor valor precio-prestaciones tienen son normalmente aquellos que posicionan dentro de la gama media, así que debemos tener mucho cuidado en este sentido.

You are not allowed to view links. Register or Login

Con todo, las listas jerarquizadas por rendimiento que comparte y actualiza Tom´s Hardware siempre son de gran ayuda, ya que nos permiten tener claro cuáles son los chips más potentes, y nos permiten comparar y valor las diferencias de rendimiento que existen entre lo más económicos y los más caros.
 
En rendimiento monohilo podemos ver en la gráfica adjunta que el Ryzen 7 5800X3D lidera la clasificación, y que en segunda posición quedaría el Core i9-12900KS a frecuencias de stock (la lista incluye en la clasificación a modelos con overclock, lo que hace que sea un poco difícil de interpretar correctamente).

El bronce se lo lleva el Core i9-12900K, y el cuarto y quinto puesto son para el Core i7-12700K y el Ryzen 9 5950X. Sorprende lo bien posicionado que queda el Core i5-12400 con memoria DDR4 a 3.800 MHz, ya que es capaz de superar al Ryzen 7 5800X, un chip que es mucho más caro. En la parte baja de la lista no hay sorpresas, y vemos que los procesadores Core Gen10 (Comet Lake-S) y Ryzen 3000 (Zen 2) ocupan los últimos puestos.

You are not allowed to view links. Register or Login

En rendimiento multihilo nos encontramos unos resultados interesantes. El Core i9-12900KS lidera sin problemas seguido del Core i9-12900K, aunque las diferencias no son muy grandes y el Ryzen 9 5950X es capaz de superar a este último si se le aplica overclock. La cosa está muy ajustada, y esto es un claro ejemplo del buen trabajo que ha hecho Intel con los núcleos de alta eficiencia presentes en los Core Gen12 (Alder Lake-S).

El Ryzen 7 5800X3D pierde muchos puestos en las pruebas multihilo y queda por debajo del Ryzen 7 5800X, y también del Core i5-12600K. Por su parte, el Core i5-12400 con memoria DDR4 a 3.800 MHz se acerca peligrosamente al Ryzen 7 5700X, un chip que tiene dos núcleos y cuatro hilos más que aquel. En la parte baja de la tabla tampoco hay ninguna sorpresa, los chips de cuatro núcleos y ocho hilos son los últimos clasificados, aunque el Core i3-12100 no queda muy lejos del Ryzen 5 3600.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login



12
You are not allowed to view links. Register or Login

15 ago (Reuters) - El servicio de mensajería cifrada Signal dijo que los números de teléfono de 1.900 usuarios podrían haber sido revelados en un ataque de phishing contra Twilio Inc, su proveedor de servicios de verificación, a principios de este mes.

El atacante también podría haber accedido al código de verificación de SMS utilizado para registrarse en Signal, pero el historial de mensajes, la información del perfil y las listas de contactos no fueron revelados, dijo la compañía en una publicación de blog el lunes.

Un atacante podría haber intentado volver a registrar el número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal”, dijo.

Twilio, que reveló el ataque a principios de este mes, dijo que ha estado trabajando junto con Signal para ayudar en su investigación.

La empresa con sede en San Francisco, California, cuenta con más de 256.000 empresas, incluidas Ford Motor Co, Mercado Libre Inc y HSBC, entre sus clientes.

Fuente:
Reuters
You are not allowed to view links. Register or Login

13
Noticias Informáticas / Google empieza a liberar Android 13
« on: August 15, 2022, 07:03:01 pm »
You are not allowed to view links. Register or Login

Después de muchos meses hablando de Android 13, de sus novedades, de lo que esperamos que suponga, etcétera, Google ha abierto (un poco) la puerta al iniciar, hoy mismo, su despliegue.

