Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cofense Intelligence ha descubierto una nueva campaña de malware dirigida específicamente a hispanohablantes. Este malware, llamado Poco RAT, se envía por correo electrónico y está hábilmente disfrazado de documentos financieros. Los correos electrónicos maliciosos contienen un enlace a un archivo de Google Drive que, al hacer clic, descarga el malware en la computadora de la víctima.

El archivo se puede entregar de tres maneras: directamente en el correo electrónico utilizando una URL de Google Drive (53 % de los correos electrónicos), incrustado en un archivo HTML (40 % de los correos electrónicos) o adjunto a un PDF con un enlace para descargar desde Google Drive. (visto en el 7% de los correos electrónicos). El archivo HTML se puede adjuntar o descargar a través de otro enlace integrado alojado en Google Drive.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Los actores de amenazas suelen utilizar servicios legítimos de alojamiento de archivos, como Google Drive, para evitar las puertas de enlace de correo electrónico seguras (SEG)", explicaron los investigadores de Cofense en su informe compartido con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, una vez descargado, Poco RAT establece persistencia en la máquina infectada y se inyecta en un proceso legítimo para permanecer oculto y operar sin ser detectado durante períodos prolongados.

Luego, Poco RAT se conecta a un servidor de comando y control (C2), recibiendo instrucciones del atacante, que siempre está alojado en 94131119126 y conectado a al menos uno de tres puertos: 6541, 6542 o 6543.

Para su información, Poco RAT es un troyano de acceso remoto dirigido a hablantes de español que utilizan la biblioteca POCO C++. Se observó por primera vez a principios de 2024 y se le asignó una familia de malware en febrero de 2024.

Inicialmente entregado a través de enlaces integrados a archivos 7zip que contienen ejecutables alojados en Google Drive, se dirige principalmente a empresas del sector minero (que representan el 67% de los ataques), pero con el tiempo amplió sus operaciones a tres sectores más, incluidos los servicios públicos, la manufactura y la hotelería.

El código personalizado del malware se centra en el antianálisis, la comunicación con su centro C2 y la descarga y ejecución de archivos, lo que lo hace capaz de entregar malware más especializado para el robo de información o ransomware.

Esta campaña de malware es peligrosa porque puede robar su información financiera o tomar el control total de su computadora. Para mantenerse a salvo del malware, tenga cuidado con los correos electrónicos no solicitados, evite abrir correos electrónicos de remitentes desconocidos, mantenga su software actualizado y habilite la autenticación de dos factores siempre que sea posible.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El sitio web independiente 404 Media informó por primera vez que el FBI había accedido con éxito al teléfono protegido con contraseña de Thomas Matthew Crooks, el fallecido sospechoso del intento de asesinato de Donald Trump.

"Los especialistas técnicos del FBI obtuvieron acceso con éxito al teléfono de Thomas Matthew Crooks y continúan analizando sus dispositivos electrónicos", se lee en un comunicado emitido por la oficina de prensa del FBI.

No está claro cómo los federales desbloquearon el teléfono; sin embargo, este caso demuestra los avances de las fuerzas del orden en eludir las medidas de seguridad implementadas para proteger los dispositivos móviles.

"Algunos detalles específicos, como por ejemplo cómo exactamente el FBI eludió las protecciones del teléfono, aún no están claros, pero las noticias indican que la realidad de obtener evidencia de dispositivos bloqueados con contraseña en casos de alto perfil es muy diferente a lo que era hace casi diez años, cuando El Departamento de Justicia de Estados Unidos intentó obligar a Apple a socavar los mecanismos de seguridad del iPhone para acceder a los datos del teléfono perteneciente al tirador de San Bernardino". afirma 404 Medios.

Inmediatamente después del intento de asesinato, los funcionarios del FBI en Pensilvania fracasaron al intentar acceder al dispositivo de Crooks. Luego, las autoridades enviaron el teléfono a Quantico, Virginia, donde los expertos del FBI analizaron el dispositivo.

En marzo de 2023, el Departamento de Justicia publicó un breve documento que amenazaba con obligar a Apple a entregar el código fuente de iOS si no ayudaba al FBI a desbloquear el iPhone del tirador de San Bernardino.

El director general de Apple, Tim Cook, declaró que la empresa se negará a ayudar al FBI para proteger a sus usuarios. La idea de introducir una puerta trasera en su sistema no es factible porque abre a los usuarios a muchos otros actores de amenazas.

Más tarde, el FBI abandonó el caso después de que el contratista gubernamental Azimuth Security desbloqueara con éxito el dispositivo.

Desde entonces, varias empresas forenses han desarrollado herramientas para desbloquear iPhones para la extracción de datos, que incluyen:

GrayKey: un dispositivo de hardware desarrollado por GrayShift que puede omitir códigos de acceso de iPhone y extraer datos. Varios medios informaron que las fuerzas del orden lo utilizaron.

UFED: una herramienta forense creada por Cellebrite que puede desbloquear iPhones y extraer datos. Es utilizado por agencias policiales y de inteligencia.

Elcomsoft iOS Forensic Toolkit: una herramienta de software que puede extraer datos de dispositivos iOS bloqueados.

MSAB XRY: una suite forense que permite desbloquear y extraer datos de dispositivos iOS.

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La nueva versión (versión 4.0) del ransomware HardBit viene con la mejora de ofuscación binaria con protección de frase de contraseña.

El ransomware requiere que se ingrese la frase de contraseña en tiempo de ejecución para poder ejecutarse. Además, la ofuscación adicional complica el análisis de los investigadores de seguridad.

El grupo de ransomware HardBit ofrece su malware en versiones CLI y GUI. La versión GUI es más fácil de usar, lo que facilita la ejecución para operadores con menos habilidades técnicas. El método de entrega involucra el virus Neshta, siendo el propio ransomware un binario .NET. El malware se ofusca utilizando un empaquetador llamado Ryan-_-Borland_Protector Cracked v1.0, que es una versión personalizada del empaquetador .NET de código abierto ConfuserEx.

El grupo de ransomware HardBit apareció por primera vez en el panorama de amenazas en octubre de 2022, pero a diferencia de otras operaciones de ransomware, no utiliza un modelo de doble extorsión en este momento.

La pandilla amenaza a las víctimas con nuevos ataques si no se cumplen sus demandas de rescate. Una vez infectada la red de una organización, el grupo de ransomware HardBit indica a las víctimas que se comuniquen con ellas por correo electrónico o mediante la plataforma de mensajería instantánea Tox.

El grupo apareció en los titulares porque busca negociar con las víctimas para llegar a un acuerdo.

Para que a las víctimas les resulte imposible recuperar los archivos cifrados, el ransomware elimina el Servicio de instantáneas de volumen (VSS) utilizando el Administrador de control de servicios y el catálogo de utilidades de copia de seguridad de Windows junto con las instantáneas.

Los investigadores notaron que el malware cifra muchos archivos, lo que podría causar errores cuando se reinicia Windows. Para evitar problemas en el inicio sucesivo, el malware edita la configuración de inicio para habilitar la opción "ignorar cualquier falla" y deshabilitar la opción de recuperación.

Para evitar que Windows Defender Antivirus bloquee el proceso de ransomware, realiza varios cambios en el Registro de Windows para deshabilitar muchas funciones de Windows Defender (es decir, protección contra manipulaciones, capacidades anti-spyware, monitoreo de comportamiento en tiempo real, protección de acceso (de archivos) en tiempo real, y escaneo de procesos en tiempo real).

El ransomware logra persistencia copiando una versión en la carpeta "Inicio" de la víctima, si aún no está presente. El nombre del archivo ejecutable imita el archivo ejecutable del host de servicio legítimo, svchost.exe, para evitar la detección.

Aún se desconoce el método de acceso inicial utilizado por el grupo HardBit Ransomware; sin embargo, los expertos de Cybereason señalaron que sigue metodologías similares asociadas con otras operaciones de ransomware.

HardBit comparte varias similitudes con LockBit Ransomware, incluido el nombre del grupo, imágenes/iconos, fuentes y notas de rescate. En este momento, no está claro si existe un vínculo entre HardBit y LockBit; los expertos especulan que estas similitudes pueden ser parte de las tácticas de marketing de HardBit.

"Si bien el vector de ataque inicial aún no está confirmado al momento de escribir este artículo, Cybereason plantea la hipótesis de que los actores de la amenaza obtienen un punto de apoyo inicial en el entorno de la víctima a través de la fuerza bruta de un servicio RDP y SMB abierto. De hecho, el entorno observó múltiples fallos de inicio de sesión desde direcciones IP conocidas de fuerza bruta".

Los actores de amenazas emplean herramientas de robo de credenciales, como Mimikatz y la herramienta de fuerza bruta RDP NLBrute, en actividades de movimiento lateral. El ataque comienza implementando un archivo zip llamado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que incluía un script BAT (!start.bat) y archivos binarios Mimikatz. Tras la ejecución, Mimikatz ejecutó el script !start.bat, generando un archivo de salida, Result.txt, con las credenciales volcadas. Luego, esta salida fue analizada y formateada por un script llamado miparser.vbs.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los operadores confían en el infectador de archivos Neshta para implementar HardBit para el cifrado.

HardBit puede desactivar Microsoft Defender Antivirus e inhibir la recuperación del sistema. Puede finalizar procesos y servicios para evadir la detección; los expertos advierten que las versiones 3.0 y 4.0 también admiten el modo de limpieza.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El informe proporciona información adicional sobre el ransomware, incluido MITRE ATT&CK MAPPING.

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#4
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ookla® Speedtest® es una plataforma de servicios que se especializa en probar el rendimiento y la calidad de una conexión a Internet.
 
Está optimizada para medir incluso las conexiones modernas más avanzadas, y proporciona información transparente sobre los factores que más impactan las experiencias conectadas, incluido el ancho de banda, la latencia, la cobertura, las métricas de video y más.

Les precede una reputación y desde su fundación en 2006, han realizado con Speedtest un total incomparable de más de 55 mil millones de pruebas.

Veamos en ya a mediados de este año (Actualizado: junio 2024), cuáles naciones poseen el mejor internet en el mundo. Y cuáles son los respectivos puestos de las naciones hispanas que incluyen a Latinoamérica y España.

Medido en dos aspectos: Banda Móvil y Banda Ancha

La mejor velocidad de Internet en Banda Ancha la poseen:

•    Singapor (Malasia)

•    Emiratos Árabes Unidos

•    Hong Kong (China)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En Banda Móvil los primeros tres puestos se reparten entre:

•    Qatar

•    Emiratos Árabes Unidos

•    Kuwait

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la zona hispano hablante en Banda Ancha el primer puesto lo sigue conservando Chile y ocupa el 4 lugar a nivel mundial. Para que después los chilenos no digan...
Y están por encima incluso de Estados Unidos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Grande por Chile que ha sabido invertir en el progreso.

En cambio, en Banda Móvil el primer puesto en la zona LATAM se lo lleva Brasil, que aunque no es hispano hablante forma parte de la región. Ocupa el puesto 37 a nivel mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El segundo lugar de la zona, en Banda Ancha lo ocupa España, ubicándose en el puesto 11 en el ranking mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el tercer puesto lo ocupa Brasil.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El segundo puesto en mejor Banda Móvil de internet de la zona se lo lleva España y ocupa el puesto 53 a nivel mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el tercer lugar lo ocupa Chile, ocupando la posición 61.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se resumen el resto de las naciones Hispanohablantes según el lugar que ocupan:

Banda Ancha:

4- Uruguay
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

5- Perú
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

6- Panamá
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

7- Colombia
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

8- Costa Rica
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

9- Ecuador
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

10- Paraguay
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

11- Argentina
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

12- México
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

13- Nicaragua
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

14- Venezuela
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

15- El Salvador
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

16- Guatemala
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

17- Honduras
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

18- República Dominicana
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

19- Bolivia
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

20- Y en el último puesto Cuba.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Es notable como Cuba ocupa el último puesto en ambas Bandas tanto Ancha como en la Móvil. Incluso muy por debajo de las naciones más pobres del mundo como son ciertos países africanos u Haití.

Banda Ancha (Cuba)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Banda Móvil (Cuba)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Increíble...


En Banda Móvil si le interesa saber qué puesto ocupa su nación, puede consultarlo en el siguiente enlace:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Speedtest de Ookla
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#5
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Departamento de Justicia de Estados Unidos condenó a prisión al ciudadano ucraniano Vyacheslav Igorevich Penchukov (37) y le ordenó pagar millones de dólares en restitución por su papel en las operaciones de malware Zeus e IcedID.

Penchukov se declaró culpable de sus papeles clave en las operaciones de malware Zeus e IcedID en febrero de 2024.

En octubre de 2022, la policía suiza arrestó en Ginebra a Penchukov, también conocido como Tank, uno de los líderes del grupo de cibercrimen JabberZeus.

El hombre fue extraditado a Estados Unidos en 2023, fue incluido en la lista de "Los más buscados" del FBI y lleva 10 años buscado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En 2012, Vyacheslav Igorevich Penchukov fue acusado de ser miembro de una banda de ciberdelincuentes conocida como JabberZeus.

JabberZeus era una pequeña red cibercriminal que apuntaba a las PYMES con una versión personalizada del troyano bancario Zeus. En ese momento, el Departamento de Justicia acusó a Penchukov de coordinar el intercambio de credenciales bancarias robadas y mulas de dinero y de recibir alertas una vez que una cuenta bancaria se había visto comprometida.

El popular investigador Brian Krebs informó que Gary Warner, director de investigación en informática forense de la Universidad de Alabama en Birmingham, señaló en 2014 que Tank les dijo a los co-conspiradores en un chat de JabberZeus el 22 de julio de 2009, que su hija se llama Miloslava, mencionó el peso de Miloslava al nacer.

Warner explicó que Tank fue identificado buscando en los registros de nacimiento ucranianos la única niña llamada Miloslava nacida ese día con un peso de nacimiento específico.

Krebs señaló que Penchukov pudo evadir la persecución de las autoridades ucranianas durante muchos años gracias a sus conexiones políticas. El difunto hijo del ex presidente ucraniano Víctor Yanukovich sería el padrino de la hija de Tank, Miloslava.

Otros dos miembros de la banda, Yevhen Kulibaba y Yuriy Konovalenko, fueron arrestados en 2014 y se declararon culpables. Ambos fueron condenados a dos años y diez meses de prisión en mayo de 2015, seguidos de una libertad supervisada de un año.

Desde mayo de 2019, Penchukov tuvo un papel destacado en la operación Zeus. Al menos desde noviembre de 2018 hasta febrero de 2021, Penchukov ayudó a liderar una conspiración que infectó las computadoras de las víctimas con IcedID o Bokbot.

Esta semana, Wired informó que Penchukov fue sentenciado a nueve años de prisión federal y tres años de libertad supervisada. Se declaró culpable de un cargo de conspiración para extorsionar y un cargo de conspiración para fraude electrónico.

