This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - AXCESS

Pages: [1] 2 3 ... 98
1
You are not allowed to view links. Register or Login

Los autores del índice TIOBE han titulado su último informe con esta frase: "Python está por las nubes". Y es que este lenguaje de programación que se está consolidando ha subido en casi 4 puntos puntos en el último mes y su cuota de mercado global se sitúa en 15,42%.

"Es difícil encontrar un campo de programación en el que no se utilice Python de forma generalizada hoy en día", según afirman los creadores de este informe. La única excepción son los sistemas embebidos (de seguridad crítica), ya que Python es demasiado lento para este sector.

El rendimiento es su punto débil

You are not allowed to view links. Register or Login

Los lenguajes de alto rendimiento C y C++ también están ganando popularidad en los últimos años, precisamente porque Python se muestra muy lento para ciertas actividades. Aún así, mientras que en agosto de 2021 fue C el lenguaje de programación más popular, Python gana ahora por un poco. La cuota de mercado de C es de 14,59% ahora mismo.

Hay que recordar que hace poco unos ingenieros de Google presentaron una alternativa a C++, que quiere suplantar a Rust y habrá que ver cómo avanza según se va desarrollando. Se llama Carbon y ha entrado en el índice TIOBE en el puesto 192.

Para cerrar el Top 5 tenemos a Java, C++ y C#. Todas han experimentado crecimiento. Encontramos que JavaScript, muy popular desde hace años, va perdiendo tracción, como lo hace PHP. Rust, un lenguaje del que cada vez se habla más, se acerca a los 20 primeros, Kotlin vuelve a estar entre los 30 primeros.
 
En noviembre de 2020 Python sobrepasó a Java como lenguaje de programación más popular por primera vez en los 20 años del indice TIOBE. De hecho, el 2020 fue el año de Python. También consiguió desbancar a C con quien compitió varios meses en 2021.

índice TIOBE

El índice de la comunidad de programadores de TIOBE es un indicador de la popularidad de los lenguajes de programación. El índice se actualiza una vez al mes. Las clasificaciones se basan en el número de ingenieros especializados en todo el mundo, en los cursos y en los proveedores de terceros.

Para calcular las clasificaciones se utilizan motores de búsqueda populares como Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube y Baidu.

Es importante señalar que el índice TIOBE no se refiere al mejor lenguaje de programación ni al lenguaje en el que se han escrito más líneas de código.

Fuente:
Índice TIOBE
You are not allowed to view links. Register or Login

Vía:
Genbeta
You are not allowed to view links. Register or Login

2
You are not allowed to view links. Register or Login

Un ex empleado de Twitter, Ahmad Abouammo (44), fue declarado culpable de recopilar información privada de ciertos usuarios de Twitter y pasarla a Arabia Saudita.

Ahmad Abouammo, un residente estadounidense nacido en Egipto, fue declarado culpable por un jurado el martes de cargos que incluyen actuar como agente para Arabia Saudita, lavado de dinero, conspiración para cometer fraude electrónico y falsificación de registros, luego de un juicio de dos semanas en San Francisco. Corte federal." informó Bloomberg.

El hombre enfrenta de 10 a 20 años de prisión cuando sea sentenciado.

En noviembre de 2019, los ex empleados de Twitter Abouammo y el ciudadano saudí Ali Alzabarah fueron acusados de espiar miles de cuentas de usuarios de Twitter en nombre del gobierno de Arabia Saudita. Los dos ex empleados de Twitter operaban para el gobierno de Arabia Saudita con la intención de desenmascarar a los disidentes que usaban la red social.

Los representantes del gobierno de Arabia Saudita reclutaron al dúo en 2014, su misión era recopilar información no pública de las cuentas de Twitter asociadas con destacados críticos conocidos del Reino de Arabia Saudita y la Familia Real.

Abouammo y Alzabarah tuvieron acceso no autorizado a la información asociada con algunos perfiles, incluidas las direcciones de correo electrónico, los dispositivos utilizados, la información biográfica proporcionada por el usuario, las fechas de nacimiento, los registros que contenían la información del navegador del usuario, un registro de todas las acciones de un usuario en particular en la plataforma de Twitter en un momento dado, y otra información que se puede usar para ubicar geográficamente a un usuario, como direcciones IP y números de teléfono.

Según la acusación, Alzabarah se unió a Twitter en agosto de 2013 como "ingeniero de confiabilidad del sitio", trabajó con funcionarios saudíes entre el 21 de mayo y el 18 de noviembre de 2015. Está acusado de presuntamente espiar más de 6.000 cuentas de Twitter, incluidas decenas de usuarios para los que la policía de Arabia Saudita había enviado solicitudes de divulgación de emergencia a Twitter.

Abouammo fue acusado de actuar como agente extranjero en territorio estadounidense, también proporcionó registros falsificados a los federales para interferir con su investigación.

El hombre también eliminó cierta información de la plataforma de redes sociales y, en algunos casos, cerró cuentas de Twitter a pedido de funcionarios del gobierno saudita. Por supuesto, también pudo desenmascarar las identidades de algunos usuarios en nombre del Gobierno de Arabia Saudita.

Los funcionarios saudíes pagaron hasta $300,000 a Abouammo por su trabajo, la acusación explicó que fue posible enmascarando los pagos con facturas falsas. El documento también establece que el hombre recibió un reloj Hublot Unico Big Bang King Gold Ceramic.

Según una acusación, Abouammo mintió a los agentes del FBI diciendo que el reloj era una réplica que costaba $ 500 y que la última transferencia de $ 100,000 de Al-Asaker era para un trabajo legítimo de consultoría independiente.

El Departamento de Justicia del Departamento de Justicia de EE. UU. también acusó al ciudadano saudí Ahmed al Mutairi, también conocido como Ahmed ALJBREEN, quien dirigía una empresa de marketing en redes sociales saudita vinculada a la familia real.