De momento los dispositivos que ya pueden actualizarse a Android 13 no son otros que los Google Pixel. ¿Qué modelos en concreto? Pues desgraciadamente Google no lo ha aclarado en la publicación en la que anuncia este lanzamiento, por lo que todavía tendremos que esperar hasta que los usuarios de los distintos modelos confirmen si pueden dar el salto o si esta opción no está disponible para ellos.

Tampoco se sabe, de momento, la fecha en la que Android 13 empezará a llegar a dispositivos de otros fabricantes. La única indicación que da Google al respecto es que será «Later this year«, es decir, en algún momento de este año. Esto nos invita a pensar que, quizá, Google se haya planteado adelantar el lanzamiento de Android 13 para los usuarios de dispositivos Pixel como un argumento más de ventas de los mismos.

De manera adicional al lanzamiento de Android 13, también se ha liberado hoy la versión libre del mismo, es decir, AOSP 13, de modo que todos aquellos fabricantes que hayan optado por esta versión del sistema operativo sin los componentes privativos de Google, ya han podido empezar a trabajar en el salto a esta nueva versión del OS para sus  dispositivos. Podemos entender que, con este movimiento, Google pretende acercar un poco más la llegada de las nuevas versiones de Android, ya sea la versión comercial o la open source, de manera que los usuarios no tengan que esperar tantos meses como, por desgracia, viene siendo habitual desde hace ya tiempo.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login

14
You are not allowed to view links. Register or Login

En situaciones de protestas o manifestaciones de índole social, política, o cultural, según sean los tonos que tomen los eventos, los gobiernos emplean metodologías de bloqueos o restricciones a internet y a las comunicaciones en general.

En especial las redes sociales son baneadas o restringidas en accesos con el objetivo de que los ciudadanos no se comuniquen, informen y coordinen las acciones que ocurren.

Esto se da también en otros escenarios de crisis que no son exclusivamente políticos-sociales: ej: un evento meteorológico de índole catastrófica que derriba la infraestructura comunicacional de la nación o región.

Qué recomiendan los “hacktivistas” para comunicarse, aun cuando todo está caído: internet, líneas telefónicas, etc.?

Briar

Briar es un proyecto que tiene como objetivo soportar la libre expresión, la libertad de asociación, y el derecho a la privacidad.
Es una aplicación de mensajería diseñada para cualquier persona que necesite una forma segura, fácil y robusta de comunicarse.
La aplicación no depende de un servidor central: los mensajes se sincronizan directamente entre los dispositivos de los usuarios (móviles).
Si internet está caído, Briar puede sincronizarse a través de Bluetooth o Wi-Fi, manteniendo la información durante una crisis. Usa el sistema Peer-to-Peer con base encriptada y es Open Source.

Info detallada:
Wikipedia
You are not allowed to view links. Register or Login)
Descarga:
You are not allowed to view links. Register or Login


Bridgefy

Es un proyecto similar al anterior.
Usa el Bluetooth como medio para enviar mensajes desde el móvil hacia sus contactos, a una distancia de 100 Mts / 330 Pies (un campo de futbol aprox).
Si el objetivo final de la comunicación está más allá de esa distancia, el mensaje salta en los teléfonos de otros usuarios que tienen activo Bridgefy hasta que llega a su destino.

Info detallada e historia, así como vulnerabilidades:
Wikipedia
You are not allowed to view links. Register or Login
Descarga
You are not allowed to view links. Register or Login


15
Cursos, manuales y libros / Curso de PowerShell
« on: August 14, 2022, 08:14:06 pm »
You are not allowed to view links. Register or Login

Learn Windows Powershell in a Month of Lunches
Autor:
Don Jones


Muestra:
You are not allowed to view links. Register or Login

Idioma Inglés

Muy fácil y entendible aún en este idioma. Con Google Translate o un mero diccionario suficiente.
Excelente en contenido para los que deseen y necesiten dominar PowerShell.
 