El hombre también fue condenado a pagar 73 millones de dólares en concepto de restitución.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como parte del impulso más amplio de la industria tecnológica hacia la IA, lo queramos o no, parece que el servicio Gemini AI de Google ahora está leyendo documentos privados de Drive sin el permiso expreso del usuario, según un informe de Kevin Bankster en Twitter incluido a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien Bankster continúa analizando las razones por las que esto puede resultar problemático para usuarios como él en particular, la total falta de control que se está otorgando sobre su información sensible y privada es inaceptable para una empresa de la talla de Google y no augura nada bueno para futuras preocupaciones sobre privacidad. entre el despliegue a menudo forzado de la IA.

Entonces, ¿qué está pasando aquí exactamente? Tanto el soporte de Google como la propia Gemini AI no parecen saberlo del todo, pero Kevin Bankston tiene algunas teorías, después de proporcionar muchos más detalles en el hilo completo.

Al contrario de la publicación inicial, esto técnicamente está sucediendo dentro del ámbito más amplio de Google Drive y no específicamente de Google Docs, aunque parece probable que el problema también se aplique a Docs.

¿Pero qué causó este problema?

Según Gemini AI de Google, las configuraciones de privacidad utilizadas para informar a Gemini deberían estar disponibles abiertamente, pero no lo están, lo que significa que la IA está "alucinando (miente)" o algunos sistemas internos de los servidores de Google no funcionan correctamente. De cualquier manera, no tiene una gran apariencia, incluso si estos datos privados supuestamente no se utilizan para entrenar la IA de Gemini.

Es más, Bankston finalmente encontró la opción de configuración en cuestión... solo para descubrir que los resúmenes de Gemini en Gmail, Drive y Docs ya estaban deshabilitados. Además, estaba en un lugar completamente diferente a cualquiera de las páginas web a las que apuntaba inicialmente el robot de Gemini.

Para Bankston, el problema parece localizado en Google Drive y sólo ocurre después de presionar el botón Gemini en al menos un documento. El tipo de documento coincidente (en este caso, PDF) activará automáticamente Google Gemini para todos los archivos futuros del mismo tipo abiertos en Google Drive. También teoriza que esto pudo haber sido causado por haber habilitado Google Workspace Labs en 2023, lo que podría estar anulando la configuración prevista de Gemini AI.

Incluso si este problema se limita a los usuarios de Google Workspace Labs, es una desventaja bastante grave por haber ayudado a Google a probar su última y mejor tecnología.

El consentimiento del usuario sigue siendo importante de forma granular, particularmente con información potencialmente confidencial, y Google le ha fallado por completo al menos a un segmento de su base de usuarios al no mantenerse fiel a ese principio.

Fuente:
Tom's Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#7
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero ... ellos generan más dinero también.

En 2023, Google y Microsoft consumieron cada uno 24 TWh de electricidad, superando el consumo de más de 100 países, incluidos lugares como Islandia, Ghana y Túnez, según un análisis de Michael Thomas. Si bien el uso masivo de energía significa un impacto ambiental sustancial para estos gigantes tecnológicos, cabe señalar que Google y Microsoft también generan más dinero que muchos países. Además, empresas como Intel, Google y Microsoft lideran la adopción de energías renovables dentro de la industria.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un análisis detallado revela que el consumo de electricidad de Google y Microsoft (24 TWh en 2023) equivale al consumo de energía de Azerbaiyán (una nación de 10,14 millones de habitantes) y es superior al de varios otros países. Por ejemplo, Islandia, Ghana, República Dominicana y Túnez consumieron cada uno 19 TWh, mientras que Jordania consumió 20 TWh. Por supuesto, algunos países consumen más energía que Google y Microsoft. Por ejemplo, Eslovaquia, un país con 5,4 millones de habitantes, consume 26 TWh.

Esta comparación pone de relieve las enormes necesidades energéticas de las empresas de alta tecnología: los centros de datos operados por Google y Microsoft tienen un impacto medioambiental considerable.

Pero ¿qué pasa si comparamos el consumo de energía y la generación de dinero de Google y Microsoft con algunos de los países mencionados?

En 2023, Google generó 305.600 millones de dólares en ingresos, mientras que su impacto económico, incluidas herramientas como Google Search, Google Cloud y YouTube, contribuyó aproximadamente 739.000 millones de dólares a la economía, según el propio Google.

Microsoft registró unos ingresos de 211.900 millones de dólares en 2023. Teniendo en cuenta que la gran mayoría de la población mundial utiliza Microsoft Windows y Microsoft Office y que muchas aplicaciones en línea se ejecutan en Microsoft Azure, el impacto económico de los productos de Microsoft probablemente se cuente en billones de dólares.

Comparando esto con países con el mismo consumo de energía aproximado, el PIB de Azerbaiyán fue de aproximadamente 78 mil millones de dólares, el PIB de Eslovaquia fue de alrededor de 127 mil millones de dólares y el PIB de Islandia fue de aproximadamente 30 mil millones de dólares en 2023.

La producción económica de Google y Microsoft supera con creces el PIB de estos países, lo que pone de relieve la enorme escala financiera de estos gigantes tecnológicos en relación con su sustancial consumo de electricidad.

Microsoft registró unos ingresos de 211.900 millones de dólares en 2023. Teniendo en cuenta que la gran mayoría de la población mundial utiliza Microsoft Windows y Microsoft Office y que muchas aplicaciones en línea se ejecutan en Microsoft Azure, el impacto económico de los productos de Microsoft probablemente se cuente en billones de dólares.

Comparando esto con países con el mismo consumo de energía aproximado, el PIB de Azerbaiyán fue de aproximadamente 78 mil millones de dólares, el PIB de Eslovaquia fue de alrededor de 127 mil millones de dólares y el PIB de Islandia fue de aproximadamente 30 mil millones de dólares en 2023.

La producción económica de Google y Microsoft supera con creces el PIB de estos países, lo que pone de relieve la enorme escala financiera de estos gigantes tecnológicos en relación con su sustancial consumo de electricidad.

Si bien el consumo sustancial de electricidad por parte de Google y Microsoft subraya la necesidad de debates sobre la sostenibilidad y la adopción de energía renovable dentro de la industria tecnológica, estas empresas lideran la adopción de fuentes de energía renovables en la industria.

De hecho, Google ha sido durante mucho tiempo pionero en el uso de energías renovables. La compañía ha sido neutra en carbono desde 2007 y apunta a operar con energía libre de carbono las 24 horas del día, los 7 días de la semana en todos sus centros de datos para 2030. En 2023, Google anunció sus inversiones continuas en proyectos de energía renovable, ampliando su cartera para incluir una variedad de energía eólica, solar y otras fuentes de energía renovables.

En cuanto a Microsoft, se ha comprometido a convertirse en carbono negativo para 2030, lo que significa que pretende eliminar del medio ambiente más carbono del que emite. La empresa también tiene como objetivo la producción de residuos cero y un uso positivo del agua para el mismo año. En 2023, Microsoft aumentó su cartera contratada de activos de energía renovable a más de 19,8 gigavatios, abarcando proyectos en 21 países. La compañía también está trabajando para reducir sus emisiones operativas directas y abordar sus emisiones indirectas, particularmente las asociadas con la construcción de nuevos centros de datos y componentes de hardware.

Fuente
:
Tom's Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas se apresuran a utilizar como arma los exploits de prueba de concepto (PoC) disponibles en ataques reales, a veces tan pronto como 22 minutos después de que los exploits se ponen a disposición del público.

Esto es según el informe de seguridad de aplicaciones de Cloudflare para 2024, que cubre la actividad entre mayo de 2023 y marzo de 2024 y destaca las tendencias de amenazas emergentes.

Cloudflare, que actualmente procesa un promedio de 57 millones de solicitudes HTTP por segundo, continúa viendo una mayor actividad de escaneo de CVE divulgados, seguida de inyecciones de comandos e intentos de convertir los PoC disponibles en armas.

Durante el período examinado, las fallas más atacadas fueron CVE-2023-50164 y CVE-2022-33891 en productos Apache, CVE-2023-29298, CVE-2023-38203 y CVE-2023-26360 en Coldfusion, y CVE-2023- 35082 en MobileIron.

Un ejemplo característico del aumento en la velocidad de la utilización de armas es CVE-2024-27198, una falla de omisión de autenticación en JetBrains TeamCity.

Cloudflare observó un caso en el que un atacante implementó un exploit basado en PoC, 22 minutos después de su publicación, lo que prácticamente no dejó a los defensores ningún margen para la oportunidad de remediar el problema.

Velocidad de explotación CVE
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de Internet dice que la única forma de combatir esta velocidad es emplear asistencia de inteligencia artificial para desarrollar rápidamente reglas de detección efectivas.

"La velocidad de explotación de los CVE revelados suele ser más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques", explica Cloudflare en el informe.

"Esto también se aplica a nuestro propio equipo interno de analistas de seguridad que mantiene el conjunto de reglas administradas WAF, lo que nos ha llevado a combinar las firmas escritas por humanos con un enfoque basado en ML para lograr el mejor equilibrio entre pocos falsos positivos y velocidad de respuesta".

Cloudflare dice que esto es en parte el resultado de actores de amenazas específicos que se especializan en ciertas categorías y productos CVE, y que desarrollan una comprensión profunda de cómo aprovechar rápidamente las nuevas revelaciones de vulnerabilidades.

Intentos de explotación de RCE centrados en productos específicos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 6,8% de todo el tráfico de Internet es DDoS

Otro punto destacado sorprendente en el informe de Cloudflare es que el 6,8% de todo el tráfico diario de Internet es tráfico distribuido de denegación de servicio (DDoS) destinado a hacer que las aplicaciones y servicios en línea no estén disponibles para los usuarios legítimos.

Porcentaje de tráfico HTTP mitigado
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se trata de un aumento notable en comparación con el 6% registrado durante el período de 12 meses anterior (2022-2023), lo que muestra un aumento en el volumen general de ataques DDoS.

Cloudflare afirma que, durante grandes ataques globales, el tráfico malicioso puede representar hasta el 12% de todo el tráfico HTTP.

"Centrándonos únicamente en las solicitudes HTTP, en el primer trimestre de 2024 Cloudflare bloqueó un promedio de 209 mil millones de amenazas cibernéticas cada día (+86,6 % interanual) [... lo que] es un aumento sustancial en términos relativos en comparación con el mismo período del año pasado", declara Cloudflare.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa negoció a través de un investigador de seguridad intermediario, según Wired.

AT&T pagó a un hacker alrededor de 370.000 dólares para eliminar datos de clientes que le fueron robados como parte de una ola de piratería a principios de este año. Luego, el pirata informático proporcionó un video para demostrar que habían eliminado los datos, según un informe de Wired de hoy.

Según se informa, AT&T negoció a través de un intermediario, llamado Reddington, que actúa en nombre de un miembro del grupo de piratería ShinyHunters. El hacker originalmente pidió $1 millón antes de que AT&T les convenciera sobre la cantidad, que pagó el 17 de mayo en bitcoin, escribe Wired.

El medio informa que Reddington, a quien AT&T pagó por su participación en las negociaciones, dijo que cree que la única copia completa de los datos se eliminó después de que AT&T pagó el rescate, pero que es posible que aún haya extractos disponibles. Según se informa, Reddington también dijo que también negoció con varias otras empresas para los piratas informáticos.

Antes de que AT&T anunciara la infracción, se informó que Ticketmaster y Santander Bank también se vieron comprometidos, a través de las credenciales de inicio de sesión robadas de un empleado de la empresa externa de almacenamiento en la nube Snowflake.

Wired informa que, después del ataque a Ticketmaster, los piratas informáticos utilizaron un script para piratear potencialmente más de 160 empresas simultáneamente.

Fuente:
The Verge
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WASHINGTON, 12 julio (Reuters) - Meta dijo el viernes que estaba revocando algunas restricciones que se habían aplicado a las cuentas de Facebook e Instagram del expresidente estadounidense Donald Trump.

La compañía de redes sociales suspendió indefinidamente las cuentas de Trump luego de que elogiara a las personas que irrumpieron en el Capitolio de los EE. UU. el 6 de enero de 2021. Luego, la compañía restableció sus cuentas a principios de 2023, diciendo que monitorearía las publicaciones de Trump para detectar nuevas violaciones que podrían resultar en otra suspensión. de entre un mes y dos años.

Trump, que compite contra el presidente estadounidense Joe Biden, ya no estará sujeto a seguimiento adicional, dijo Meta.

"Al evaluar nuestra responsabilidad de permitir la expresión política, creemos que el pueblo estadounidense debería poder escuchar a los candidatos a la presidencia sobre la misma base", dijo Meta en una entrada de blog actualizada.

Algunos expertos en redes sociales han criticado durante mucho tiempo a Meta y otras plataformas por no moderar el contenido político, incluso el de los candidatos políticos.

Trump también fue excluido de Twitter, ahora llamado X, en 2021. El multimillonario Elon Musk restauró la cuenta poco después de adquirir la compañía en 2022, aunque Trump solo ha publicado una vez desde entonces.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#11
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El video muestra a Atlas completando tareas necesarias pero menores, como organizar el equipo del gimnasio y subir cargas por escaleras improvisadas.

A pesar de sus movimientos animatrónicos, Atlas es muy hábil para completar estas tareas. Puede transportar rápidamente tablas de madera de un área a otra y recoger pequeños objetos pesados, todo mientras baila un poco.

La descripción del video dice que Atlas está mejorando en la manipulación del mundo que lo rodea.

"Desde taburetes hasta herramientas, este montaje es solo una muestra de cómo Atlas está mejorando en la manipulación de su mundo", dijo Boston Dynamics.

"Estamos entusiasmados de mostrarles a todos el progreso que hemos logrado y esperamos continuar compartiendo el viaje que tenemos por delante con nuestro robot humanoide Atlas de próxima generación".

Atlas solo está mejorando a medida que el robot humanoide y la leyenda del parkour se vuelven eléctricos. Boston Dynamics ha retirado su predecesor hidráulico en un intento por comercializar la tecnología.

A través del proceso iterativo de creación de Atlas, tal vez esté a la altura de su autoproclamado título de "el robot humanoide más dinámico del mundo", ya que ahora es completamente eléctrico y está diseñado para el mundo real.

El uso de hardware específico por parte de la empresa tiene como objetivo proporcionar al robot potencia y equilibrio, así como capacidad atlética y agilidad. Boston Dynamics aparentemente quiere que los robots humanoides como Atlas sean algo común.

Boston Dynamics es una empresa de robótica que se especializa en robots que "enriquecen la vida de las personas".

"Consideramos este trabajo como el siguiente paso en la evolución de máquinas que reducen el peligro, la repetición y los aspectos físicamente difíciles del trabajo", dijo Boston Dynamics.





Fuente
:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#12
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Proyectos importantes como Compound (COMP) y otros vieron sus dominios secuestrados en un intento de redirigir a los visitantes a sitios web maliciosos que drenarían los fondos de sus billeteras de los usuarios conectados.

Esta mañana, Compound confirmó que su sitio web No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "vuelve a ser seguro" e instó a los usuarios a reiniciar sus navegadores y asegurarse de conectarse a los dominios correctos (compound.finance, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta).