Ahmed al Mutairi, actuaba como intermediario entre los dos ex empleados de Twitter y los funcionarios del Gobierno de Arabia Saudita.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

3
You are not allowed to view links. Register or Login

Se dice que ÆPIC Leak es el primer error de la CPU (unidad central de procesamiento) en divulgar arquitectónicamente datos confidenciales, lo que significa que los datos confidenciales se divulgan directamente sin depender de ningún canal lateral.

Aprovecha una vulnerabilidad en las CPU Intel recientes para filtrar secretos del propio procesador: en la mayoría de las CPU Intel de 10.ª, 11.ª y 12.ª generación, el rango indefinido APIC MMIO devuelve incorrectamente datos obsoletos de la jerarquía de caché”, se lee en el trabajo de investigación.

La investigación fue realizada por investigadores de la Universidad Sapienza de Roma, la Universidad Tecnológica de Graz, el Centro CISPA Helmholtz para la Seguridad de la Información y Amazon Web Services. Pietro Borrello de la Universidad Sapienza y Andreas Kogler de la Universidad Tecnológica de Graz presentaron la fuga ÆPIC en la conferencia Black Hat USA 2022.

Si su sistema se ve afectado, nuestro exploit de prueba de concepto ÆPIC Leak puede leer datos obsoletos, que pueden corresponder a los datos a los que accedió anteriormente el mismo núcleo del procesador”, afirman los investigadores.

Para realizar el ataque, un actor de amenazas necesita privilegios (administrador o root) para acceder a APIC MMIO. APIC (Advanced Programmable Interrupt Controller) es un componente de CPU integrado responsable de aceptar, priorizar y enviar interrupciones a los procesadores. El APIC puede operar en modo xAPIC, en el que los registros de configuración de APIC se exponen a través de una página de E/S mapeada en memoria (MMIO).

Por lo tanto, la mayoría de los sistemas están a salvo de ÆPIC Leak. Sin embargo, los sistemas que dependen de SGX [Software Guard Extensions] para proteger los datos de los atacantes privilegiados estarían en riesgo, por lo que deben parchearse”, dice la investigación.

Los usuarios con una CPU Intel reciente probablemente se vean afectados, pero si no confían en SGX, no hay necesidad de preocuparse.

Los investigadores no saben si se ha abusado de este error en la naturaleza, pero dicen que probablemente no.

Intel describió la vulnerabilidad como media y lanzó actualizaciones de firmware para abordarla:

You are not allowed to view links. Register or Login

Fuente:
ÆPIC Leak
You are not allowed to view links. Register or Login

CyberNews
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

Offensive Security ha lanzado Kali Linux 2022.3, la tercera versión de 2022, con mejoras en la máquina virtual, Linux Kernel 5.18.5, nuevas herramientas para jugar y soporte ARM mejorado.

Kali Linux es una distribución diseñada para que los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones de ciberseguridad contra redes.

Con este lanzamiento, el equipo de Kali Linux presenta una variedad de características nuevas, que incluyen:

     Compatibilidad mejorada con máquinas virtuales

     Nuevas herramientas

     Actualizaciones de Kali ARM

     Actualizaciones de Kali NetHunter

     Ahora aceptando envíos para el repositorio de Kali-Tools

Offensive Security decidió lanzar Kali Linux 2022.3 junto con la conferencia de seguridad Black Hat, BSides LV y DefCon como una "agradable sorpresa para que todos disfruten".

Con esta versión, Kali Linux utiliza Linux Kernel 5.18.5. Sin embargo, las versiones de Raspberry Pi utilizan la versión 5.15.

Offensive Security también anunció hoy que tendrán sesiones de chat de voz de una hora en su servidor Discord 'Kali Linux & Friends' después de cada lanzamiento de Kali para conversar sobre los nuevos cambios.

El primero está programado para el martes 16 de agosto de 2022 16:00 -> 17:00 UTC/+0 GMT.

Compatibilidad mejorada con máquinas virtuales

Si bien Kali Linux ya tenía imágenes de VM para VMware y VirtualBox, realizaron algunos cambios nuevos para facilitar la implementación de Kali en una VM.

Offensive Security ahora distribuye una imagen de VirtualBox como un disco VDI y un archivo de metadatos .vbox, lo que le permite agregar Kali como una nueva VM rápidamente.

Además, se lanzarán compilaciones semanales de imágenes de VM para Kali Linux que contienen los paquetes de vanguardia. Sin embargo, no recibirán pruebas tan exhaustivas como las versiones regulares.

Cinco nuevas herramientas agregadas en Kali Linux 2022.3

¿Qué es una nueva versión de Kali Linux sin nuevas herramientas para jugar?

Esta versión ha agregado cinco nuevas herramientas, incluida una herramienta de rociado de contraseñas, un kit de herramientas de post-explotación de PHP y una nueva herramienta de análisis de red.

A continuación, se muestran las cinco nuevas herramientas agregadas en Kali 2022.3:

     BruteShark - Herramienta de análisis de red

     DefectDojo: herramienta de orquestación de seguridad y correlación de vulnerabilidades de aplicaciones de código abierto

     phpsploit - Marco de post-explotación Stealth

     shellfire: explotación de vulnerabilidades de inyección de comandos y LFI/RFI

     SprayingToolkit: ataques de rociado de contraseñas contra Lync/S4B, OWA y O365

El paquete kali-linux-labs también se actualizó para incluir Damn Vulnerable Web Application (DVWA) y OWASP Juice Shop (Tienda de jugos).

Soporte ARM mejorado

Esta versión también incluye numerosas mejoras para los usuarios de ARM, con nuevas versiones para Raspberry Pi, Pinebook y USArmory MKII.

     Todos los dispositivos Raspberry Pi han actualizado su kernel a 5.15.

     Se creó arm.kali.org para tener una descripción general y estadísticas de kali-arm (muy similar a nethunter.kali.org).

     Cada dispositivo Kali ARM ha tenido su tamaño predeterminado para la partición de arranque establecido en 256 MB.

     A Pinebook se le han eliminado los modos de suspensión rotos, por lo que ya no debería dormirse y no poder despertarse.

     USBArmory MKII pasó a la versión u-boot 2022.04.