MEGA
You are not allowed to view links. Register or Login

16
Noticias Informáticas / Logran hackear Starlink por solo 25 dólares
« on: August 12, 2022, 08:13:29 pm »
You are not allowed to view links. Register or Login

Starlink es, indiscutiblemente, una propuesta muy innovadora. Con sus luces y sus sombras, que ya hemos ido contando con el paso del tiempo, es cierto que crear una red que proporcione acceso global de banda ancha a Internet es un proyecto loable. Y es que nos guste o no, Internet es un elemento clave en cada vez más actividades, por lo que contar con sistemas de acceso lento o, peor aún, permanecer desconectado, genera una brecha cada día más amplia.

Técnicamente, el proyecto también parece bastante cuidado. Es cierto que la saturación de la órbita baja se está convirtiendo en un problema muy serio, y que cualquier día nos puede dar un enorme disgusto, pero al menos hasta el día de hoy, hay que reconocer que los incidentes en los que se ha visto visto involucrada SpaceX, salvo del finales del año pasado con la estación espacial china, todos los sistemas han funcionado adecuadamente.

Ahora bien, parece que por complejo que sea el sistema de Starlink, también tiene sus puntos negros, y el investigador de seguridad Lennert Wouters parece haber encontrado uno de ellos pues, según cuenta en su perfil de Twitter, ha conseguido construir un dispositivo para lograr acceso al servicio.

Y, según ha explicado, dicho dispositivo le ha costado tan solo 25 dólares, nada mal si tenemos en cuenta que, a día de hoy, el coste el equipo de conexión al servicio desde España cuesta 639,00 euros, más 99 euros de cuota mensual.

El dispositivo producido por Wouters fue puesto a prueba en la conferencia de seguridad Def Con 30, que se celebra entre ayer jueves y el domingo que viene, y tal y como  ya había adelantado previamente, pues podemos dar por sentado que lo habría probado en más de una ocasión, pudo establecer la conexión de manera prácticamente instantánea, y empezar de este modo a emplear el servicio de acceso a Internet vía satélite de Starlink. Además, rl investigador ha puesto a disposición del público los planos de su modchip en GitHub.

Wouters realizó el hackeo como parte del programa de SpaceX que paga a los investigadores por encontrar errores en el servicio de Starlink y, en una rápida respuesta, SpaceX felicitó al investigador por el descubrimiento y comunicó que había publicado una actualización de su software para solucionar el problema. Sin embargo, Wouters le dijo a Wired que Starlink seguirá siendo vulnerable al hackeo hasta que SpaceX cree una nueva versión del chip principal en las terminales.

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


Fuente:
Muy Computer
You are not allowed to view links. Register or Login

17
You are not allowed to view links. Register or Login

Los autores del índice TIOBE han titulado su último informe con esta frase: "Python está por las nubes". Y es que este lenguaje de programación que se está consolidando ha subido en casi 4 puntos puntos en el último mes y su cuota de mercado global se sitúa en 15,42%.

"Es difícil encontrar un campo de programación en el que no se utilice Python de forma generalizada hoy en día", según afirman los creadores de este informe. La única excepción son los sistemas embebidos (de seguridad crítica), ya que Python es demasiado lento para este sector.

El rendimiento es su punto débil

You are not allowed to view links. Register or Login

Los lenguajes de alto rendimiento C y C++ también están ganando popularidad en los últimos años, precisamente porque Python se muestra muy lento para ciertas actividades. Aún así, mientras que en agosto de 2021 fue C el lenguaje de programación más popular, Python gana ahora por un poco. La cuota de mercado de C es de 14,59% ahora mismo.

Hay que recordar que hace poco unos ingenieros de Google presentaron una alternativa a C++, que quiere suplantar a Rust y habrá que ver cómo avanza según se va desarrollando. Se llama Carbon y ha entrado en el índice TIOBE en el puesto 192.

Para cerrar el Top 5 tenemos a Java, C++ y C#. Todas han experimentado crecimiento. Encontramos que JavaScript, muy popular desde hace años, va perdiendo tracción, como lo hace PHP. Rust, un lenguaje del que cada vez se habla más, se acerca a los 20 primeros, Kotlin vuelve a estar entre los 30 primeros.
 