Según el equipo, el ataque no afectó al protocolo y ningún contrato inteligente se vio comprometido. Se anunciarán más detalles después de una investigación. Sin embargo, Compound ha instado a sus usuarios a revocar las aprobaciones por ahora.

Mientras tanto, Celer Network (CLR) confirmó ayer que un intento de adquisición de dominios de Celer "fue interceptado con éxito".

La empresa de criptoseguridad Blockaid estimó que "los atacantes están operando secuestrando registros DNS de proyectos alojados en SquareSpace". También afirmaron que "los atacantes están usando un kit de drenaje asociado con la versión más reciente del grupo de drenaje Inferno".

"Los registradores son custodios de sus dominios. Si están comprometidos, como SquareSpace hoy, el tráfico de su sitio web puede ser dirigido sin su permiso a otro lugar", agregó en X Matthew Gould, fundador del proveedor de dominios Web3 Unstoppable Domains.

La lista inicial de dominios potencialmente vulnerables registrados en SquareSpace incluía más de 120 sitios web.

SquareSpace no ha publicado ninguna actualización sobre la situación.

Según la plataforma de recompensas por errores Web3 Immunefi, se han perdido 921 millones de dólares debido a hackeos y fraudes de criptomonedas en lo que va del año, un aumento del 24% en comparación con el período anterior. Sin embargo, también señalaron que el número de ataques individuales exitosos disminuyó en un 11%, de 81 en el segundo trimestre de 2023 a 72 en el segundo trimestre de 2024.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#13
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los atacantes pueden aprovechar una falla de seguridad crítica, rastreada como CVE-2024-39929 ( puntaje CVSS de 9.1 ), en el agente de transferencia de correo Exim para enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.

Exim es un agente de transferencia de correo (MTA) ampliamente utilizado diseñado para enrutar, entregar y recibir mensajes de correo electrónico. Desarrollado inicialmente para sistemas tipo Unix, Exim es conocido por su flexibilidad y capacidad de configuración, lo que permite a los administradores personalizar ampliamente su comportamiento a través de archivos de configuración.

Las versiones de Exim hasta 4.97.1 se ven afectadas por una vulnerabilidad que malinterpreta los nombres de archivos de encabezado RFC 2231 multilínea. Esta falla permite a atacantes remotos eludir la protección de bloqueo de extensión $mime_filename, entregando potencialmente archivos adjuntos ejecutables a los buzones de correo de los usuarios.

La vulnerabilidad, rastreada como CVE-2024-39929, tiene una puntuación CVSS de 9,1 sobre 10,0. Se ha solucionado en la versión 4.98.

"Exim hasta 4.97.1 analiza erróneamente un nombre de archivo de encabezado RFC 2231 multilínea y, por lo tanto, atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente entregar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales", se lee en el aviso.

Según la empresa de seguridad cibernética Censys, hay 6.540.044 servidores de correo SMTP públicos y 4.830.719 (~74%) ejecutan Exim.

Los investigadores de Censys afirman que existe una prueba de concepto (PoC) para este problema, pero aún no se conocen explotaciones activas.

"Al 10 de julio de 2024, Censys observa 1.567.109 servidores Exim expuestos públicamente que ejecutan una versión potencialmente vulnerable (4.97.1 o anterior), concentrados principalmente en Estados Unidos, Rusia y Canadá. Hasta ahora, 82 servidores públicos muestran indicios de ejecutar una versión parcheada de 4.98".

La firma publicó un conjunto de consultas que permiten identificar instancias Exim públicas visibles para Censys que ejecutan versiones potencialmente vulnerables afectadas por este CVE.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#14
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se espera que el Centro Integrado de Ciberdefensa de la OTAN, o NICC, alerte a los comandantes militares de la OTAN sobre posibles amenazas y vulnerabilidades en el ciberespacio, afirma el comunicado de prensa.

El anuncio coincide con la Cumbre de líderes mundiales de la OTAN de 2024 que conmemora el 75.º aniversario de la Alianza.

La medida se produce cuando las naciones aliadas de la OTAN, incluida la propia organización, se han visto plagadas de una avalancha de ciberataques por motivos políticos desde la invasión rusa de Ucrania en febrero de 2022, también uno de los principales temas de discusión que tendrán lugar durante los tres días en la cumbre de la OTAN.

La portavoz de la OTAN, Farah Dakhlallah, dio la noticia el martes, cerrando el día 1 de las conversaciones de la Cumbre.

"Los aliados de la #OTAN acordaron establecer un nuevo Centro de Defensa Cibernética para protegerse mejor contra las crecientes amenazas cibernéticas", publicó Dakhlallah. "El Centro mejorará la protección de las redes de la OTAN y el uso del ciberespacio por parte de la Alianza como dominio operativo", dijo.

El nuevo Centro reunirá no solo a personal civil y militar de toda la empresa de la OTAN y los países aliados, sino que también involucrará a expertos de toda la industria de la ciberseguridad y los estados de la OTAN.

La OTAN dijo que también se incorporarán las infraestructuras civiles críticas de propiedad privada utilizadas para apoyar las actividades militares de la OTAN.

"Aprovechará tecnologías avanzadas para aumentar nuestra conciencia situacional en el ciberespacio y mejorar la resiliencia y la defensa colectivas", dijo la OTAN.

Miembros de la OTAN en la mira de Rusia

La OTAN y las naciones aliadas están bajo la amenaza constante de ataques cibernéticos e interrupciones desde todas las facetas del panorama de seguridad, que solo han aumentado y se han vuelto más sofisticados con la introducción de la inteligencia artificial.

APT 29 (CozyBear, MidnightBlizzard) y APT 28 (FancyBear) son dos de los principales actores de amenazas a los Estados-nación de Rusia. Conocidos por ser parte de la inteligencia militar de Putin, los grupos son responsables de importantes ataques, como el de SolarWinds de 2020 y, más recientemente, dirigido al gigante tecnológico Microsoft y a entidades diplomáticas de la UE.

Los grupos hacktivistas alineados con Rusia, como NoName057, KillNet y Anonymous Sudan, han bombardeado continuamente agencias gubernamentales aliadas y otras infraestructuras críticas con ataques de denegación de servicio distribuido (DDoS) a diario desde que comenzó la guerra ruso-ucraniana.

Además, varias bandas de ransomware, algunas con presuntos vínculos con el Kremlin, como BlackBasta y Royal (ahora BlackSuit), también han lanzado su misiva para atacar implacablemente a organizaciones privadas e infraestructuras críticas del bloque occidental.

"En línea con los valores compartidos y las obligaciones internacionales de los Aliados, el Centro promoverá un enfoque del ciberespacio basado en normas, predecible y seguro", dijo la OTAN sobre su visión para el Centro.

El NICC tendrá su sede en el cuartel general militar de la OTAN en Bélgica, también conocido como SHAPE o Cuartel General Supremo de las Potencias Aliadas en Europa, y se revelarán más detalles en los próximos meses.

SHAPE es también el hogar del Comando Aliado de Operaciones (ACO) de la OTAN, que es responsable de todas las operaciones de la OTAN en todo el mundo.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#15
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

AT&T confirmó hoy una violación masiva que afecta a casi todos sus usuarios. El operador dice que los piratas informáticos lograron copiar datos de clientes, incluidos registros de llamadas y mensajes de texto, desde 2022 a una plataforma en la nube de terceros en abril.

La investigación interna de AT&T ha revelado que los datos comprometidos incluyen registros de llamadas y mensajes de texto de casi todos sus clientes de telefonía móvil, clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T y clientes de líneas fijas de AT&T que interactuaron con esos clientes entre el 1 de mayo de 2022. – 31 de octubre de 2022. La filtración también incluye registros del 2 de enero de 2023, pero para un número muy reducido de clientes.

En un artículo de soporte que destaca el incidente, AT&T dice que los datos filtrados también identifican los números de teléfono con los que interactuaron los números de AT&T durante dicho período. Además, incluye recuentos de esas llamadas o mensajes de texto, junto con la duración total de las llamadas para días o meses específicos.

El operador ha aclarado que los datos filtrados no incluyen el contenido de ninguna llamada o mensaje de texto, y no tiene las marcas de tiempo de las llamadas o mensajes de texto. Tampoco revela información personal, como nombres de clientes, números de Seguro Social o fechas de nacimiento. Sin embargo, añade que los malhechores podrían utilizar herramientas disponibles públicamente para encontrar nombres asociados con los números de teléfono filtrados.

Aunque el comunicado de prensa oficial de AT&T no aclara el alcance de la violación de datos, un informe de Reuters revela que afecta a alrededor de 109 millones de cuentas de clientes. El informe agrega que AT&T se enteró por primera vez de la violación el 19 de abril y su investigación reveló que los piratas informáticos descargaron los datos entre el 14 y el 25 de abril.

Desde entonces, AT&T cerró el punto de acceso y tomó medidas de ciberseguridad adicionales para proteger los datos de los clientes. El operador se está comunicando con los clientes afectados y ha proporcionado recursos para ayudarlos a obtener los números de teléfono de las llamadas y mensajes de texto en los datos filtrados. También ha añadido que no cree que los datos filtrados estén disponibles públicamente.

Fuente
:
AndroidAuthority
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#16
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Netgear advirtió a los clientes que actualizaran sus dispositivos al último firmware disponible, que parchea las vulnerabilidades de scripts entre sitios (XSS) almacenados y de omisión de autenticación en varios modelos de enrutadores WiFi 6.

La falla de seguridad XSS almacenada (solucionada en la versión de firmware 1.0.0.72 y rastreada como PSV-2023-0122) afecta al enrutador para juegos XR1000 Nighthawk.

Si bien la compañía no reveló ningún detalle sobre este error, los ataques exitosos que explotan dichas debilidades pueden permitir a los actores de amenazas secuestrar las sesiones de los usuarios, redirigir a los usuarios a sitios maliciosos o mostrar formularios de inicio de sesión falsos y robar información restringida.

También pueden realizar acciones con los permisos del usuario comprometido, un escenario especialmente peligroso si el usuario tiene privilegios administrativos en el dispositivo objetivo.

El error de seguridad de omisión de autenticación (corregido en la versión de firmware 2.2.2.2 y rastreado como PSV-2023-0138) afecta a los enrutadores de módem por cable CAX30 Nighthawk AX6 6-Stream.

Aunque Netgear tampoco ha compartido ninguna información sobre esta vulnerabilidad, dichas fallas generalmente se etiquetan como de máxima gravedad, ya que pueden proporcionar a los atacantes acceso no autorizado a la interfaz administrativa y pueden resultar en una toma completa de los dispositivos objetivo.

Cómo actualizar el firmware de su enrutador

En avisos de seguridad publicados el miércoles, Netgear dijo que "recomienda encarecidamente que descargue el firmware más reciente lo antes posible".

Para descargar e instalar el firmware más reciente para su enrutador Netgear, debe seguir los siguientes pasos:

 Visite el soporte de NETGEAR:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El mes pasado, investigadores de seguridad revelaron media docena de vulnerabilidades de diversa gravedad que afectan a Netgear WNR614 N300, un enrutador popular entre usuarios domésticos y pequeñas empresas.

Dado que este modelo de enrutador llegó al final de su vida útil y ya no es compatible con Netgear, la compañía no lanzará parches de seguridad y recomendó a los usuarios que reemplacen el enrutador o apliquen medidas de mitigación para bloquear posibles ataques.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#17
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Signal finalmente está reforzando la seguridad de su cliente de escritorio al cambiar la forma en que almacena las claves de cifrado de texto sin formato para el almacén de datos después de restar importancia al problema desde 2018.

Como se informó en 2018, cuando se instala Signal Desktop para Windows o Mac, crea una base de datos SQLite cifrada para almacenar los mensajes de un usuario. Esta base de datos se cifra utilizando una clave generada por el programa y sin intervención del usuario.

Para que un programa pueda descifrar una base de datos cifrada y utilizarla para almacenar datos, debe tener acceso a la clave de cifrado. En el caso de Signal, almacena la clave como texto sin formato en un archivo local llamado
%AppData%\Signal\config.json en Windows

y ~/Library/Application Support/Signal/config.json en un Mac.

Clave de descifrado en config.json de Signal en Windows
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, si Signal puede acceder a esta clave, también puede hacerlo cualquier otro usuario o programa que se ejecute en la computadora, lo que hace que la base de datos cifrada pierda su valor y proporcione poca o ninguna seguridad adicional.

Una solución ofrecida por el investigador que encontró esta falla, Nathaniel Suchy, fue cifrar la base de datos local con una contraseña proporcionada por el usuario que nunca se almacena en ningún lugar, como vemos con el software de respaldo en la nube, los navegadores web, los administradores de contraseñas y las billeteras de criptomonedas.

Cuando BleepingComputer se comunicó con Signal sobre la falla en 2018, nunca recibimos una respuesta.

En cambio, un gerente de soporte de Signal respondió a las inquietudes de un usuario en el foro de Signal, afirmando que la seguridad de su base de datos nunca fue algo que afirmó brindar.

"La clave de la base de datos nunca tuvo la intención de ser un secreto. El cifrado en reposo no es algo que Signal Desktop esté tratando de proporcionar actualmente o haya afirmado proporcionar", respondió el empleado de Signal.

Para ser justos con Signal, cifrar bases de datos locales sin una contraseña proporcionada por el usuario es un problema para todas las aplicaciones y depende de pasos adicionales para reforzar aún más la seguridad.

Sin embargo, como empresa que se enorgullece de su seguridad y privacidad, fue extraño que la organización descartara el problema y no intentara ofrecer una solución.

El defecto de diseño resurge nuevamente en X

Casi seis años después, Elon Musk tuiteó: "Existen vulnerabilidades conocidas en Signal que no se están abordando. Parece extraño..."

Musk no compartió a qué vulnerabilidades se refería, y algunos vieron el tweet de Musk como un intento de ayudar a Telegram en una campaña afirmando que era más seguro que Signal.

La presidenta de Signal, Meredith Whittaker, respondió que no es necesario abordar ninguna vulnerabilidad conocida y, si la hay, se debe informar responsablemente a la organización.

"Hola, hola, no tenemos evidencia de vulnerabilidades existentes y no hemos sido notificados de nada. Seguimos prácticas de divulgación responsables y monitoreamos de cerca No tienes permitido ver los links. Registrarse o Entrar a mi cuenta + respondemos y solucionamos cualquier problema válido rápidamente", tuiteó Whittaker.

Sin embargo, la semana pasada, los investigadores de seguridad móvil Talal Haj Bakry y Tommy Mysk de Mysk Inc advirtieron a X que no usara Signal Desktop debido a la misma debilidad de seguridad que informamos en 2018.

En una serie de tweets, Mysk Inc ilustró cómo las fotos y aplicaciones enviadas a través de la aplicación de mensajería no se almacenan en una ubicación segura o cifrada y que la clave de cifrado para el almacén de mensajes todavía se almacena en texto sin formato en el sistema.

"La nota de la comunidad es incorrecta y Elon Musk tiene razón. Las aplicaciones de escritorio de Signal cifran el historial de chat local con una clave almacenada en texto plano y accesible a cualquier proceso", tuitearon los investigadores en otro hilo.