Cómo obtener Kali Linux 2022.3

Para comenzar a usar Kali Linux 2022.3, puede actualizar su instalación existente, seleccionar una plataforma o descargar directamente imágenes ISO para nuevas instalaciones y distribuciones en vivo.

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


Para aquellos que actualicen desde una versión anterior, puede usar los siguientes comandos para actualizar a la última versión.

Code: You are not allowed to view links. Register or Login
echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -rbi /etc/skel/. ~

[ -f /var/run/reboot-required ] && sudo reboot -f

Si está ejecutando Kali en el subsistema de Windows para Linux, asegúrese de usar WSL2 para una mejor experiencia, incluida la compatibilidad con aplicaciones gráficas.

Puede verificar qué versión de WSL Kali está instalada usando el comando 'wsl -l -v' en un símbolo del sistema de Windows.

Una vez que haya terminado de actualizar, puede verificar si la actualización fue exitosa usando el siguiente comando:

Code: You are not allowed to view links. Register or Login
grep VERSION /etc/os-release

Si bien solo compartimos las mejoras destacadas en Kali 2022.3, puede ver el registro de cambios completo en el sitio web de Kali.

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

5
Hacking / Re: Email-Password México Combo List.MX
« on: August 09, 2022, 10:20:07 pm »
Email-Password México Combo List.MX (2)

You are not allowed to view links. Register or Login

[Zona VIP]

6
You are not allowed to view links. Register or Login

Microsoft advirtió hoy que los dispositivos Windows con los procesadores compatibles más nuevos son susceptibles de "daños en los datos" en Windows 11 y Windows Server 2022.

"Los dispositivos de Windows que admiten el conjunto de instrucciones del estándar de cifrado avanzado vectorial (AES) (VAES) más reciente pueden ser susceptibles a daños en los datos", reveló hoy la compañía.

Los dispositivos afectados por este problema recientemente reconocido utilizan modos de cifrado de bloque AES-XTS (modo de libro de códigos modificado basado en AES XEX con ciphertext stealing) o AES-GCM (AES con modo Galois/Contador) en hardware nuevo.

Si bien Microsoft menciona los riesgos de pérdida de datos en los sistemas afectados, la compañía no explica qué deben esperar los clientes si se ven afectados por este problema.

Problema solucionado en las actualizaciones de Windows de mayo y junio

Microsoft dice que el problema se solucionó para evitar más daños a los datos en las versiones preliminares y de seguridad emitidas el 24 de mayo y el 14 de junio, respectivamente.

Sin embargo, estas actualizaciones de Windows también tienen un impacto en el rendimiento, ya que las operaciones basadas en AES pueden ser dos veces más lentas después de instalarlas en los sistemas afectados que ejecutan Windows Server 2022 y Windows 11 (versión original).

Los escenarios afectados por el impacto en el rendimiento pueden incluir BitLocker, Transport Layer Security (TLS) (específicamente balanceadores de carga) y rendimiento del disco (especialmente para clientes empresariales).

"Agregamos nuevas rutas de código a las versiones Windows 11 (versión original) y Windows Server 2022 de SymCrypt para aprovechar las instrucciones VAES (AES vectorizado)", dijo Microsoft al describir la causa del problema.

"SymCrypt es la biblioteca criptográfica principal de Windows. Estas instrucciones actúan en los registros de extensiones vectoriales avanzadas (AVX) para hardware con los procesadores compatibles más nuevos".

Solución alternativa para el impacto en el rendimiento

Se recomienda a los clientes que experimentan una degradación del rendimiento que instalen la actualización de vista previa del 23 de junio (Windows 11, Windows Server 2022) o la actualización de seguridad del 12 de julio (Windows 11, Windows Server 2022) para su versión de sistema operativo como solución alternativa.

Microsoft dice que estas actualizaciones de Windows restaurarán las métricas de rendimiento iniciales una vez instaladas en los dispositivos afectados.

"Si esto lo afecta, le recomendamos encarecidamente que instale la versión preliminar del 24 de mayo de 2022 o la versión de seguridad del 14 de junio de 2022, tan pronto como sea posible, para evitar daños mayores", agregó Microsoft.

"El rendimiento se restaurará después de instalar la versión preliminar del 23 de junio de 2022 o la versión de seguridad del 12 de julio de 2022".


Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

7
Noticias Informáticas / Así es la supuesta interfaz de Pegasus
« on: August 08, 2022, 10:39:26 pm »
You are not allowed to view links. Register or Login

Tal y como informan desde Haaretz (medio noticioso israelí) este software fue gestado por la policía de Israel con tal de conseguir un software espía que funcionara con cualquier tipo de dispositivo. Aunque con tal de pasar completamente desapercibidos se creó un grupo de trabajo de la policía con un jefe de inteligencia. Esto es algo que se definió como una policía dentro de la policía, y nadie sabe lo que pasa ahí.

You are not allowed to view links. Register or Login

Ahora se han filtrado las capturas de pantalla para saber como funcionan, y lo cierto es que nos ha sorprendido. El software nada más que mirándolo por encima parece que está sacado de películas policiacas o de espías en los que con pulsar un botón se obtiene toda la información necesaria. Y es que precisamente lo que estamos viendo demuestra que existen muchas opciones posibles en la interfaz para poder rastrear a una persona, con iconos en la parte superior.

You are not allowed to view links. Register or Login

Esta gran cantidad de botones hace que sea posible tener una mayor accesibilidad para cualquier persona que no esté familiarizada con la informática. De esta manera se puede destacar en la parte superior la posibilidad de acceder a los mensajes de texto, audio en directo, llamadas que se realizan e incluso la ubicación en tiempo real. Todo esto agrupado con pestañas sobre las que con un simple clic se obtiene toda esta información rápidamente.

You are not allowed to view links. Register or Login

Lo que se debe tener en cuenta es que estas imágenes responden a un simple prototipo que emergen tras las acusaciones a la policía de Israel de usarlo de manera ilegal. Es por ello que el software usado de manera internacional puede tener otro aspecto a priori, aunque lo que parece claro es que los desarrolladores quisieron hacerlo tremendamente fácil de usar y no usar códigos realmente complejos para sacar información del spyware.