En noviembre de 2020 Python sobrepasó a Java como lenguaje de programación más popular por primera vez en los 20 años del indice TIOBE. De hecho, el 2020 fue el año de Python. También consiguió desbancar a C con quien compitió varios meses en 2021.

índice TIOBE

El índice de la comunidad de programadores de TIOBE es un indicador de la popularidad de los lenguajes de programación. El índice se actualiza una vez al mes. Las clasificaciones se basan en el número de ingenieros especializados en todo el mundo, en los cursos y en los proveedores de terceros.

Para calcular las clasificaciones se utilizan motores de búsqueda populares como Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube y Baidu.

Es importante señalar que el índice TIOBE no se refiere al mejor lenguaje de programación ni al lenguaje en el que se han escrito más líneas de código.

Fuente:
Índice TIOBE
You are not allowed to view links. Register or Login

Vía:
Genbeta
You are not allowed to view links. Register or Login

18
You are not allowed to view links. Register or Login

Un ex empleado de Twitter, Ahmad Abouammo (44), fue declarado culpable de recopilar información privada de ciertos usuarios de Twitter y pasarla a Arabia Saudita.

Ahmad Abouammo, un residente estadounidense nacido en Egipto, fue declarado culpable por un jurado el martes de cargos que incluyen actuar como agente para Arabia Saudita, lavado de dinero, conspiración para cometer fraude electrónico y falsificación de registros, luego de un juicio de dos semanas en San Francisco. Corte federal." informó Bloomberg.

El hombre enfrenta de 10 a 20 años de prisión cuando sea sentenciado.

En noviembre de 2019, los ex empleados de Twitter Abouammo y el ciudadano saudí Ali Alzabarah fueron acusados de espiar miles de cuentas de usuarios de Twitter en nombre del gobierno de Arabia Saudita. Los dos ex empleados de Twitter operaban para el gobierno de Arabia Saudita con la intención de desenmascarar a los disidentes que usaban la red social.

Los representantes del gobierno de Arabia Saudita reclutaron al dúo en 2014, su misión era recopilar información no pública de las cuentas de Twitter asociadas con destacados críticos conocidos del Reino de Arabia Saudita y la Familia Real.

Abouammo y Alzabarah tuvieron acceso no autorizado a la información asociada con algunos perfiles, incluidas las direcciones de correo electrónico, los dispositivos utilizados, la información biográfica proporcionada por el usuario, las fechas de nacimiento, los registros que contenían la información del navegador del usuario, un registro de todas las acciones de un usuario en particular en la plataforma de Twitter en un momento dado, y otra información que se puede usar para ubicar geográficamente a un usuario, como direcciones IP y números de teléfono.

Según la acusación, Alzabarah se unió a Twitter en agosto de 2013 como "ingeniero de confiabilidad del sitio", trabajó con funcionarios saudíes entre el 21 de mayo y el 18 de noviembre de 2015. Está acusado de presuntamente espiar más de 6.000 cuentas de Twitter, incluidas decenas de usuarios para los que la policía de Arabia Saudita había enviado solicitudes de divulgación de emergencia a Twitter.

Abouammo fue acusado de actuar como agente extranjero en territorio estadounidense, también proporcionó registros falsificados a los federales para interferir con su investigación.

El hombre también eliminó cierta información de la plataforma de redes sociales y, en algunos casos, cerró cuentas de Twitter a pedido de funcionarios del gobierno saudita. Por supuesto, también pudo desenmascarar las identidades de algunos usuarios en nombre del Gobierno de Arabia Saudita.

Los funcionarios saudíes pagaron hasta $300,000 a Abouammo por su trabajo, la acusación explicó que fue posible enmascarando los pagos con facturas falsas. El documento también establece que el hombre recibió un reloj Hublot Unico Big Bang King Gold Ceramic.