"Esto deja a los usuarios vulnerables a la exfiltración. El problema se informó en 2018, pero no se ha solucionado"

En respuesta, Whittaker minimizó la falla y afirmó que, si un atacante tiene acceso completo a su dispositivo, Signal no puede proteger completamente los datos.

"Los problemas reportados dependen de que un atacante ya tenga *acceso completo a su dispositivo*, ya sea físicamente, a través de un ataque de malware o mediante una aplicación maliciosa ejecutándose en el mismo dispositivo", tuiteó Whittaker.

"Esto no es algo contra lo que Signal, ni ninguna otra aplicación, pueda protegerse por completo. Tampoco pretendemos hacerlo".

Si bien no está claro qué significa acceso total a un dispositivo, cualquier persona con acceso remoto o malware ejecutándose en el dispositivo podría acceder a los datos.

La respuesta fue inusual después de los constantes retuits de Whittaker sobre las implicaciones de seguridad y privacidad del retiro de Windows de Microsoft y cómo los atacantes locales o el malware podrían robar datos.

Si bien la función Windows Recall sin duda consume muchos más datos confidenciales, se podrían aplicar preocupaciones similares a Signal, que se utiliza para mensajes confidenciales que, en algunos países, podrían llevar a una persona a prisión.

Sin embargo, Microsoft respondió a las muy merecidas críticas diciendo que retrasarían el lanzamiento de Windows Recall para agregar protecciones adicionales para proteger los datos recopilados de ataques locales y probar más el producto.

Signal ahora reforzará el cifrado de la base de datos

En abril, un desarrollador independiente, Tom Plant, creó una solicitud para fusionar código que utiliza la API SafeStorage de Electron para proteger aún más el almacén de datos de Signal contra ataques fuera de línea.

"Como simple mitigación, implementé la API safeStorage de Electron para cifrar de manera oportunista la clave con API de plataforma como DPAPI en Windows y Keychain en macOS", explicó Plant en la solicitud de fusión.

La API safeStorage de Electron proporciona métodos adicionales para proteger la clave de cifrado utilizada para cifrar los datos almacenados localmente en un dispositivo.

Cuando se utilizan, las claves de cifrado se generan y almacenan utilizando el sistema de criptografía de un sistema operativo y almacenes de claves seguros. Por ejemplo, en Mac, la clave de cifrado se almacenaría en el Llavero y, en Linux, se utilizaría el almacén secreto del administrador de Windows, como kwallet, kwallet5, kwallet6 y gnome-libsecret.

La API safeStorage se queda corta para Windows, ya que utiliza DPAPI, que sólo protege la clave de cifrado contra otros usuarios en el mismo dispositivo. Eso significa que cualquier programa o malware que se ejecute en el mismo contexto de usuario que el que usa Signal, en teoría, podría acceder a los datos.

Si bien la solución proporcionaría seguridad adicional para todos los usuarios de escritorio de Signal, la solicitud permaneció inactiva hasta el drama X de la semana pasada. Hace dos días, un desarrollador de Signal finalmente respondió que implementaron soporte para safeStorage de Electron, que estaría disponible pronto en una próxima versión Beta.

Mientras se prueba la nueva implementación de safeStorage, Signal también incluyó un mecanismo alternativo que permite al programa descifrar la base de datos utilizando la clave de descifrado de la base de datos heredada.

"Además de migrar a claves de cifrado de bases de datos locales cifradas/respaldadas por un almacén de claves en plataformas compatibles, nuestra implementación también incluye algunos pasos adicionales de solución de problemas y una opción de respaldo temporal que permitirá a los usuarios recuperar su base de datos de mensajes utilizando su clave de cifrado de base de datos heredada si algo sale mal. mal", explicó el desarrollador de Signal, Jamie Kyle.

"Esto debería ayudar a minimizar la pérdida de datos si se descubre algún caso extremo u otros errores relacionados con el almacén de claves durante el proceso de migración y el lanzamiento de producción.

Signal dice que la clave heredada se eliminará una vez que se pruebe la nueva función.

Aunque es bueno ver que tenemos estas protecciones adicionales para Signal, algunos están decepcionados de que solo haya sucedido después del revuelo en X.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#18
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo actor de amenazas conocido como CRYSTALRAY ha ampliado significativamente su alcance con nuevas tácticas y exploits, y ahora cuenta con más de 1.500 víctimas cuyas credenciales fueron robadas y desplegaron criptomineros.

Esto lo informan investigadores de Sysdig, que han rastreado al actor de amenazas desde febrero, cuando informaron por primera vez sobre el uso del gusano de código abierto SSH-Snake para propagarse lateralmente en redes violadas.

SSH-snake es un gusano de código abierto que roba claves privadas SSH en servidores comprometidos y las utiliza para moverse lateralmente a otros servidores mientras descarga cargas útiles adicionales en los sistemas vulnerados.

Anteriormente, Sysdig identificó aproximadamente 100 víctimas de CRYSTALRAY afectadas por los ataques SSH-Snake y destacó las capacidades de la herramienta de mapeo de red para robar claves privadas y facilitar el movimiento lateral sigiloso de la red.

Mordiendo más fuerte

Sysdig informa que el actor de amenazas detrás de estos ataques, ahora rastreado como CRYSTALRAY, ha ampliado significativamente sus operaciones, contando 1.500 víctimas.

"Las últimas observaciones del equipo muestran que las operaciones de CRYSTALRAY se han multiplicado por 10 hasta alcanzar más de 1.500 víctimas y ahora incluyen escaneo masivo, explotación de múltiples vulnerabilidades y colocación de puertas traseras utilizando múltiples herramientas de seguridad OSS", se lee en el informe de Sysdig.

"Las motivaciones de CRYSTALRAY son recopilar y vender credenciales, implementar criptomineros y mantener la persistencia en los entornos de las víctimas. Algunas de las herramientas OSS que el actor de amenazas está aprovechando incluyen zmap, asn, httpx, nuclei, platypus y SSH-Snake".

Descripción general de los ataques CRYSTALRAY
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sysdig dice que CRYSTALRAY utiliza exploits de prueba de concepto (PoC) modificados entregados a los objetivos utilizando el kit de herramientas de post-explotación Sliver, lo que proporciona otro ejemplo de uso indebido de herramientas de código abierto.

Antes de lanzar los exploits, los atacantes realizan comprobaciones exhaustivas para confirmar los fallos descubiertos en los núcleos.

Las vulnerabilidades a las que se enfrenta CRYSTALRAY en sus operaciones actuales son:

 CVE-2022-44877: Fallo en la ejecución de comandos arbitrarios en Control Web Panel (CWP)

 CVE-2021-3129: Error de ejecución de código arbitrario que afecta a Ignition (Laravel).

 CVE-2019-18394: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Ignite Realtime Openfire

Sysdig dice que los productos Atlassian Confluence probablemente también sean un objetivo, basándose en los patrones de explotación observados que surgen de los intentos contra 1.800 IP, un tercio de las cuales se encuentran en los EE. UU.

CRYSTALRAY utiliza el administrador basado en web Platypus para manejar múltiples sesiones de shell inverso en los sistemas violados. Al mismo tiempo, SSH-Snake sigue siendo la principal herramienta mediante la cual se logra la propagación a través de redes comprometidas.

SSH-Snake recuperando claves SSH
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que se recuperan las claves SSH, el gusano SSH-Snake las utiliza para iniciar sesión en nuevos sistemas, copiarse y repetir el proceso en los nuevos hosts.

SSH-Snake no solo propaga la infección, sino que también envía claves capturadas e historiales de bash al servidor de comando y control (C2) de CRYSTALRAY, brindando opciones para una mayor versatilidad de ataque.

Propagación SSH-Snake
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Monetizar datos robados

CRYSTALRAY tiene como objetivo robar credenciales almacenadas en archivos de configuración y variables de entorno mediante scripts que automatizan el proceso.

Los actores de amenazas pueden vender credenciales robadas para servicios en la nube, plataformas de correo electrónico u otras herramientas SaaS en la dark web o Telegram para obtener buenas ganancias.

Además, CRYSTALRAY implementa criptomineros en los sistemas violados para generar ingresos secuestrando la potencia de procesamiento del host, con un script que mata a los criptomineros existentes para maximizar las ganancias.

Sysdig rastreó a algunos mineros hasta un grupo específico y descubrió que ganaban aproximadamente $200 al mes.

Sin embargo, a partir de abril, CRYSTALRAY cambió a una nueva configuración, lo que hizo imposible determinar sus ingresos actuales.

A medida que crece la amenaza CRYSTALRAY, la mejor estrategia de mitigación es minimizar la superficie de ataque mediante actualizaciones de seguridad oportunas para corregir las vulnerabilidades a medida que se revelan.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#19
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft solucionó una vulnerabilidad de día cero de Windows que se ha explotado activamente en ataques durante dieciocho meses para lanzar scripts maliciosos y eludir las funciones de seguridad integradas.

La falla, identificada como CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.

Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024.

Sin embargo, en un informe de Li, el investigador señala que han descubierto muestras que explotan este defecto ya en enero de 2023.

Internet Explorer desapareció, pero no realmente

Haifei Li descubrió que los actores de amenazas han estado distribuyendo archivos de acceso directo a Internet de Windows (.url) para falsificar archivos que parecen legítimos, como archivos PDF, pero que descargan y ejecutan archivos HTA para instalar malware que roba contraseñas.

Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Cuando se guarda como un archivo .url y se hace doble clic, Windows abrirá la URL configurada en el navegador web predeterminado.

Sin embargo, los actores de amenazas descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el controlador mhtml: URI en la directiva URL, como se muestra a continuación:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MHTML es un archivo de 'encapsulación MIME de documentos HTML agregados', una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.

Cuando la URL se inicia con el URI mhtml:, Windows la inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.

Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer ofrece beneficios adicionales a los actores de amenazas, ya que hay menos advertencias de seguridad al descargar archivos maliciosos.

"En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso", explicó Dormann en Mastodon.

"A continuación, una vez descargado, el archivo .HTA vivirá en el directorio INetCache, pero NO tendrá explícitamente un MotW. En este punto, la única protección que tiene el usuario es una advertencia de que "un sitio web" quiere abrir contenido web. usando un programa en la computadora."

"Sin decir qué sitio web es. Si el usuario cree que confía en "este" sitio web, es cuando ocurre la ejecución del código".

Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11.

A pesar de que Microsoft anunció su retiro hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines maliciosos.

Check Point dice que los actores de amenazas están creando archivos de acceso directo a Internet con índices de íconos para que aparezcan como enlaces a un archivo PDF.

Al hacer clic, la página web especificada se abrirá en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.

Internet Explorer descarga un archivo HTA falsificado como PDF
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta, como se muestra a continuación.

Archivo HTA que utiliza relleno de caracteres Unicode para ocultar la extensión .hta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF, ya que no contiene la Marca de la Web, se iniciará solo con una alerta genérica sobre el contenido que se abre desde un sitio web.

Advertencia de Windows cuando Internet Explorer inicia el archivo HTA
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite la ejecución del archivo.

Check Point Research declaro que permitir la ejecución del archivo HTA instalaría el malware Atlantida Stealer que roba contraseñas en la computadora.

Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, las cookies, el historial del navegador, las carteras de criptomonedas, las credenciales de Steam y otros datos confidenciales.

Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro del URI mhtml: de Internet Explorer, por lo que ahora se abre en Microsoft Edge.

CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad de día cero que abusaba de MHTML y que los piratas informáticos norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#20
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Firefox 128 ya está disponible como la nueva versión del navegador web de Mozilla, que en esta ocasión llega con novedades interesantes que abarcan la traducción y un diálogo simplificado para la limpieza de los datos de usuario.

La primera novedad destacable de Firefox 128 es la posibilidad de seleccionar texto y traducirlo a otros idiomas con el menú contextual. Esta característica recuerda mucho a la soportada por extensiones como Simple Translate, que permiten traducir fácilmente un texto seleccionado para así obtener solo la información que interesa al usuario. Sin embargo, y a pesar de tener ventajas como el funcionar solo en local, al traductor de Mozilla todavía le queda bastante para acercarse a lo que ofrecen servicios tan consolidados como Google Translate.

En segundo lugar, y siguiendo lo expuesto al principio, está la simplificación del diálogo que permite borrar los datos de usuario. La fundación explica que, "además de optimizar las categorías de datos, el nuevo cuadro de diálogo también proporciona información sobre el tamaño de los datos del sitio correspondiente al rango de tiempo seleccionado", por lo que resulta un poco más pormenorizado en este sentido.

Firefox 128 es capaz de reproducir contenidos protegidos con DRM, como los servidos a través de Netflix, desde el modo de navegación privada. Esta no es una incorporación de gran pegada, pero puede ser útil sobre todo para aquellas personas que tiendan a compartir un mismo usuario y no quieran que todos sus datos estén visibles para todos. Sin embargo, es importante tener en cuenta que la navegación privada no es un mecanismo anonimización del tráfico.

Como última novedad importante está que el navegador web de Mozilla soporta a partir de este lanzamiento la API experimental de atribución de preservación de la privacidad (Privacy Preserving Attribution), "que proporciona una alternativa al seguimiento de usuarios para la atribución de anuncios". Este experimento solo puede ser habilitado mediante Origin Trials y es posible desactivarlo en la nueva sección de "Preferencias de publicidad en sitios web" ubicado en los ajustes de Privacidad y Seguridad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un detalle interesante que han recogido en Phoronix es que en Firefox 128 se ha corregido un bug que estaba presente desde hace 24 años y que consistía en que el navegador web aplicaba incorrectamente las filas y las columnas en los campos o etiquetas textarea de HTML. Es curioso ver que algunos fallos se le atragantan a los responsables de un proyecto hasta el extremo de permanecer ahí no unos años, sino más de dos décadas. Esperemos que la solución aplicada haya permitido dar carpetazo al asunto.
 
Los detalles sobre Mozilla Firefox 128 están disponibles en las notas de lanzamiento, mientras que la aplicación puede ser obtenida para Windows, macOS y Linux desde la correspondiente sección de descargas:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
MuyLinux
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#21
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai advierte que múltiples actores de amenazas están explotando la vulnerabilidad PHP CVE-2024-4577 para entregar múltiples familias de malware, incluidos Gh0st RAT, criptomineros RedTail y XMRig.

"Los actores de amenazas continuaron con la tendencia de acelerar el tiempo desde la divulgación hasta la explotación y aprovecharon rápidamente esta nueva vulnerabilidad: observamos intentos de explotación dirigidos a esta falla de PHP en nuestra red honeypot dentro de las 24 horas posteriores a su divulgación". informó Akamai.

La falla CVE-2024-4577 ( puntuación CVSS: 9,8 ) es una vulnerabilidad de inyección de comandos del sistema operativo PHP-CGI. El problema reside en la función Best-Fit de conversión de codificación dentro del sistema operativo Windows.