Fuente:
Haaretz
You are not allowed to view links. Register or Login

Vía
Genbeta
You are not allowed to view links. Register or Login

8
Batch - Bash / Re: Robando contraseñas de navegadores
« on: August 08, 2022, 07:38:14 pm »
"2015"

Nada que tenga esa fecha está vigente en funcionalidad

9
Hacking / Cómo crearse una Identidad Falsa en Internet [Fake ID]
« on: August 08, 2022, 07:12:49 pm »
You are not allowed to view links. Register or Login

Las razones por la cual alguien haría esto son varias:

La privacidad en primer lugar.
Para cubrir la real identidad de sitios comprometedores, ya sean de manera legal, o moral: sitios de índole sexual; de servicios de compra/venta que pudieran comprometer de algún modo: medicamentos, objetos para fines restringidos o peligrosos, etc.

You are not allowed to view links. Register or Login

Hay otros que lo usan con el objetivo de “engañar” a servicios de internet (no se mencionarán las redes sociales por obvio) en sus pruebas de productos que demanden un compromiso inicial, y que en efecto corrobore que es una persona, y que tiene solvencia económica (cuenta bancaria y tarjetas de crédito).

You are not allowed to view links. Register or Login

Por ejemplo, recién presencié un “truco” en el cual el usuario engañaba a un hosting con una ID falsa, creada para obtener una mayor cuota de asignación en la nube (brindada si se ofrecían los datos personales). Creaba la cuenta el viernes en la tarde o sábado, en que se finaliza la jornada laboral.

El servicio, al obtener los datos del usuario, en especial los de la cuenta bancaria (tarjeta de crédito) asignaba el servicio en inmediatez, lo cual el usuario “corría” a usar el espacio asignado.

Para cuando la compañía descubría el engaño (en la jornada laboral del lunes) y degradaba la cuenta a “free” (previamente había leído las obligaciones y compromisos legales de la compañía, y sabía que no bloqueaba o borraba), ya los datos y espacio en la nube estaban presentes y el usuario hacía uso de ellos en bajada, aunque no podía subir.

Este es uno de los muchos ejemplos y usos.
Y es que no hay cosa mala que buen uso no tenga; así como algo bueno que para el mal se emplee.

De cualquier modo, he aquí varias sugerencias de dónde crearse esta identidad falsa que incluye cuentas bancarias.

Foto Falsa
You are not allowed to view links. Register or Login

Hay servicios que demandan un rostro. Y este rostro debe ir en consonancia con el resto de los datos. Esta página les permite crearse una imagen.
El cambio de imagen pueden hacerlo desde el menú de la página (posición: inferior derecha) en el apartado: “Another”.

You are not allowed to view links. Register or Login

Generador de Identidad Falsa: “Fake Name Generator

Las siguientes páginas les permiten configurar los datos de la persona que se desee:
País, edad, etc., incluye datos para internet como email (no usable solo de presentación), y cuenta bancaria.

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Hay muchos otros servicios en internet que brindan algo similar, igual, etc.; gratis, de pago, etc., que pueden buscar.

Y recuerden el viejo refrán:

La mentira tiene las piernas cortas…

10
You are not allowed to view links. Register or Login

Aunque no tenga mucho protagonismo mediático, la computación cuántica es un área en el que los gigantes de la tecnología rivalizan de forma encarnizada. Google anunció en el año 2019 que había alcanzado la supremacía cuántica con su computadora Sycamore, pero IBM rechazó dicha afirmación poco después diciendo que su ventaja sobre la computación clásica no era la que afirmaba.

Los investigadores en computación cuántica de Google lograron ejecutar el cálculo complejo en unos 200 segundos, una hazaña que, según su versión, con la supercomputadora “clásica” más potente del momento tomaría 10.000 años en realizarse. Aquello llevó al gigante del buscador a proclamar su supremacía cuántica, que es definida como el punto en el que un dispositivo cuántico es capaz de resolver cosas que no serían posibles con las tradicionales máquinas silicio.

Sin embargo, los investigadores de IBM rechazaron la afirmación de Google diciendo que, con la tecnología que había por entonces, era posible realizar la misma tarea en cuestión de días. La cuestión no estaba en si Google mentía del todo o no, sino en si era real tal superioridad o no.

Tres años después, científicos chinos han dado la razón a IBM al lograr ejecutar el mismo cálculo en tan solo unas horas empleando 512 procesadores gráficos (GPU) y algoritmos avanzados. Si bien la cantidad de tiempo es considerablemente mayor a los 200 segundos anunciados por Google, el logro de los científicos chinos deja la puerta abierta a que una supercomputadora tradicional apoyada en el sistema binario pueda rivalizar con Sycamore. En resumidas cuentas, el gigante del buscador no tuvo en ningún momento la enorme ventaja que anunció en 2019.

Para resumir mucho el panorama, la computación tradicional, la que nos acompaña desde hace décadas y que encarnan dispositivos como servidores, smartphones y ordenadores personales, manejan bits, que pueden tener un valor de cero o uno. En consecuencia, todo lo que ve el usuario a través de la pantalla es resultado del procesamiento de conjuntos de ceros y unos.

Por su parte, la computación cuántica se apoya en bits cuánticos o qubits. Los qubits también pueden tener 0 o 1 como valor, pero con la peculiaridad de que pueden tener los dos valores de forma simultánea y no forzosamente uno de los dos. Esto abre la puerta a incrementar de manera muy notable la potencia de computación, pero los resultados obtenidos por Google en 2019, si bien tienen su mérito, se han quedado muy lejos de ser algo difícilmente igualable con la computación tradicional.

Sycamore, al menos cuando fue anunciado en 2019, era un procesador de 53 qubits. IBM, que sigue siendo un gigante tecnológico de primer nivel a pesar de no tener protagonismo en el mercado de consumo, respondió en 2021 con Eagel, un procesador de 127 qubits. El gigante azul parece tenérsela jurada a Google, ya que espera superar la barrera de 1.000 qubits en algún momento del año 2023.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

Tutanota es una aplicación de correo electrónico cifrado de extremo a extremo y un servicio de correo electrónico seguro freemium. A partir de marzo de 2017, los propietarios de Tutanota afirmaron tener más de 2 millones de usuarios.