Según una acusación, Abouammo mintió a los agentes del FBI diciendo que el reloj era una réplica que costaba $ 500 y que la última transferencia de $ 100,000 de Al-Asaker era para un trabajo legítimo de consultoría independiente.

El Departamento de Justicia del Departamento de Justicia de EE. UU. también acusó al ciudadano saudí Ahmed al Mutairi, también conocido como Ahmed ALJBREEN, quien dirigía una empresa de marketing en redes sociales saudita vinculada a la familia real.

Ahmed al Mutairi, actuaba como intermediario entre los dos ex empleados de Twitter y los funcionarios del Gobierno de Arabia Saudita.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

19
You are not allowed to view links. Register or Login

Se dice que ÆPIC Leak es el primer error de la CPU (unidad central de procesamiento) en divulgar arquitectónicamente datos confidenciales, lo que significa que los datos confidenciales se divulgan directamente sin depender de ningún canal lateral.

Aprovecha una vulnerabilidad en las CPU Intel recientes para filtrar secretos del propio procesador: en la mayoría de las CPU Intel de 10.ª, 11.ª y 12.ª generación, el rango indefinido APIC MMIO devuelve incorrectamente datos obsoletos de la jerarquía de caché”, se lee en el trabajo de investigación.

La investigación fue realizada por investigadores de la Universidad Sapienza de Roma, la Universidad Tecnológica de Graz, el Centro CISPA Helmholtz para la Seguridad de la Información y Amazon Web Services. Pietro Borrello de la Universidad Sapienza y Andreas Kogler de la Universidad Tecnológica de Graz presentaron la fuga ÆPIC en la conferencia Black Hat USA 2022.

Si su sistema se ve afectado, nuestro exploit de prueba de concepto ÆPIC Leak puede leer datos obsoletos, que pueden corresponder a los datos a los que accedió anteriormente el mismo núcleo del procesador”, afirman los investigadores.

Para realizar el ataque, un actor de amenazas necesita privilegios (administrador o root) para acceder a APIC MMIO. APIC (Advanced Programmable Interrupt Controller) es un componente de CPU integrado responsable de aceptar, priorizar y enviar interrupciones a los procesadores. El APIC puede operar en modo xAPIC, en el que los registros de configuración de APIC se exponen a través de una página de E/S mapeada en memoria (MMIO).

Por lo tanto, la mayoría de los sistemas están a salvo de ÆPIC Leak. Sin embargo, los sistemas que dependen de SGX [Software Guard Extensions] para proteger los datos de los atacantes privilegiados estarían en riesgo, por lo que deben parchearse”, dice la investigación.

Los usuarios con una CPU Intel reciente probablemente se vean afectados, pero si no confían en SGX, no hay necesidad de preocuparse.

Los investigadores no saben si se ha abusado de este error en la naturaleza, pero dicen que probablemente no.

Intel describió la vulnerabilidad como media y lanzó actualizaciones de firmware para abordarla:

You are not allowed to view links. Register or Login

Fuente:
ÆPIC Leak
You are not allowed to view links. Register or Login

CyberNews
You are not allowed to view links. Register or Login

20
You are not allowed to view links. Register or Login

Offensive Security ha lanzado Kali Linux 2022.3, la tercera versión de 2022, con mejoras en la máquina virtual, Linux Kernel 5.18.5, nuevas herramientas para jugar y soporte ARM mejorado.

Kali Linux es una distribución diseñada para que los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones de ciberseguridad contra redes.

Con este lanzamiento, el equipo de Kali Linux presenta una variedad de características nuevas, que incluyen:

     Compatibilidad mejorada con máquinas virtuales

     Nuevas herramientas

     Actualizaciones de Kali ARM

     Actualizaciones de Kali NetHunter

     Ahora aceptando envíos para el repositorio de Kali-Tools

Offensive Security decidió lanzar Kali Linux 2022.3 junto con la conferencia de seguridad Black Hat, BSides LV y DefCon como una "agradable sorpresa para que todos disfruten".