Un atacante puede aprovechar la falla para eludir las protecciones de una vulnerabilidad anterior, CVE-2012-1823, utilizando secuencias de caracteres específicas. En consecuencia, se puede ejecutar código arbitrario en servidores PHP remotos mediante un ataque de inyección de argumentos, lo que permite a los atacantes tomar el control de servidores vulnerables.

Desde la divulgación de la vulnerabilidad y la disponibilidad pública de un código de explotación PoC, múltiples actores están intentando explotarlo, informaron los investigadores de Shadowserver y GreyNoise.

En junio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Los investigadores de Greynoise también informaron sobre intentos maliciosos de explotación del CVE-2024-4577.

"Al momento de escribir este artículo, se ha verificado que cuando Windows se ejecuta en las siguientes configuraciones regionales, un atacante no autorizado puede ejecutar directamente código arbitrario en el servidor remoto:

 Chino tradicional (página de códigos 950)

 Chino simplificado (página de códigos 936)

 Japonés (página de códigos 932)

Para Windows que se ejecuta en otros idiomas, como inglés, coreano y Europa occidental, debido a la amplia gama de escenarios de uso de PHP, actualmente no es posible enumerar y eliminar por completo todos los posibles escenarios de explotación
". continúa el aviso. "Por lo tanto, se recomienda que los usuarios realicen una evaluación integral de sus activos, verifiquen sus escenarios de uso y actualicen PHP a la última versión para garantizar la seguridad".

Los investigadores de Akamai también observaron que los actores de amenazas detrás de la botnet DDoS Muhstik explotaban esta vulnerabilidad.

El script de shell de la botnet descarga un archivo ELF llamado "pty3" desde una dirección IP diferente, probablemente una muestra de malware Muhstik. El malware fue diseñado para apuntar a dispositivos de Internet de las cosas (IoT) y servidores Linux con fines de criptominería y DDoS. El bot también se conecta al dominio de comando y control p.findmeatthe[.]top, que se observó en las actividades de la botnet Muhstik, y se comunica a través de Internet Relay Chat.

Los investigadores también observaron una campaña que abusaba del exploit para entregar el XMR Rig. Los atacantes inyectaron un comando que se basa en un script de PowerShell para descargar y ejecutar un script para activar XMRig desde un grupo de minería remoto. El script también limpia los archivos temporales para ofuscarlos.

"Entre el uso de varias herramientas de automatización y la falta de supervisión corporativa, los atacantes están preparados para tener éxito. El tiempo cada vez menor que tienen los defensores para protegerse después de la divulgación de una nueva vulnerabilidad es otro riesgo de seguridad crítico". concluye el informe. "Esto es especialmente cierto para esta vulnerabilidad de PHP debido a su alta explotabilidad y rápida adopción por parte de los actores de amenazas".

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#22
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante de la virtualización VMware abordó una vulnerabilidad de inyección SQL de alta gravedad, rastreada como CVE-2024-22280 ( puntuación base CVSSv3 de 8,5 ), en su solución Aria Automation.

VMware Aria Automation (anteriormente vRealize Automation) es una plataforma moderna de automatización de la nube que simplifica y agiliza la implementación, la gestión y la gobernanza de la infraestructura y las aplicaciones de la nube. Proporciona una plataforma unificada para automatizar tareas en múltiples entornos de nube, incluidos VMware Cloud on AWS, VMware Cloud on Azure y VMware Cloud Foundation.

Un usuario malicioso autenticado puede explotar la falla ingresando consultas SQL especialmente diseñadas y realizando operaciones de lectura/escritura no autorizadas en la base de datos.

"Un usuario malicioso autenticado podría ingresar consultas SQL especialmente diseñadas y realizar operaciones de lectura/escritura no autorizadas en la base de datos".

La vulnerabilidad afecta a VMware Aria Automation versión 8.x y a Cloud Foundation versiones 5.x y 4.x.

VMware agradeció a Alexandre Lavoie y Felix Boulet del Centro gubernamental canadiense de ciberdéfense (CGCD) por informar de forma privada sobre este problema.

La empresa afirma que no existen soluciones para este problema.

En enero, VMware abordó una vulnerabilidad crítica, rastreada como CVE-2023-34063 ( puntuación CVSS 9,9 ), que afectó a su plataforma Aria Automation.

El problema es una vulnerabilidad de control de acceso faltante que puede ser explotada por un atacante autenticado para obtener acceso no autorizado a organizaciones y flujos de trabajo remotos.

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#23
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Los ataques de phishing han sido una amenaza durante mucho tiempo, pero un nuevo conjunto de herramientas llamado FishXProxy está haciendo que sea inquietantemente sencillo, incluso para los ciberdelincuentes novatos, lanzar estafas sofisticadas.

En su último informe, los investigadores de la plataforma de seguridad de mensajería en la nube, SlashNext Email Security, revelaron detalles exclusivos sobre FishXProxy, un nuevo kit de phishing descubierto en la Dark Web.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FishXProxy es una solución de extremo a extremo que reduce las barreras para los ciberdelincuentes y ofrece funciones avanzadas como configuraciones antibot, integración de Cloudflare Turnstile, redirector integrado y configuración de caducidad de página.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El kit se anuncia como "El kit de herramientas de phishing más potente", ya que puede desmantelar fácilmente las barreras técnicas asociadas con las campañas de phishing, facilitando a los ciberdelincuentes el lanzamiento de ataques que eluden las defensas de seguridad y pasan desapercibidos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FishXProxy es particularmente peligroso porque hace que el phishing sea accesible para aquellos con habilidades técnicas mínimas. Es una herramienta integral diseñada para crear y administrar sitios de phishing, con el objetivo de evadir la detección y maximizar la tasa de éxito de los intentos de robo de credenciales.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"FishXProxy equipa a los ciberdelincuentes con un formidable arsenal para ataques de phishing por correo electrónico de múltiples capas... Incluso si un ataque falla, el seguimiento entre proyectos permite a los atacantes apuntar persistentemente a las víctimas en múltiples campañas", señalaron los investigadores de SlashNext en su informe.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A través de este kit, los correos electrónicos de phishing con enlaces únicos y archivos adjuntos dinámicos pueden eludir los controles de seguridad. Los sistemas anti-bot avanzados eliminan los análisis automatizados y las posibles víctimas. Lo que es peor, FishXProxy también tiene gestión de tráfico incorporada para ocultar el verdadero destino de los enlaces y distribuir el tráfico entre varias páginas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, las estafas de corta duración pueden expirar después de un tiempo determinado, lo que presiona a las víctimas a actuar rápidamente. Un sistema de cookies permite a los atacantes identificar y dirigirse a los usuarios en todas las campañas, adaptando las estafas y creando perfiles de víctimas potenciales.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El kit de herramientas también puede crear archivos adjuntos utilizando el contrabando de HTML para distribuir malware y, al mismo tiempo, eludir los filtros de correo electrónico, lo que dificulta la detección y mitigación de las medidas de seguridad tradicionales.

FishXProxy también está equipado con una capacidad de seguimiento entre proyectos que permite a los atacantes apuntar persistentemente a las víctimas en múltiples campañas, adaptando sus estrategias en función de interacciones previas. Esta persistencia plantea un desafío importante a las medidas de seguridad tradicionales, y requiere defensas más sofisticadas y proactivas.

Según los investigadores, la profunda integración del kit con Cloudflare proporciona a los operadores de phishing una infraestructura de nivel empresarial, lo que dificulta mucho los esfuerzos de detección y eliminación.

Mika Aalto, cofundador y director ejecutivo de Hoxhunt, una plataforma de gestión de riesgos humanos con sede en Helsinki, comentó sobre el último desarrollo y enfatizó que los kits de phishing están facilitando que incluso los delincuentes menos capacitados y con recursos limitados lancen ataques de phishing avanzados.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#24
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La IA ha experimentado un crecimiento enorme durante los últimos años, y se ha convertido en una tecnología altamente escalable que puede funcionar en una gran cantidad de dispositivos, ajustando sus funciones y capacidades en función de las limitaciones de hardware de cada uno de ellos.

Por ejemplo, podemos mover un modelo de IA generativa avanzado con miles de millones de parámetros sobre un PC de escritorio tope de gama basado en una GeForce RTX 4090, y también podríamos ejecutar otro modelo más modesto y con una menor cantidad de parámetros en un equipo que solo cuente con una NPU para afrontar la carga de trabajo que este representa.

Los modelos más exigentes y avanzados están en un nivel superior, pero si hablamos de coeficiente intelectual, ¿cuál sería el nivel al que podríamos equiparar a la IA general con la que trabajamos actualmente?

El CEO de Google DeepMind lo tiene muy claro, está por debajo de un gato. Sí, ya sé que la IA generativa puede escribir, dibujar y crear contenidos, pero tened en cuenta que en este caso estamos hablando de inteligencia artificial general.

La inteligencia artificial generativa es una cosa distinta a la inteligencia artificial general. Es mucho más fácil entrenar un modelo concreto para llevar a cabo tareas específicas como las que acabamos de comentar, pero cuando hablamos de inteligencia general la cosa se complica, y mucho, porque acabar una enorme cantidad de conceptos, posibilidades y escenarios.

Pensad que cuando hablamos de inteligencia artificial general estamos incluyendo cosas como la planificación, la toma de decisiones, la memoria, el uso de herramientas y las preguntas inteligentes que uno puede hacerse a sí mismo para solucionar problemas o resolver determinadas situaciones, es decir, lo que conocemos como pensamiento lógico.

Por esa razón un gato doméstico tiene un coeficiente intelectual superior a cualquier inteligencia artificial general que exista a día de hoy.

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El ejecutivo reconoció que estamos muy lejos del nivel que puede alcanzar un humano, pero en ciertas áreas se están consiguiendo avances muy importantes que sugieren que podríamos acabar superando al intelecto humano con una IA. Llevará años, eso sí.

El CEO de Google DeepMind tiene claro que cuando la IA tiene el potencial suficiente para convertirse en uno de los mayores avances de la humanidad, tanto que la coloca al nivel de cosas tan importantes como el descubrimiento del fuego y la electricidad. Cree que gracias a ella podremos experimentar un desarrollo enorme como raza y como sociedad, y que acelerará los descubrimientos y los logros más importantes en sectores como la investigación científica, la medicina, el desarrollo de materiales, el cambio climático y las matemáticas, entre muchos otros.

Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#25
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¡Australia no está sola! Los Cinco Ojos (EE.UU., Reino Unido, Canadá y Nueva Zelanda), junto con Japón y Corea del Sur, unen fuerzas para culpar a un grupo de hackers patrocinado por el Estado chino (APT40) de infiltrarse en las redes gubernamentales. Esta alerta global insta a medidas de ciberseguridad más estrictas para combatir la rápida explotación de vulnerabilidades.

Australia ha recibido el respaldo de Estados Unidos, Reino Unido, Canadá, Alemania, Japón, Nueva Zelanda y Corea del Sur al culpar a los actores de amenazas patrocinados por el estado chino, APT40, también conocido como GADOLINIUM, BRONZE o TEMP.Periscope por piratear las redes gubernamentales.

Esta acusación está respaldada por un aviso conjunto que arroja luz sobre las tácticas, técnicas y procedimientos (TTP) de APT40.

El aviso de seguridad, que incluye dos informes de investigación anónimos del Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia, revela que APT40 se ha centrado en explotar vulnerabilidades de software recientemente descubiertas, a menudo pocas horas después de su publicación. Los expertos en seguridad australianos desempeñaron un papel crucial en la investigación de dos intrusiones exitosas de APT40.

Vale la pena señalar que, en octubre de 2023, el Grupo de Análisis de Amenazas (TAG) de Google incluyó a la pandilla APT40 entre los grupos patrocinados por el estado que explotaron una vulnerabilidad de día cero de WinRAR durante ese período.

Se ha descubierto que el actor de amenazas, conocido por sus actividades de ciberespionaje, tiene un interés particular en comprometer las credenciales de cuentas privilegiadas. APT40 también demuestra una preferencia por utilizar dispositivos de oficina pequeña/oficina en el hogar (SOHO) al final de su vida útil (EOL) o sin parches como punto de lanzamiento para sus ataques.

Según las agencias que redactaron el aviso, se espera que APT40 continúe utilizando exploits de prueba de concepto (PoC) para nuevas vulnerabilidades de alto perfil a las pocas horas o días de su lanzamiento público. Esto resalta la urgencia de que los equipos de seguridad de todo el mundo prioricen y se preparen para parches de emergencia para mitigar los riesgos que plantean amenazas que evolucionan tan rápidamente.

Ken Dunham, Director de Amenazas Cibernéticas de la Unidad de Investigación de Amenazas de Qualys, comentó sobre el desarrollo y enfatizó la carrera crítica entre parchear vulnerabilidades y los actores de amenazas que utilizan exploits como armas.

Afirmó: "La condición de carrera para ganar la guerra de los parches es real, especialmente para los grupos de estados-nación como APT40 que convierten los exploits en armas pocas horas o días después del lanzamiento del parche. Los equipos de seguridad que saben que APT40 es una amenaza importante deben ser diligentes en la aplicación de parches y tener preparación y priorización de parches de emergencia, algo esencial para eliminar riesgos".

En respuesta al aviso, las organizaciones deben asignar tiempo y recursos para fortalecer sus defensas de ciberseguridad, capacitar a los empleados, priorizar la gestión de parches y permanecer alerta contra posibles ataques.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#26
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google Fi Wireless tiene una nueva función de bloqueo numérico que proporciona una "capa adicional de protección contra "intercambios ilegales de SIM" (SIM Swaps)".

 "El intercambio de SIM ocurre cuando alguien puede robar su número de teléfono convenciendo a su operador de transferir su número de teléfono a una tarjeta SIM de su propiedad. Por ejemplo, alguien puede llamar a su proveedor, hacerse pasar por usted y convencerlo de que ha perdido su teléfono y necesita transferir su número a un teléfono nuevo". Google

Cuando el bloqueo numérico está habilitado, "no puedes transferir tu número a un nuevo dispositivo o proveedor mientras este bloqueo esté activo".

Para habilitarlo, vaya al sitio web de Google Fi (fi.google.com/account) y seleccione su usuario (si tiene varios como parte de un plan grupal). Vaya a: Configuración del teléfono > Privacidad y seguridad > Bloqueo numérico.

Toque "Iniciar sesión para administrar el bloqueo numérico" y confirme las credenciales de su cuenta de Google para habilitar la alternancia.

Si alguna vez desea "transferir su número a un nuevo dispositivo o transferirlo a otro proveedor", regrese a esa página, que no está disponible en las aplicaciones de Android o iOS. Dado que el inconveniente es mínimo, habilitar el bloqueo numérico debería ser una buena idea para la mayoría de los usuarios.

Fuera de esta función, transferir un número fuera de Google Fi se vuelve más difícil debido a las protecciones existentes de la cuenta de Google, especialmente con la autenticación de dos factores habilitada, que requieren que usted inicie sesión y se autentique. Sin embargo, el problema es una parte nefasta que tiene como objetivo el backend de T-Mobile, que es lo que parece haber sucedido el año pasado. Una buena precaución en general es desactivar la 2FA basada en SMS cuando sea posible.