La noticia es que Microsoft está bloqueando activamente las direcciones de correo electrónico de Tutanota para que no registren una cuenta de Microsoft Teams.

Los políticos de ambos lados del Atlántico están discutiendo una legislación antimonopolio más fuerte para regular las grandes tecnologías, y tales leyes son muy necesarias, como lo demuestra el bloqueo de los usuarios de Tutanota de Microsoft Teams. Las grandes empresas tecnológicas tienen el poder de mercado para dañar a los competidores más pequeños con algunos pasos muy sencillos, como negar a los clientes de las empresas más pequeñas el uso de sus propios servicios”.

 “Actualmente, Microsoft está bloqueando activamente las direcciones de correo electrónico de Tutanota para que no registren una cuenta de Microsoft Teams. Esta grave práctica anticompetitiva obliga a nuestros clientes a registrar una segunda dirección de correo electrónico, posiblemente una de Microsoft, para crear una cuenta de Teams”.

Microsoft no reconoce a la empresa como un servicio de correo electrónico sino como una dirección corporativa.

La primera vez que un usuario de Tutanota registró una cuenta de Teams, su dominio fue reconocido como una corporación, por esta razón, cualquier otro usuario del popular servicio de correo electrónico no pudo registrar su cuenta y se le solicitó que se contactara con su administrador.

You are not allowed to view links. Register or Login

Intentamos repetidamente resolver el problema con Microsoft, pero desafortunadamente nuestra solicitud fue ignorada”, dice Matthias Pfau, cofundador de Tutanota.

"Microsoft solo tendría que cambiar la configuración de que Tutanota es un servicio de correo electrónico para que todos puedan registrar una cuenta individual, pero ellos (Microsoft) dicen que tal cambio no es posible".

Veamos si Microsoft resolverá el problema, permitiendo que 2 millones de usuarios usen su servicio MS Teams.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

12
You are not allowed to view links. Register or Login

13
You are not allowed to view links. Register or Login

Cada vez parece más claro que la decisión de compra de Twitter, y todo lo que ha ocurrido posteriormente, responde más a un impulso que a un proceso de análisis y reflexión. Y es que, de lo contrario, sería difícil explicar lo errático de su actitud. Desde el mismo momento en el que se produjo el anuncio de compra, hemos asistido a declaraciones a favor de la red social, a declaraciones en contra, a ataques a su actual junta directiva y, en lo que supuso uno de los momentos cumbre de este culebrón, al anuncio de que cancelaba la oferta de compra.

¿Qué pretendía cuando decidió dar marcha atrás? Hay opiniones para todos los gustos, desde los argumentan que su postura es legítima al no haber obtenido la respuesta que deseaba con respecto al problema de los bots, hasta quienes afirman que buscaba un nuevo acuerdo, bastante más económico, para comprar Twitter. Y, claro, quienes piensan que su situación económica se ve seriamente amenazada por dicha operación, y que tras el «subidón», se dio cuenta de que era mala idea e intentó dar marcha atrás.

Sea como fuere, da la impresión de que en ambos momentos (la firma del contrato y el anuncio de su marcha atrás) se paró a reflexionar sobre todas las implicaciones de lo que estaba haciendo. ¿Quizá pensó que podría rehusar su compromiso de compra y que el resto de partes implicadas lo aceptarían de buen grado? Me cuesta pensar que una persona como Elon Musk pueda ser tan inocente, por lo que entiendo que sí que imaginó el periplo judicial que se avecinaba.

No podía prever, sin embargo, que las perspectivas se tornarían tan grises en lo respectivo a sus planes.

La misma firma del contrato en Delaware ya jugaba en su contra, la elección de Kathaleen McCormick para enjuiciar la causa fue es un desaliento, y las condiciones de fecha y duración de la causa han sido interpretadas  por la inmensa mayoría de los analistas como un tanto en el marcador de Twitter, mientras que el de Musk permanece a cero. Y eso que solo se habla de la causa de Twitter contra Elon Musk, recordemos que hay más demandas en marcha.

Good summary of the problem.

If Twitter simply provides their method of sampling 100 accounts and how they’re confirmed to be real, the deal should proceed on original terms.
However, if it turns out that their SEC filings are materially false, then it should not.

— Elon Musk (@elonmusk) August 6, 2022

Así, ¿es posible que Elon Musk esté pensando en dar marcha atrás de nuevo? Pues podemos llegar a esa conclusión a partir de este tweet, en el que leemos lo siguiente:

"Si Twitter simplemente proporciona su método de muestreo de 100 cuentas y cómo se confirma que son reales, el acuerdo debería seguir adelante en los términos originales."

Sin embargo, si resulta que sus archivos de la SEC son materialmente falsos, entonces no debería.»

Así pues, ha pasado de no creer los datos presentados por Twitter, y de emplear dicha duda como argumento para intentar cancelar la compra, a reclamar la acreditación de los mismos.

Lo interesante es que ese es, precisamente, el punto en el que se encontraban ambas partes antes de la «espantada» de Musk.

¿Por qué vuelve ahora a ese punto?

¿Qué ha cambiado en este tiempo?

Lo más destacable es que la vía judicial parece cada día más compleja para él, al punto de que, al final, podría tener que hacer un desembolso aún mayor.

Es evidente, por otra parte, que la actual junta directiva de Twitter desea que se complete la operación, aunque ahora la duda es si estarán por la labor de colaborar con Musk o si, por el contrario, se lo jugarán todo a la baza judicial.
Es de esperar que se decantarán por la colaboración y por completar la compra de la manera más amistosa posible, pero los hechos nos han demostrado que puede ocurrir cualquier cosa.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login

14
Hacking / Cómo banear una cuenta de Instagram en uso
« on: August 08, 2022, 12:27:34 am »
You are not allowed to view links. Register or Login

Este método fue noticia no hace mucho cómo un problema que presentó (o presenta) Instagram.
Desconozco si ha sido parcheado.