Con esta versión, Kali Linux utiliza Linux Kernel 5.18.5. Sin embargo, las versiones de Raspberry Pi utilizan la versión 5.15.

Offensive Security también anunció hoy que tendrán sesiones de chat de voz de una hora en su servidor Discord 'Kali Linux & Friends' después de cada lanzamiento de Kali para conversar sobre los nuevos cambios.

El primero está programado para el martes 16 de agosto de 2022 16:00 -> 17:00 UTC/+0 GMT.

Compatibilidad mejorada con máquinas virtuales

Si bien Kali Linux ya tenía imágenes de VM para VMware y VirtualBox, realizaron algunos cambios nuevos para facilitar la implementación de Kali en una VM.

Offensive Security ahora distribuye una imagen de VirtualBox como un disco VDI y un archivo de metadatos .vbox, lo que le permite agregar Kali como una nueva VM rápidamente.

Además, se lanzarán compilaciones semanales de imágenes de VM para Kali Linux que contienen los paquetes de vanguardia. Sin embargo, no recibirán pruebas tan exhaustivas como las versiones regulares.

Cinco nuevas herramientas agregadas en Kali Linux 2022.3

¿Qué es una nueva versión de Kali Linux sin nuevas herramientas para jugar?

Esta versión ha agregado cinco nuevas herramientas, incluida una herramienta de rociado de contraseñas, un kit de herramientas de post-explotación de PHP y una nueva herramienta de análisis de red.

A continuación, se muestran las cinco nuevas herramientas agregadas en Kali 2022.3:

     BruteShark - Herramienta de análisis de red

     DefectDojo: herramienta de orquestación de seguridad y correlación de vulnerabilidades de aplicaciones de código abierto

     phpsploit - Marco de post-explotación Stealth

     shellfire: explotación de vulnerabilidades de inyección de comandos y LFI/RFI

     SprayingToolkit: ataques de rociado de contraseñas contra Lync/S4B, OWA y O365

El paquete kali-linux-labs también se actualizó para incluir Damn Vulnerable Web Application (DVWA) y OWASP Juice Shop (Tienda de jugos).

Soporte ARM mejorado

Esta versión también incluye numerosas mejoras para los usuarios de ARM, con nuevas versiones para Raspberry Pi, Pinebook y USArmory MKII.

     Todos los dispositivos Raspberry Pi han actualizado su kernel a 5.15.

     Se creó arm.kali.org para tener una descripción general y estadísticas de kali-arm (muy similar a nethunter.kali.org).

     Cada dispositivo Kali ARM ha tenido su tamaño predeterminado para la partición de arranque establecido en 256 MB.

     A Pinebook se le han eliminado los modos de suspensión rotos, por lo que ya no debería dormirse y no poder despertarse.

     USBArmory MKII pasó a la versión u-boot 2022.04.

Cómo obtener Kali Linux 2022.3

Para comenzar a usar Kali Linux 2022.3, puede actualizar su instalación existente, seleccionar una plataforma o descargar directamente imágenes ISO para nuevas instalaciones y distribuciones en vivo.

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


Para aquellos que actualicen desde una versión anterior, puede usar los siguientes comandos para actualizar a la última versión.

Code: You are not allowed to view links. Register or Login
echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -rbi /etc/skel/. ~

[ -f /var/run/reboot-required ] && sudo reboot -f

Si está ejecutando Kali en el subsistema de Windows para Linux, asegúrese de usar WSL2 para una mejor experiencia, incluida la compatibilidad con aplicaciones gráficas.

Puede verificar qué versión de WSL Kali está instalada usando el comando 'wsl -l -v' en un símbolo del sistema de Windows.

Una vez que haya terminado de actualizar, puede verificar si la actualización fue exitosa usando el siguiente comando:

Code: You are not allowed to view links. Register or Login
grep VERSION /etc/os-release

Si bien solo compartimos las mejoras destacadas en Kali 2022.3, puede ver el registro de cambios completo en el sitio web de Kali.

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 47