Actualización: Según una nueva regla de la FCC, los operadores deben brindar a los clientes la "opción de bloquear o congelar su cuenta para detener los cambios de SIM". "Number Lock" es la versión de Google Fi de ese requisito.
(No avala para LATAM ni para la EU como obligación a cumplir)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"...cuando se activa, los proveedores de servicios inalámbricos no deben cumplir con las solicitudes de cambio de SIM hasta que el cliente desactive el bloqueo".
 FCC

"Los operadores también deben permitir a los usuarios "bloquear o congelar sus cuentas para detener las transferencias".

 "El fraude de transferencia tiene lugar cuando el mal actor, haciéndose pasar por la víctima, abre una cuenta con un operador distinto al actual de la víctima. Luego, el mal actor hace arreglos para que el número de teléfono de la víctima sea transferido a la cuenta con el nuevo operador controlado por el mal actor".
 FCC

Fuente:
9to5 Google
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#27
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Blast-RADIUS, una derivación de autenticación en el protocolo RADIUS/UDP ampliamente utilizado, permite a los actores de amenazas violar redes y dispositivos en ataques de colisión MD5 de tipo man-in-the-middle.

Muchos dispositivos en red (incluidos conmutadores, enrutadores y otra infraestructura de enrutamiento) en redes empresariales y de telecomunicaciones utilizan el protocolo de autenticación y autorización RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), a veces decenas de miles de dispositivos en una sola red.

Entre su amplia gama de aplicaciones, el protocolo se utiliza para autenticación en DSL y FTTH (Fibra hasta el Hogar), 802.1X y Wi-Fi, roaming celular 2G y 3G, 5G DNN (Nombre de Red de Datos), APN y VPN privados, y redes de infraestructura crítica.

Blast-RADIUS explota una nueva vulnerabilidad de protocolo (CVE-2024-3596) y un ataque de colisión MD5, lo que permite a los atacantes con acceso al tráfico RADIUS manipular las respuestas del servidor y agregar atributos de protocolo arbitrarios, lo que les permite obtener privilegios de administrador en dispositivos RADIUS sin necesidad de fuerza o robo de credenciales.

"El ataque Blast-RADIUS permite a un atacante intermediario entre el cliente y el servidor RADIUS falsificar un mensaje de aceptación de protocolo válido en respuesta a una solicitud de autenticación fallida", explicaron los investigadores detrás del mismo.

"Esta falsificación podría darle al atacante acceso a dispositivos y servicios de red sin que el atacante tenga que adivinar o forzar contraseñas o secretos compartidos. El atacante no obtiene las credenciales del usuario".

"Un adversario que aproveche nuestro ataque puede aumentar los privilegios desde el acceso parcial a la red hasta poder iniciar sesión en cualquier dispositivo que utilice RADIUS para autenticación o asignarse privilegios de red arbitrarios".

El protocolo RADIUS utiliza solicitudes y respuestas con hash MD5 al realizar la autenticación en un dispositivo. El exploit de prueba de concepto de los investigadores (que aún no se ha compartido) calcula una colisión hash de prefijo elegido MD5 necesaria para forjar una respuesta válida de "Acceso-Aceptar" para indicar una solicitud de autenticación exitosa. Este hash MD5 falsificado luego se inyecta en la comunicación de la red mediante el ataque de intermediario, lo que permite al atacante iniciar sesión.

El exploit tarda de 3 a 6 minutos en forjar este hash MD5, más que los tiempos de espera de 30 a 60 segundos comúnmente utilizados en la práctica para RADIUS.

Sin embargo, cada paso del algoritmo de colisión utilizado en el ataque se puede paralelizar de manera efectiva y es adecuado para la optimización del hardware, lo que permitiría a un atacante con buenos recursos implementar el ataque usando GPU, FPGA u otro hardware más moderno y rápido para lograr menores tiempos de ejecución, posiblemente decenas o cientos de veces más rápido.

Flujo de ataque (equipo de investigación Blast-RADIUS)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Si bien una colisión de hash MD5 se demostró por primera vez en 2004, no se pensaba que fuera posible explotarla en el contexto del protocolo RADIUS", dijo el equipo de investigación.

"Nuestro ataque identifica una vulnerabilidad de protocolo en la forma en que RADIUS usa MD5 que permite al atacante inyectar un atributo de protocolo malicioso que produce una colisión hash entre el autenticador de respuesta generado por el servidor y el paquete de respuesta falsificado deseado por el atacante".

"Además, debido a que nuestro ataque está en línea, el atacante necesita poder calcular el llamado ataque de colisión MD5 con prefijo elegido en minutos o segundos. Los tiempos de ataque de colisión con prefijo elegido mejor reportados anteriormente tomaron horas y produjeron colisiones que no eran compatibles con el protocolo RADIUS."

Dado que este ataque no compromete las credenciales del usuario final, no hay nada que los usuarios finales puedan hacer para protegerse contra él. Sin embargo, se recomienda a los proveedores y administradores de sistemas que fabrican y administran dispositivos RADIUS que sigan estas mejores prácticas y orientación.

Para defenderse de este ataque, los operadores de red pueden actualizar RADIUS sobre TLS (RADSEC), cambiar a implementaciones RADIUS de "salto múltiple" y aislar el tráfico RADIUS del acceso a Internet mediante VLAN de administración de acceso restringido o túneles TLS/Ipsec.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#28
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Europol propone soluciones para evitar los desafíos que plantean las tecnologías que mejoran la privacidad en el enrutamiento nacional y que obstaculizan la capacidad de las fuerzas del orden para interceptar las comunicaciones durante las investigaciones criminales.

La agencia destacó anteriormente en su serie Digital Challenges que el problema de las fuerzas del orden con el cifrado de extremo a extremo en las plataformas de comunicación es un obstáculo cuando se trata de recopilar pruebas admisibles.

El caso del Home Routing

Home Routing es un sistema de servicios de telecomunicaciones que permite a los clientes enrutar el tráfico (llamadas, mensajes, datos de Internet) a través de su red local incluso cuando viajan al extranjero.

Cuando las tecnologías de mejora de la privacidad (PET) están habilitadas en Home Routing, los datos se cifran en el nivel de servicio y los dispositivos de los suscriptores intercambian claves basadas en sesiones con el proveedor en la red doméstica.

Cuando el proveedor de la red doméstica utiliza PET, las claves permanecen inaccesibles para la red visitante, que actúa como reenviador, y todo el tráfico permanece cifrado.

Esta configuración impide que las autoridades recopilen pruebas con la ayuda de los ISP locales mediante actividades de interceptación legal.

"Una vez que se implemente Home Routing, cualquier sospechoso que utilice una tarjeta SIM extranjera ya no podrá ser interceptado", explica la agencia europea.

"Este problema ocurre tanto cuando un ciudadano extranjero usa su propia tarjeta SIM (extranjera) en otro país, como cuando los ciudadanos o residentes usan una tarjeta SIM extranjera en su propio país" - Europol

En tales casos, las fuerzas policiales tienen que depender de la cooperación voluntaria de los proveedores de servicios en el extranjero o emitir una Orden Europea de Investigación (EIO), lo que podría llevar más tiempo del necesario para una investigación, especialmente cuando se necesitan interceptaciones de emergencia; por ejemplo, una respuesta a una OEI podría tardar hasta cuatro meses.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La agencia europea señala que los delincuentes conocen este vacío legal y lo aprovechan para evadir la aplicación de la ley en los países donde residen.

Soluciones propuestas

Europol pide a las partes interesadas que consideren dos posibles soluciones que eliminarían los retrasos y las fricciones procesales de las solicitudes legales de interceptación de comunicaciones.

La primera variante propuesta es la aplicación de una regulación de la UE para desactivar el PET en Home Routing. Esto permitiría a los proveedores de servicios nacionales interceptar comunicaciones de personas que utilizan tarjetas SIM extranjeras sin revelar información sobre la persona de interés a partes de otros países.

La agencia afirma que "esta solución es técnicamente viable y fácil de implementar", porque tanto los suscriptores de roaming como los locales se benefician de un cifrado al mismo nivel que la comunicación a través de tarjetas SIM nacionales. Sin embargo, los suscriptores en el extranjero no se benefician del cifrado adicional del país de origen.

Una segunda propuesta es implementar un mecanismo transfronterizo que permita a las fuerzas del orden emitir dentro de la Unión Europea solicitudes de interceptación que sean procesadas rápidamente por los proveedores de servicios.

Si bien esto significa que el PET puede habilitarse para todos los usuarios, un proveedor de servicios en otro Estado miembro conocería a la(s) persona(s) de interés en una investigación, lo que puede no ser deseable.

La segunda solución es establecer un mecanismo para procesar rápidamente las solicitudes de interceptación de proveedores de servicios en otros estados miembros de la UE.

Las dos soluciones de Europol son sólo "posibles vías para salvaguardar y mantener los poderes de investigación actuales" y la agencia pretende llamar la atención sobre el impacto que tiene Home Routing en las investigaciones para que las autoridades nacionales, las legislaturas y los proveedores de servicios de telecomunicaciones puedan trabajar juntos para encontrar con una respuesta al problema.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#29
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A mediados de enero, la policía alemana anunció el resultado de una operación policial sin precedentes. Más de 50.000 bitcoins fueron obtenidos en la que se considera una de las operaciones relacionadas con el lavado de dinero más importantes de todos los tiempos.

50.000 BTC es mucho dinero

Alemania detuvo a los dos principales sospechosos y de paso las autoridades de Sajonia consiguieron el equivalente, con el valor del Bitcoin de entonces, más de 2.200 millones de dólares. Una cantidad de dinero enorme que ahora están intentando dar salida.

Alemania empieza a vender estos bitcoin

Según explica CNBC, desde el pasado mes la Oficina Federal de la Policía (BKA) ha empezado a poner a la venta cientos de bitcoins. Por lo pronto unos 900 bitcoins, valorados en unos 52 millones de dólares.

La semana pasada, se pusieron a la venta unos 3.000 BTC. Y el pasado lunes, otros 2.739 bitcoins, valorados en más de 150 millones de dólares. Al poco rato, otros 8.100 BTC se pusieron a la venta en exchanges como Kraken o Coinbase, según describe Arkham Intelligence. En total, unos 16.000 BTC se pusieron a la venta.

La propia plataforma de análisis ha creado una web para seguir los movimientos del gobierno alemán, que en estos momentos todavía dispone de 22.846 BTC, valorados en más de 1.300 millones de dólares.

El origen de estos BTC

La policía alemana está ganando dinero gracias a la venta de unos bitcoin que inicialmente estaban en manos de dos usuarios que controlaban el sitio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Pese a que originalmente estaban en manos de personas relacionadas con actividades delictivas, ahora mismo pertenecen a la policía y han vuelto a cambiar de manos.

Que haya tantos bitcoin a la venta no está gustando a los inversores.

Justin Sun, fundador de la red Tron y reconocido inversor cripto, expresaba en redes sociales que estaba dispuesto a negociar con el gobierno alemán la compra entera de su cartera de bitcoins con tal de "minimizar el impacto en el mercado".


Según apuntan desde CryptoPotato, analistas de Bitfinex explican que el impacto de estas ventas va más allá del dinero obtenido: "cantidades de unos 70 millones de dólares son equivalentes a unos 450 millones de dólares".

Sigue siendo una cantidad pequeña

Según datos de CoinGecko, hay alrededor de unos 19,7 millones de bitcoin en circulación, lo que equivalen a más de un billón de dólares. Los 16.000 BTC puestos a la venta por Alemania son significativos, pero en comparación con el mercado global no suponen tanto.

La importancia de su venta es más una cuestión de "sentimiento" más que impacto real, apunta James Butterfill, responsable de CoinShares.

Voces en contra

No todas las autoridades están a favor de esta estrategia del gobierno alemán. La legisladora alemana Joana Cotar, defensora de las criptomonedas, ha expresado que estos bitcoin deberían suponer una "reserva estratégica" de cara al futuro. Por ello ha instado a detener una venta que considera "insensata" y "contraproducente".

Fuente:
Xataka
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#30
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Actualmente se está aprovechando en ataques una vulnerabilidad de ejecución remota de código en el kit de herramientas de conversión de documentos Ghostscript, ampliamente utilizado en sistemas Linux.

Ghostscript viene preinstalado en muchas distribuciones de Linux y lo utilizan varios programas de conversión de documentos, incluidos ImageMagick, LibreOffice, GIMP, Inkscape, Scribus y el sistema de impresión CUPS.

Registrada como CVE-2024-29510, esta vulnerabilidad de cadena de formato afecta a todas las instalaciones de Ghostscript 10.03.0 y anteriores. Permite a los atacantes escapar del entorno limitado -dSAFER (habilitado de forma predeterminada) porque las versiones de Ghostscript sin parches no logran evitar cambios en las cadenas de argumentos del dispositivo uniprint después de que se activa el entorno limitado.

Esta omisión de seguridad es especialmente peligrosa ya que les permite realizar operaciones de alto riesgo, como la ejecución de comandos y la E/S de archivos, utilizando el intérprete Ghostscript Postscript, que el sandbox normalmente bloquearía.

"Esta vulnerabilidad tiene un impacto significativo en las aplicaciones web y otros servicios que ofrecen funcionalidades de conversión y vista previa de documentos, ya que a menudo utilizan Ghostscript bajo el capó", advirtieron los investigadores de seguridad de Codean Labs que descubrieron e informaron sobre la vulnerabilidad de seguridad.

"Recomendamos verificar si su solución (indirectamente) utiliza Ghostscript y, de ser así, actualizarla a la última versión".

Codean Labs también compartió este archivo Postscript,

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

que puede ayudar a los defensores a detectar si sus sistemas son vulnerables a ataques CVE-2023-36664 ejecutándolo con el siguiente comando:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Explotado activamente en ataques

Si bien el equipo de desarrollo de Ghostscript solucionó el problema de seguridad en mayo, Codean Labs publicó un artículo con detalles técnicos y un código de explotación de prueba de concepto dos meses después.

Los atacantes ya están explotando la vulnerabilidad CVE-2024-29510 Ghostscript en estado salvaje, utilizando archivos EPS (PostScript) camuflados como archivos JPG (imagen) para obtener acceso de shell a los sistemas vulnerables.

"Si tiene Ghostscript *en cualquier lugar* de sus servicios de producción, probablemente sea vulnerable a una ejecución remota de shell sorprendentemente trivial, y debería actualizarlo o eliminarlo de sus sistemas de producción", advirtió el desarrollador Bill Mill.

"La mejor mitigación contra esta vulnerabilidad es actualizar su instalación de Ghostscript a v10.03.1. Si su distribución no proporciona la última versión de Ghostscript, es posible que aún haya lanzado una versión de parche que contenga una solución para esta vulnerabilidad (por ejemplo, Debian, Ubuntu , Fedora)", agregó Codean Labs.

Hace un año, los desarrolladores de Ghostscript parchearon otra falla crítica de RCE (CVE-2023-36664) que también se desencadena al abrir archivos creados con fines malintencionados en sistemas sin parches.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#31
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Apache Software Foundation ha abordado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen denegación de servicio (DoS), ejecución remota de código y problemas de acceso no autorizado.