Y cómo siempre les digo en estas “picardías” de las redes sociales:

No lo he probado en funcionamiento; no me es de interés estas tonterías concernientes a las redes sociales, más allá de Info de personas de interés.

El truco consiste en hacer que el propio Instagram elimine una cuenta en uso y legítima por suplantación de Identidad (Clon Fake ó Impersonation).

Condiciones:

La cuenta objetivo que se desee eliminar debe tener 10k seguidores máximo. Entre menos mejor, pues Instagram enseguida la bloqueará. Si excede esa cifra, no funcionará el truco pues son cuentas en listas especiales de protección dentro de la plataforma y ya reconocidas.

Debe tener un perfil humano; entiéndase foto de su propietario y que Instagram ya haya legitimado que en efecto es una persona.

Pasos:

Hay que suplantar la Identidad del usuario de la cuenta en uso en los siguientes detalles, exportándolos hacia su cuenta:

Nombre de cuenta de usuario

Si no permite el mismo nombre, lo más similar posible.

Foto (s) de cuenta

Debe ser la misma (literalmente clonada)

Duplicar las fotos subidas por el objetivo.

Recrear algunas nuevas en ambientes similares usando Photoshop.

Un trabajo de excelencia suplantando las fotos respaldará el engaño

Una vez terminada la clonación, denunciar dentro de Instagram la suplantación en:

Cuentas de suplantación de identidad

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

La plataforma suspenderá la cuenta en breve.

Sí la restauran posteriormente (eliminando la suya en el proceso) corroborando la chapuza del clon que hizo… ya depende de sus habilidades con los detalles; y de que Instagram no haya implementado un registro (logs) de tiempo en las cuentas de usuarios y en su contenido; o algún otro método para corroborar autenticidad como el cruce de info entre plataformas (Facebook, Twitter, Google, etc.).

Enfatizo, este problema (clonación de cuentas para su bloqueo) fue noticia y así es como lo hacían (o hacen…).


15
Dudas y pedidos generales / Re: Desbloquear notebook BGH 11cle2 plus
« on: August 07, 2022, 04:00:13 pm »
Le diré algo

Esto son trabajos para técnicos “con experiencia”; entienda no improvisados, porque el riesgo de romper definitivamente el dispositivo es elevadísimo.

No obstante.

No es el primer caso que tiene ese problema según pude ver:

You are not allowed to view links. Register or Login

Le recomiendo realizar una consulta en un medio más apropiado y por técnicos, para que vea sus opciones:

Entrará aquí y usará las claves que le envío al privado para que se loguee y realice su pregunta

You are not allowed to view links. Register or Login

Claves de acceso:

Revise su MP

No haga nada hasta que esté muy seguro de lo que va a hacer
Suerte


16
You are not allowed to view links. Register or Login

Cibercriminales diseñaron un sitio falso que se hace pasar por el sitio oficial de Have I Been Pwned, el servicio para verificar si nuestros datos fueron expuestos en una filtración.

El sitio apócrifo no solo presenta un diseño similar al oficial, sino que la URL es bastante similar, lo que puede llevar a que más de uno crea que se trata del legítimo. El objetivo es recolectar direcciones de correo y contraseñas de usuarios.

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Si observamos detenidamente la URL podemos apreciar que la diferencia entre el sitio legítimo y el falso es la extensión. Mientras que en la página oficial es .com, en el sitio falso es diferente. Sin embargo, que el nombre de dominio sea el mismo puede llevar a más de uno a caer en el engaño. Por otro lado, la estética es muy parecida con prácticamente los mismos elementos.

Un cambio clave que implementaron los ciberdelincuentes en el sitio falso es la forma de realizar la consulta: mientras que en la página oficial solo se debe ingresar la dirección de correo o número de teléfono para verificar si los datos fueron expuestos en una filtración, en el falso sitio se solicita ingresar primero la dirección de correo e inmediatamente se suma el campo para agregar la contraseña.

You are not allowed to view links. Register or Login

Esto debería generar sospecha, sobre todo para aquellas personas que utilizaron el servicio previamente, ya que para verificar si una contraseña fue filtrada en alguna brecha el sitio oficial cuenta con una sección aparte disponible desde la barra del menú llamada “passwords”, en la cual los visitantes puedan verificar si una contraseña que utilizan fue filtrada, pero sin vincular esta información con un nombre de usuario o dirección de correo en particular.

Para no generar sospecha en las víctimas, luego de ingresar los datos el falso sitio redireccionará al sitio legitimo indicando que las credenciales ingresadas no se registraron en ninguna brecha.

You are not allowed to view links. Register or Login

Have I Been Pwned: un servicio para verificar si tus datos fueron expuestos

Have I Been Pwned es un servicio al que recurren quienes desean verificar si la contraseña que utilizan o su dirección de correo fue expuesta como consecuencia de un incidente de seguridad que sufrió algún servicio online en el que han creado una cuenta. Ofrece una amplia base de datos que recopila direcciones de correo, contraseñas y números de teléfono de más de 600 sitios web que han sido afectados por una brecha y más de 11.000 millones de cuentas expuestas.

[actualización]

Al momento actual en el buscador aparece el sitio falso (".online")

You are not allowed to view links. Register or Login

Pero ya está reportado a Google

You are not allowed to view links. Register or Login


Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

17
You are not allowed to view links. Register or Login

Cellebrite es una empresa de piratería (o craqueo) de teléfonos inteligentes con sede en Israel que anteriormente apareció en los titulares por desbloquear dispositivos iPhone para las fuerzas del orden y las agencias de seguridad en los Estados Unidos.

Una fuente anónima ha filtrado alrededor de 4 TB de datos patentados pertenecientes a la firma de inteligencia digital israelí Cellebrite. Los productos afectados son el producto estrella de la empresa, Cellebrite Mobilogy, y el servidor Cellebrite Team Foundation.

Vale la pena señalar que, a partir de ahora, los datos filtrados solo están disponibles para investigadores y periodistas que soliciten Distributed Denial of Secrets (DDoSecrets), una organización de denuncias sin fines de lucro.