Una de estas vulnerabilidades es una vulnerabilidad de divulgación de código fuente crítica rastreada como CVE-2024-39884.

"Una regresión en el núcleo de Apache HTTP Server 2.4.60 ignora parte del uso de la configuración de controladores heredada basada en el tipo de contenido". "AddType" y configuraciones similares, en algunas circunstancias en las que los archivos se solicitan indirectamente, dan como resultado la divulgación del código fuente del contenido local. Por ejemplo, los scripts PHP pueden servirse en lugar de "interpretarse".

La vulnerabilidad CVE-2024-39884 se debe a una regresión en el manejo de configuraciones de tipo de contenido heredadas. Cuando se utiliza la directiva "AddType" y configuraciones similares bajo ciertas condiciones, puede exponer involuntariamente el código fuente de los archivos que deben procesarse, como scripts del lado del servidor y archivos de configuración, lo que potencialmente revela datos confidenciales a los atacantes.

La Fundación Apache recomienda a los usuarios actualizar a la versión 2.4.61.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#32
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se han revelado cuatro fallas de seguridad sin parches, incluidas tres críticas, en el servicio Git autohospedado de código abierto de Gogs que podrían permitir a un atacante autenticado violar instancias susceptibles, robar o borrar el código fuente e incluso instalar puertas traseras.

Las vulnerabilidades, según los investigadores de SonarSource Thomas Chauchefoin y Paul Gerste, se enumeran a continuación:

 CVE-2024-39930 ( puntuación CVSS: 9,9 ): inyección de argumentos en el servidor SSH integrado

 CVE-2024-39931 ( puntuación CVSS: 9,9 ) - Eliminación de archivos internos

 CVE-2024-39932 ( puntuación CVSS: 9,9 ): inyección de argumentos durante la vista previa de cambios

 CVE-2024-39933 ( puntuación CVSS: 7,7 ): inyección de argumentos al etiquetar nuevas versiones

La explotación exitosa de las tres primeras deficiencias podría permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos arbitrarios, como el código fuente y secretos de configuración.

En otras palabras, al abusar de los problemas, un actor de amenazas podría leer el código fuente de la instancia, modificar cualquier código, eliminar todo el código, apuntar a hosts internos accesibles desde el servidor de Gogs y hacerse pasar por otros usuarios y obtener más privilegios.

Dicho esto, las cuatro vulnerabilidades requieren que el atacante esté autenticado. Además, la activación de CVE-2024-39930 requiere que el servidor SSH integrado esté habilitado, la versión del binario env utilizada y que el actor de la amenaza esté en posesión de una clave privada SSH válida.

"Si la instancia de Gogs tiene el registro habilitado, el atacante puede simplemente crear una cuenta y registrar su clave SSH", dijeron los investigadores. "De lo contrario, tendrían que comprometer otra cuenta o robar la clave privada SSH de un usuario".

Las instancias de Gogs que se ejecutan en Windows no son explotables, al igual que la imagen de Docker. Sin embargo, aquellos que se ejecutan en Debian y Ubuntu son vulnerables debido al hecho de que el binario env admite la opción "--split-string".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según los datos disponibles en Shodan, alrededor de 7.300 instancias de Gogs son accesibles públicamente a través de Internet, y casi el 60% de ellas se encuentran en China, seguida de Estados Unidos, Alemania, Rusia y Hong Kong.

Actualmente no está claro cuántos de estos servidores expuestos son vulnerables a las fallas antes mencionadas. SonarSource dijo que no tiene ninguna visibilidad sobre si estos problemas están siendo explotados en la naturaleza.

La firma suiza de ciberseguridad también señaló que los mantenedores del proyecto "no implementaron correcciones y dejaron de comunicarse" después de aceptar su informe inicial el 28 de abril de 2023.

En ausencia de una actualización, se recomienda a los usuarios que deshabiliten el servidor SSH integrado, desactiven el registro de usuarios para evitar la explotación masiva y consideren cambiar a Gitea. SonarSource también lanzó un parche que los usuarios pueden aplicar, pero señaló que no ha sido probado exhaustivamente.

La divulgación se produce cuando la empresa de seguridad en la nube Aqua descubrió que la información confidencial, como tokens de acceso y contraseñas, una vez codificadas, podría permanecer permanentemente expuesta incluso después de eliminarse de los sistemas de administración de código fuente (SCM) basados en Git.

Apodados secretos fantasmas, el problema surge del hecho de que no pueden ser descubiertos por ninguno de los métodos de escaneo convencionales (la mayoría de los cuales buscan secretos usando el comando "git clone") y que ciertos secretos sólo son accesibles a través de "git clone" o vistas en caché de las plataformas SCM, resaltando los puntos ciegos que dichas herramientas de escaneo pueden pasar por alto.

"Las confirmaciones siguen siendo accesibles a través de 'vistas de caché' en el SCM", dijeron los investigadores de seguridad Yakir Kadkoda e Ilay Goldman. "Básicamente, el SCM guarda el contenido de la confirmación para siempre".

"Esto significa que incluso si un secreto que contiene una confirmación se elimina tanto de la versión clonada como de la duplicada de su repositorio, aún se puede acceder a él si alguien conoce el hash de la confirmación. Pueden recuperar el contenido de la confirmación a través de la GUI de la plataforma SCM y acceder a la información filtrada. secreto."

Fuente
:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#33
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En un avance sorprendente, Google Drive, ahora se puede utilizar para arrancar sistemas operativos Linux al permitir la creación de sistemas booteables, eliminando la dependencia de las unidades USB. Esta innovación podría cambiar la forma en que manejamos y transportamos sistemas operativos.

Hasta ahora, las unidades USB eran indispensables tanto para almacenar archivos como crear discos de arranque, necesarios para instalar o ejecutar otros sistemas operativos. Mientras que los sistemas de almacenamiento de archivos como Dropbox y Google Drive se han hecho cargo de un gran porcentaje de la tarea anterior de las unidades USB, no han sido capaces de actuar como medios de arranque. Pero, puede que eso ya no sea así, ya que esta guía es la primera que conocemos capaz de utilizar Google Drive para arrancar en un sistema Linux.

Sin embargo, un nuevo método permite utilizar Google Drive para esta tarea, marcando un hito en la tecnología de almacenamiento en la nube. Este proceso innovador no es sencillo y requiere dos componentes clave:

1.   FUSE (Filesystem in Userspace): permite la creación de sistemas de archivos en el espacio de usuario, lo cual es esencial para que Google Drive pueda interactuar de manera efectiva con el proceso de arranque del sistema operativo.

2.   Etapa del proceso de arranque de Linux: durante el arranque de Linux, el kernel descomprime un sistema de archivos temporal conocido como initramfs, que se utiliza para cargar el sistema de archivos real. Este paso es aprovechado para integrar el soporte de red y FUSE, permitiendo que Google Drive sea utilizado como medio de arranque.

El método aprovecha Dracut, una herramienta que permite usar una instalación de Linux existente para construir infraestructuras personalizadas. En este caso, las infraestructuras se construyen para incluir el soporte adecuado para la red y FUSE.

El concepto inicial de este proyecto se ejecutó en un contenedor, utilizando un proyecto existente llamado google-drive-ocamlfuse para interactuar con Google Drive. Tras resolver varios problemas de acceso root, red, enlaces simbólicos defectuosos y tiempos de espera en el sistema, la configuración se trasladó a un portátil para probarla en hardware real. El sistema funcionó, demostrando que Google Drive puede, de hecho, usarse para arrancar un sistema Linux.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El proyecto comenzó como un desafío personal para superar a un amigo que logró arrancar Linux desde un sistema de archivos en red (NFS). La idea evolucionó para intentar algo más complejo: arrancar Linux desde Google Drive.

Proceso de arranque de Linux

El proceso incluye varios pasos, como la configuración del firmware (BIOS/UEFI) para cargar el cargador de arranque, que a su vez carga el kernel de Linux. El kernel descomprime un sistema de archivos temporal (initramfs) en la RAM, permitiendo montar el sistema de archivos real. En este punto, se puede montar un sistema de archivos FUSE, crucial para este proyecto.

Prueba de concepto

La prueba de concepto incluyó la creación de un initramfs personalizado con soporte de red y los binarios necesarios de FUSE. Utilizando Dracut y construyendo sobre Arch Linux, se creó una imagen EFI para probar el arranque en hardware real.

Montaje en Google Drive

Se utilizó google-drive-ocamlfuse para montar Google Drive en el sistema. Sin embargo, se encontraron varios problemas, como la gestión de enlaces simbólicos y la velocidad de acceso, lo que requirió ajustes adicionales y soluciones creativas. Finalmente, el proyecto logró arrancar un sistema Linux completo desde Google Drive, marcando un hito en el uso de tecnologías de almacenamiento en la nube para tareas típicamente reservadas a hardware local.

Posibles aplicaciones futuras


Aunque el proyecto tiene un componente experimental y lúdico, sus aplicaciones prácticas podrían incluir arrancar sistemas Linux desde otros recursos en la nube, como servidores SSH o repositorios Git, llevando el concepto de computación nativa en la nube a nuevas fronteras. Si bien el autor considera la posibilidad de comercializar esta tecnología, reconoce que aún hay desafíos y áreas de mejora, lo que deja la puerta abierta para futuros desarrollos y exploraciones.

Aunque el creador original del proyecto admite que esta innovación puede parecer «algo tonta», reconoce que existen posibles casos de uso en el mundo real para una tecnología como esta. Sin embargo, no se espera que las unidades USB desaparezcan de nuestros escritorios a corto plazo. Para aquellos que no se sientan preparados para enfrentar un desafío técnico de esta magnitud, se recomienda comenzar con la serie Linux Fu de Al Williams.

Este desarrollo abre una nueva dimensión en la forma en que gestionamos nuestros sistemas operativos, mostrando que la nube y el almacenamiento local pueden integrarse de maneras novedosas y útiles. Y puede ofrecer varias ventajas, como la portabilidad del sistema operativo, la posibilidad de acceder a tu entorno de trabajo desde cualquier lugar con conexión a internet y la reducción de la necesidad de hardware de almacenamiento local.

Más información
:

•   Primera guía capaz de utilizar Google Drive para arrancar en un sistema Linux: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

•   Noticia: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

•   Github Dracut: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

•   Github Google Drive ocamlfuse: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

•   Linux Fu de Williams: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

•   Explicación por parte de Computer Garage LLC en Instagram: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente:
Hacking Land
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#34
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un hacker supuestamente ofrece acceso VPN y SOCKS no autorizado de varias empresas en múltiples países e industrias.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los reclamos de acceso varían desde privilegios de usuario de dominio hasta privilegios de administrador de dominio, con impactos potenciales significativos en cada organización afectada. A continuación, se detallan los detalles de las supuestas ventas:

Acceso de usuario de dominio:

España
 Ingresos: 17,2 millones de euros
 Industria: Servicios Empresariales
 Precio: $800

Reino Unido
 Ingresos: 5,7 millones de libras
 Industria: Servicios de carga y logística
 Precio: $800

India
 Ingresos: 65 millones de rupias
 Industria: Manufactura
 Precio: $1000

Indonesia
 Ingresos: 265 millones de rupias
 Industria: Materiales de construcción
 Precio: $1500

Reino Unido
 Ingresos: 6,5 millones de libras
 Industria: Manufactura
 Precio: $800

Acceso de administrador de dominio:

 Canadá
 Ingresos: Menos de 5 millones de dólares
 Industria: Servicios Empresariales
 Precio: $650

 Tailandia
 Ingresos: No especificado
 Industria: Seafood Supply (uno de los mayores grupos exportadores de productos del mar)
 Precio: $1750

 India
 Ingresos: más de mil millones de rupias
 Industria: Servicios Empresariales
 Precio: $5000

 Puerto Rico, Estados Unidos
 Ingresos: 17 millones de dólares
 Industria: Servicios de contabilidad
 Precio: $3000

India
 Ingresos: 84,9 millones de rupias
 Industria: Autoridad Reguladora de Telecomunicaciones de la India
 Precio: $2500

 Japón
 Ingresos: Menos de 5 millones de yenes
 Industria: Comercio minorista
 Precio: $650

Otro actor de amenazas supuestamente está vendiendo acceso SOCKS no autorizado a una importante corporación india en el sector de petróleo, gas y energía. Según se informa, la empresa factura más de 50 mil millones de dólares. El acceso incluye privilegios de administrador de dominio, con control sobre más de 10.000 dispositivos dentro de la red de la empresa. El precio de venta por este acceso es de 1 millón de dólares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estas supuestas ventas ponen de relieve importantes vulnerabilidades de ciberseguridad en varios sectores y regiones. La disponibilidad de dicho acceso en la dark web subraya la necesidad crítica de mejorar las medidas de seguridad y la vigilancia constante para proteger la información y la infraestructura confidenciales.

Fuente:
DailyDarkWeb
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#35
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aprender a programar no implica saber Java, C# o Python, sino entender conceptos fundamentales como algoritmos, estructuras de datos, patrones de diseño, y buenas prácticas de codificación

En el mundo del desarrollo de software, hay un dicho recurrente, aunque no universalmente compartido: que los lenguajes de programación en sí mismos no importan tanto como las habilidades de programación subyacentes.

Para el profano, esto puede parecer una contradicción en un campo dominado por una miríada de lenguajes, cada uno con sus propias reglas y aplicaciones...
...pero lo cierto es que, para ser un buen programador, hay cosas que importan más que la sintaxis específica de cualquier lenguaje.

Pensando en pseudocódigo: primeros pasos

Cuando los programadores se enfrentan a un problema, el primer paso es conceptualizar la solución en términos de pseudocódigo. El pseudocódigo es una representación de la lógica de programación que se puede describir como una representación simplificada y de alto nivel de un algoritmo, utilizando una mezcla de lenguaje natural y estructuras de control básicas.

La habilidad de pensar como programador

Más allá del conocimiento de un lenguaje específico, la habilidad más valiosa para un programador es la capacidad de pensar de manera algorítmica y lógica. Este pensamiento incluye:

1.    Descomposición de problemas: Dividir un problema complejo en partes más manejables y solucionables.

2.    Reconocimiento de patrones: Identificar y utilizar patrones comunes en problemas diferentes para encontrar soluciones eficaces.

3.    Abstracción: Simplificar los detalles de implementación para centrarse en los aspectos esenciales de un problema.


¿Cuáles son los primeros pasos?

Sabiendo todo lo anterior, en esta etapa los programadores se centran en:

•    Definir los datos de entrada y salida.

•    Establecer las condiciones y cómo manejarlas.

•    Determinar el flujo de trabajo desde el inicio hasta el final.

Este enfoque inicial resulta crucial porque permite a los programadores visualizar la "Ruta Feliz", es decir, el camino en el que todo funciona perfectamente.

Ventajas del pseudocódigo

1.    Claridad y simplicidad: Al no estar restringido por la sintaxis, el pseudocódigo permite a los desarrolladores concentrarse en la lógica del problema. Esto facilita la comunicación de ideas y algoritmos complejos de una manera clara y comprensible.