You are not allowed to view links. Register or Login

El tesoro de datos viene en dos partes, incluidas Cellebrite Mobilogy y Cellebrite Team Foundation Server.

Acerca de Cellebrite

Cellebrite proporciona servicios de gestión, análisis y recopilación de datos digitales. Sus servicios son bastante similares a los del infame NSO Group detrás del spyware Pegasus. Las herramientas de Cellebrite son utilizadas por compañías, empresas y autoridades policiales federales/estatales/locales.

Cellebrite Universal Forensic Extraction Device se encuentra entre los productos clave de Cellebrite utilizados por las agencias de aplicación de la ley, y compartió su código con el producto afectado Cellebrite Mobilogy.

Team Foundation Server ofrece una plataforma para el trabajo colaborativo y ahora se reemplazó con Azure DevOps Server, que se usa para compartir código, realizar un seguimiento del trabajo y enviar software.

Análisis de datos filtrados

Otro ataque dirigido contra los archivos de copia de seguridad del Cellebrite Team Foundation Server resultó en la filtración de 430 GB de datos. Según se informa, se comprometieron y filtraron alrededor de 3,6 TB de datos de Cellebrite Mobilogy. Este producto se utiliza para diagnósticos de dispositivos, copia de seguridad de contenido, transferencia y restauración.

La fuente detrás de esta fuga de datos aún no está identificada. Y ningún grupo de ciberdelincuentes o hackers se ha atribuido su responsabilidad. La técnica de piratería tampoco se ha revelado todavía.

Para su información, Cellebrite es la compañía que ayudó al FBI a desbloquear el iPhone del tirador de San Bernardino, Syed Rizwan Farook.

Fuente:
HackRead
You are not allowed to view links. Register or Login

18
You are not allowed to view links. Register or Login


Twitter ha confirmado que una violación de datos reciente fue causada por una vulnerabilidad de día cero ahora parcheada que se utiliza para vincular direcciones de correo electrónico y números de teléfono a las cuentas de los usuarios, lo que permite a un actor de amenazas compilar una lista de 5,4 millones de perfiles de cuentas de usuarios.

El mes pasado, un actor de amenazas que dijo que pudo crear una lista de 5,4 millones de perfiles de cuentas de Twitter utilizando una vulnerabilidad en el sitio de redes sociales.

You are not allowed to view links. Register or Login

Esta vulnerabilidad permitía que cualquier persona enviara una dirección de correo electrónico o un número de teléfono, verificara si estaba asociado con una cuenta de Twitter y recuperara la identificación de la cuenta asociada. El actor de amenazas luego usó esta identificación para raspar (scraping)la información pública de la cuenta.

Esto permitió al actor de amenazas crear perfiles de 5,4 millones de usuarios de Twitter en diciembre de 2021, incluido un número de teléfono verificado o una dirección de correo electrónico, y extrajo información pública, como recuentos de seguidores, nombre de usuario, nombre de inicio de sesión, ubicación, URL de imagen de perfil y otros.

En ese momento, el actor de amenazas estaba vendiendo los datos por $ 30,000 y le había declarado que había compradores interesados.

Se confirmó que dos actores de amenazas diferentes compraron los datos por menos del precio de venta original y que los datos probablemente se liberarían de forma gratuita en el futuro.

Twitter confirma el uso del día cero para recopilar datos

Hoy, Twitter ha confirmado que la vulnerabilidad utilizada por el actor de amenazas en diciembre es la misma que informaron y corrigieron en enero de 2022 como parte de su programa de recompensas por errores HackerOne.

"En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad que permitía a alguien identificar el correo electrónico o el número de teléfono asociado con una cuenta o, si conocían el correo electrónico o el número de teléfono de una persona, podían identificar su cuenta de Twitter, si existiera", reveló Twitter hoy en un aviso de seguridad.

"Este error fue el resultado de una actualización de nuestro código en junio de 2021. Cuando nos enteramos de esto, lo investigamos de inmediato y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad".

Como parte de la divulgación de hoy, Twitter le declaró que ya comenzaron a enviar notificaciones esta mañana para alertar a los usuarios afectados sobre si la violación de datos expuso su número de teléfono o dirección de correo electrónico.

En este momento, Twitter divulga que no pueden determinar la cantidad exacta de personas afectadas por la infracción. Sin embargo, el actor de amenazas afirma haber utilizado la falla para recopilar los datos de 5.485.636 usuarios de Twitter.

Si bien no se expusieron contraseñas en esta violación, Twitter alienta a los usuarios a habilitar la autenticación de dos factores en sus cuentas para evitar inicios de sesión no autorizados como medida de seguridad.

Para aquellos que usan una cuenta de Twitter seudónima, la compañía de redes sociales sugiere que mantengan su identidad lo más anónima posible al no usar un número de teléfono o dirección de correo electrónico conocidos públicamente en su cuenta de Twitter.

"Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores", advirtió el aviso de Twitter.

Además, dado que dos actores de amenazas diferentes ya compraron estos datos, los usuarios deben estar atentos a las campañas de phishing dirigidas que utilizan estos datos para robar sus credenciales de inicio de sesión de Twitter.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

19

You are not allowed to view links. Register or Login

Nomad, un estándar de comunicación entre cadenas que permite "transferencias baratas y seguras de tokens y datos entre cadenas", fue allanado por más de $ 190 millones en criptomonedas. Los piratas informáticos de sombrero blanco han tomado los fondos durante el caos para protegerlos de los actores malintencionados.

Nomad ha anunciado una recompensa de hasta el 10 % por la devolución de los fondos pirateados el 1 de agosto de 2022.

"La recompensa es para aquellos que se presenten ahora y para aquellos que ya han devuelto fondos, contribuyendo a los más de $ 20 millones recuperados hasta la fecha", se lee en una declaración.

Nomad considera que cualquier parte que devuelva al menos el 90% del total de los fondos que hackearon es un hacker de sombrero blanco.

"Nomad no emprenderá acciones legales contra ningún pirata informático de sombrero blanco", dijo, pidiendo devolver los fondos a la dirección oficial de la billetera de recuperación de Nomad en 0x94a84433101a10aeda762968f6995c574d1bf154.

Nomad está trabajando con TRM Labs y la policía para recuperar los fondos y se ha asociado con Anchorage Digital para aceptar y proteger los fondos recuperables del ataque al puente.

"Lo más importante en criptografía es la comunidad, y nuestro objetivo número uno es restaurar los fondos de los usuarios puenteados. Para respaldar ese esfuerzo, trataremos a cualquier parte que devuelva el 90 % o más de los fondos explotados como sombreros blancos", Pranay Mohan, co -Fundador y CEO de Nomad, dijo.

"No procesaremos a los sombreros blancos. Pero continuaremos trabajando con nuestros socios, las empresas de inteligencia y las fuerzas del orden para perseguir a todos los demás actores maliciosos en la mayor medida posible según la ley".

Los proyectos criptográficos han estado en problemas últimamente, no solo por el criptoinvierno. El reciente hackeo de Solana robó a los usuarios unos $8 millones.

Esta semana, el analista de amenazas PIXM informó sobre la campaña de phishing que elude la autenticación de dos factores utilizada para proteger a los titulares de billeteras, engañándolos para que renuncien a sus credenciales de seguridad cibernética con un correo electrónico falso enviado por estafadores cibernéticos.

Un cofundador de la plataforma de comercio de IA EndoTech, Dmitry Gooshchin, cree que las nuevas empresas de criptografía se están enfocando en la innovación y renunciando a la seguridad.

"La industria de los servicios financieros ha sido objeto de piratería informática y fraudes durante toda la eternidad; el mundo de las criptomonedas no es diferente. Desafortunadamente, demasiadas empresas están diseñando tecnologías únicamente con la innovación en mente, pero no tienen los antecedentes financieros/de seguridad para comprender la criticidad de transacciones seguras", dijo.

"En este caso, la razón de ser eran las transacciones seguras, por lo que es doblemente decepcionante. Si bien puede suceder y sucede incluso en los bancos más grandes, ha afectado de manera desproporcionada a las empresas jóvenes de web3. Esperamos que ajusten sus protocolos de seguridad tan pronto como sea posible". "La industria necesita restaurar la fe en las transacciones de criptomonedas".

Fuente:
CyberNews
You are not allowed to view links. Register or Login

20

You are not allowed to view links. Register or Login

Se confirma: HBO Maxy Discovery+ se fusionarán en un único servicio. La transición comenzará el año que viene en Estados Unidos y para el siguiente se extenderá a Europa y el resto de mercados, por lo que hasta entonces nada cambiará y tanto el uno como el otro seguirán funcionando como hasta ahora.

Están revueltas las aguas en el seno de Discovery, nueva propietaria de WarnerMedia y de todos sus tentáculos, incluyendo Warner Bros, TNT, Cartoon Network, DC Comics, CNN y HBO Max, una de las grandes plataformas de vídeo bajo demanda de la actualidad, y es que con los nuevos dueños ya ejerciendo como tales, ha comenzado la reestructuración.

Esto significa, para empezar, un recorte de gastos importante, incluso a costa de perder por el camino muchos millones ya invertidos. El ejemplo que está dando mucho de que hablar estos días es la cancelación de la nueva película de Batgirl, ya en preproducción, en la que se habían pulido entre 70 y 100 millones de dólares y que no va a ver la luz ni siquiera en HBO Max.

¿El motivo? A grandes rasgos, las escuetas declaraciones oficiales que ha habido apuntan a contenido basura, uno que a diferencia de los que suele llegar de HBO, parece sobrar en uno de los mayores activos de la compañía, como es el material de superhéroes de DC. En este sentido, la intención a partir de ahora es la de realizar solo grandes superproducciones de calidad y no relleno.

En qué medida afectará el nuevo rumbo a lo que saque Warner Bros. de DC no se sabe, pero producciones como The Flash, Black Adam o la secuela de The Jocker para cine, no peligran por el momento. Tampoco la continuidad de El Escuadrón Suicida o series como El Pacificador y otras, e incluso se rumorea la vuelta de Henry Cavill en el papel de Superman, pero no hay nada confirmado.

Lo que sí se ha confirmado es que se han acabado los «experimentos» y DC imitará a Marvel, trazando un plan de 10 años para sacarle todo el provecho a las franquicias de superhéroes de la casa, pero sin perjuicio de la calidad del producto final. Según lo cuentan, no se trata de hacer más, sino de hacerlo mejor.

En todo caso, Discovery no solo está recortando contenido de Warner Bros. Las cancelaciones se dieron en mayor y menor medida desde que la nueva directiva tomó el control, allá por primavera de este año, y no hay mejor muestra de ello que el inmisericorde cercenamiento de CNN+. También se ha notado con la producción europea de HBO, toda cancelada a excepción de unos pocos títulos entre los que se cuenta una nueva temporada de la española 30 monedas.

Sin embargo, son muchos más los cambios que se han dado, por ejemplo con la eliminación de contenidos de HBO Max… y los que se prevé que sucederá, y es que a los nuevos jefez del conglomerado no parece temblarles el pulso para cargarse todo lo que no funcione. Una prueba de fuego se dará a finales de este mismo mes, cuando se estrene en la plataforma la precuela de Juegos de tronos, La casa del Dragón.

Volviendo con la noticia, aunque todo lo comentado deriva de la nueva situación, faltan por conocerse muchos datos. Sin ir más lejos, cuál será la nueva casa que aglutine la oferta de HBO Max y Discovery+, porque se entiende que no será ninguna de las existentes. Algo que se ha adelantado, es que extenderán a Europa los planes gratuitos con anuncios, al estilo de lo planteado por Netflix.

Mientras tanto, todo seguirá más o menos igual para con los suscriptores de HBO Max. Si acaso, se reducirán un poco la cantidad de lanzamientos, pero no demasiado, porque una de las prioridades de Discovery es no perder usuarios.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 98