2.    Independencia del lenguaje: Una vez que un algoritmo está expresado en pseudocódigo, puede ser traducido a cualquier lenguaje de programación. Esto refuerza la idea de que la lógica y el diseño del algoritmo son más importantes que el lenguaje en sí.

3.    Facilita la colaboración: Equipos de desarrollo que trabajan con múltiples lenguajes pueden beneficiarse del uso del pseudocódigo como una lengua franca que todos entienden, independientemente de su especialización.

Traduciendo a la sintaxis específica

Sólo después de haber resuelto la lógica de programación es cuando los desarrolladores traducen su solución al lenguaje específico que están utilizando. Incluso entonces, si el programador ya está muy familiarizado con ese lenguaje, esta traducción puede ser tan rápida y natural que apenas se nota.

Este dominio del lenguaje permite a los programadores enfocarse más en optimizar su código y en adoptar mejores prácticas de desarrollo, como la legibilidad, la modularidad y la mantenibilidad del código.

También pueden aprovechar de manera más efectiva las bibliotecas y herramientas específicas del lenguaje, lo que puede acelerar significativamente el proceso de desarrollo y mejora del software.
Así que, recuerda...
Los conceptos subyacentes de programación – como variables, estructuras de control (bucles, condicionales), y funciones – son universales...

...mientras que los detalles específicos, como el uso de corchetes, llaves o diferentes formas de escribir condicionales (elif, elsif, else if) o de establecer bucles (for, whire, foreach) son simplemente variaciones en la sintaxis.

Fuente:
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#36
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un pirata informático obtuvo acceso a los sistemas internos de OpenAI a principios de 2023 y robó detalles sobre las tecnologías de la empresa. Sin embargo, según The New York Times, la ambiciosa startup de IA nunca compartió la noticia públicamente, lo que provocó desacuerdos internos.

Las fuentes del diario dicen que el intruso obtuvo detalles de un foro interno en línea donde los empleados discuten las últimas actualizaciones de OpenAI.

Sin embargo, el individuo no entró en los sistemas sensibles donde se construyen los productos de inteligencia artificial de la empresa. Aun así, el incidente, que fue revelado a los empleados hace un año, aumentó las tensiones dentro de OpenAI y probablemente pueda explicar el drama interno del año pasado, dice The Times.

La empresa no informó al FBI porque creía que el hacker era un particular sin vínculos con ningún gobierno extranjero.

Sin embargo, algunos empleados de OpenAI supuestamente estaban nerviosos porque el liderazgo de OpenAI decidió no compartir la noticia públicamente. ¿Qué pasa si un adversario extranjero como China ejecuta la siguiente infracción y pone en peligro la seguridad nacional de Estados Unidos?

Claro, la mayoría de las patentes de inteligencia artificial generativa ahora provienen de China, que supera con creces a Estados Unidos en términos de innovación. Aun así, obsequios adicionales de EE. UU. no vendrían mal, supuestamente argumentaron algunos empleados influyentes de OpenAI.

Por ejemplo, Leopold Aschenbrenner, director del programa técnico de OpenAI centrado en garantizar la seguridad de las futuras tecnologías de IA, envió un memorando a la junta directiva de OpenAI, argumentando que la empresa no estaba tratando adecuadamente la seguridad.

Supuestamente sus preocupaciones fueron descartadas y, en abril de 2024, OpenAI despidió a Aschenbrenner por supuesta filtración. En un podcast reciente, el investigador argumentó que su despido había tenido motivaciones políticas.

Aschenbrenner, un aliado cercano de Ilya Sutskever, quien también dejó OpenAI recientemente, se graduó de la Universidad de Columbia a la edad de 19 años y fue visto como una estrella en ascenso y un firme defensor del desarrollo seguro de la IA en la empresa.

Los temores de que China esté interesada en la tecnología estadounidense no son infundados. Mandiant, una empresa de ciberseguridad, acaba de decir que Beijing está apuntando sigilosamente a organizaciones y empresas estadounidenses.

El mes pasado, el presidente de Microsoft, Brad Smith, fue interrogado en el Capitolio sobre cómo los piratas informáticos chinos utilizaron sus sistemas para lanzar un gran ataque a las redes del gobierno federal de Estados Unidos.

OpenAI y otras nuevas empresas de IA afirman constantemente que la IA no es significativamente más peligrosa que los motores de búsqueda, y básicamente dicen que no vale la pena robarla. Sin embargo, a finales de 2023, OpenAI formó un equipo de "preparación" para probar continuamente la tecnología y advertir a los ejecutivos de cualquier peligro.

Además, la junta de OpenAI formó un nuevo Comité de Seguridad y Protección en mayo de 2024. Este comité explora cómo manejar los riesgos que plantean las tecnologías futuras.

Incluye a Paul Nakasone, un ex general del ejército que dirigió la Agencia de Seguridad Nacional y el Comando Cibernético. Nakasone también ha sido nombrado miembro del consejo de administración de la empresa.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#37
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ciudadanos rusos ya no pueden descargar servicios VPN populares desde la AppStore oficial.

"Apple ha eliminado la aplicación Red Shield VPN de la App Store rusa a petición de Roskomnadzor [El Servicio Federal de Supervisión de Comunicaciones en Rusia]. Sabemos al menos de otra aplicación VPN que fue eliminada al mismo tiempo que la nuestra", publicó el proveedor de servicios VPN Red Shield en X.

Según Le VPN, otra aplicación eliminada de la tienda por Apple, las aplicaciones fueron eliminadas debido a "incumplimiento de los requisitos legales locales".

"Este evento marca un paso significativo en los esfuerzos continuos de Roskomnadzor para controlar el acceso a Internet y el contenido dentro del territorio ruso", dijo Le VPN.

Los proveedores de VPN han lanzado una petición impugnando la decisión, diciendo que la medida de Apple ayuda a la censura y limita el libre acceso a la información.

"Este reciente acontecimiento subraya una escalada significativa en las capacidades de Roskomnadzor, lo que demuestra su creciente influencia sobre las principales empresas de tecnología como Apple. Este incidente no sólo resalta los desafíos que enfrentan los proveedores de servicios al navegar por paisajes geopolíticos complejos, sino que también señala posibles acciones futuras contra otras aplicaciones y servicios considerados indeseables por el gobierno ruso", dijo Le VPN.

Rusia lleva bastante tiempo librando una guerra contra los proveedores de VPN. Reforzó su control a principios de este año al introducir una nueva ley de VPN, que esencialmente prohíbe las VPN que no bloqueen el acceso a sitios web incluidos en la lista negra del Kremlin.

AdGuard dice que la nueva ley, que prohíbe los servicios VPN que no acepten bloquear el acceso a sitios web incluidos en la lista negra del Kremlin, "afectará a los recursos de medios de terceros que distribuyen información sobre proveedores de VPN como el nuestro".

Algunas empresas, por ejemplo, AdGuard, insisten en trabajar en Rusia e intentan encontrar soluciones para hacerlo. En 2019, NordVPN dijo que era imposible cumplir con la solicitud de Roskomnadzor y cerró todos sus servidores en Rusia. Rusia prohibió NordVPN, Express VPN y otros cuatro proveedores de VPN populares en 2021 por permitir el acceso a información y recursos prohibidos.

Según se informa, la lista de proveedores de VPN actualmente bloqueados por el estado o que no funcionan por otras razones ahora consta de 15 servicios.

Los usuarios suelen confiar en las VPN para evitar la censura, acceder a contenido bloqueado y aumentar la privacidad. Los servicios VPN ocultan la ubicación y la identidad de un usuario y evitan que sus proveedores de servicios de Internet lo espíen.

Las VPN actualmente prohibidas en Rusia:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, el hecho de que los proveedores de VPN estén en desacuerdo con el gobierno ruso no impide que los locales utilicen sus servicios mientras encuentran formas de eludir la prohibición. Desafortunadamente, eso podría exponerlos a peligros en línea.

"A pesar de que la mayoría de los usuarios rusos son conscientes de la existencia de censuras y bloqueos en Internet y son usuarios activos de VPN, muchos de ellos no son suficientemente conscientes de cómo funcionan las herramientas de elusión. Tal ignorancia, por un lado, lleva al hecho de que la gente elige servicios poco confiables, o incluso sospechosos, prefiriendo aplicaciones más baratas o gratuitas", dijo Roskomsvoboda, una organización rusa de derechos digitales.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#38
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas comprometió al proveedor de la lista de correo de Ethereum y envió a más de 35.000 direcciones un correo electrónico de phishing con un enlace a un sitio malicioso que ejecutaba un drenaje de criptomonedas.

Ethereum reveló el incidente en una publicación de blog esta semana y dijo que no tuvo ningún impacto material en los usuarios.

Detalles del ataque

El ataque se produjo la noche del 23 de junio cuando se envió un correo electrónico desde la dirección 'No tienes permitido ver los links. Registrarse o Entrar a mi cuenta' a 35.794 direcciones.

Ethereum dice que el actor de amenazas utilizó una combinación de su propia lista de direcciones de correo electrónico y 3.759 adicionales exportadas de la lista de correo del blog de la plataforma. Sin embargo, el atacante sólo desconocía previamente 81 de las direcciones exportadas.

El mensaje atraía a los destinatarios al sitio web malicioso con un anuncio de una colaboración con Lido DAO y los invitaba a aprovechar un rendimiento porcentual anual (APY) del 6,8% en Ethereum apostado.

Correo electrónico malicioso enviado a los titulares de Ethereum
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al hacer clic en el botón incorporado "Comenzar a apostar" para obtener los retornos de inversión prometidos, las personas accedían a un sitio web falso pero diseñado profesionalmente que aparecía como parte de la promoción.

Si los usuarios conectaran sus billeteras en ese sitio y firmaran la transacción solicitada, un drenaje de criptomonedas vaciaría sus billeteras y enviaría todos los montos al atacante.

Sitio de drenaje de criptomonedas
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La respuesta de Ethereum

Ethereum dice que su equipo de seguridad interna inició una investigación lo antes posible para identificar al atacante, comprender el propósito del ataque, determinar el cronograma e identificar a las partes afectadas.

Rápidamente se bloqueó al atacante para que no pudiera enviar más correos electrónicos y Ethereum recurrió a Twitter para notificar a la comunidad sobre los correos electrónicos maliciosos, advirtiendo a todos que no hicieran clic en el enlace.

Ethereum también envió el enlace malicioso a varias listas de bloqueo, lo que provocó que la mayoría de los proveedores de billeteras Web3 y Cloudflare lo bloquearan.

El análisis de las transacciones en cadena mostró que ninguno de los destinatarios del correo electrónico cayó en la trampa durante la campaña.

Ethereum concluye diciendo que ha tomado medidas adicionales y está migrando algunos servicios de correo electrónico a otros proveedores para evitar que un incidente similar vuelva a ocurrir.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#39
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

LONDRES, 5 de julio (Reuters) - La cantidad de criptomonedas robadas en los hacks a nivel mundial se duplicó en los primeros seis meses del 2024 con respecto al año anterior, impulsada por un pequeño número de grandes ataques y por al aumento de los precios de criptos.

Los piratas informáticos habían robado más de $ 1.38 mil millones en criptografía para el 24 de junio de 2024, en comparación con $ 657 millones en el mismo período en 2023, dijo TRM Labs en un informe.

"Si bien no hemos visto ningún cambio fundamental en la seguridad del ecosistema de criptomonedas, hemos visto un aumento significativo en el valor de varios tokens, desde bitcoin hasta ETH (éter) y solana, en comparación con la misma época del año pasado", dijo Ari Redbord, Jefe de Política Global en TRM Labs.

Esto significa que los ciberdelincuentes están más motivados para atacar los servicios criptográficos y pueden robar más cuando lo hacen, dijo Redbord.

Los precios de la criptografía generalmente se han recuperado de los mínimos golpeados a fines de 2022 después del colapso del intercambio criptográfico de Sam Bankman-Fried, FTX. Bitcoin alcanzó un máximo histórico de $ 73,803.25 en marzo de este año.

Entre las mayores pérdidas criptográficas en lo que va del año se encontraba los aproximadamente $ 308 millones de bitcoin robados del intercambio de cripto japonés DMM Bitcoin, en lo que la compañía llamó una "filtración no autorizada".

Las compañías de criptomonedas son objetivos frecuentes para hacks y ataques cibernéticos, aunque las pérdidas de esta escala son raras.

Los volúmenes de criptomonedas robadas en 2022 fueron de alrededor de $ 900 millones, dijo Redbord, en parte debido a los más de $ 600 millones robados de una red blockchain vinculada al juego en línea Axie Infinity. Estados Unidos ha vinculado a los piratas informáticos norcoreanos con ese robo.

Las Naciones Unidas han acusado a Corea del Norte de usar ataques cibernéticos para ayudar a financiar sus programas nucleares y de misiles. Corea del Norte ha negado previamente las acusaciones de piratería y otros ataques cibernéticos.

Fuente
:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#40
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para los coleccionistas de diccionarios he aquí las últimas ediciones de la célebre compilación "RockYou"

RockYou2021.txt WordList

Descarga:



Código: text
https://github.com/ohmybahgosh/RockYou2021.txt


Combina todas las siguientes listas de contraseñas:

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• contraseña de la lista COMB de 3,2 mil millones de principios de este año. gracias a quien lo creó.

Y otras listas de múltiples bases de datos filtradas a lo largo de los años.

Todas las contraseñas tienen entre 6 y 20 caracteres, todas las líneas con caracteres que no sean ASCII o espacios en blanco o tabulaciones se eliminan, lo que da como resultado 82 mil millones de entradas únicas.

RockYou2024.txt WordList

Por favor, leer la noticia para que se sepa cómo está compuesta esta última compilación:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Son 45 GB

Descarga Directa(funcional al momento de poner este post):

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Código: text
https://cdn5.filehaus.su/files/1720180479_65657/rockyou2024.zip

Código: text
https://zerodaylab.cloud/storage/1fe295882920b5b23f4fe726e7b525da8166bde7/rockyou2024.zip


Descarga a través de Torrent:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Código: text
https://btdig.com/4e3915a8ecf6bc174687533d93975b1ff0bde38a/rockyou2024


Importante!!

El contenido a descargar no ha sido corroborado en seguridad.
 
No soy su propietario y ha sido obtenido de diversas fuentes.

No obstante, no ha habido quejas sobre amenazas.

Pero...tomar medidas al respecto.

Esta compilación del 2024 es un tanto controversial, pues se declara que posee muchas "impurezas" que la hacen innecesariamente "pesada".

Otras Misceláneas de Interés

El RockYou básicamente es una compilación de muchos diccionarios.

Para aquel que desease ser más selectivo dentro del propio RockYou en su contenido, le recomiendo:

Compilación de base de diccionarios para el RockYou:


Código: text
https://github.com/danielmiessler/SecLists/tree/master/Passwords/Leaked-Databases

Como notaran poseen la comodidad de obtener los diccionarios por separado con información sobre su contenido.
 
Suerte