This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: 1 2 [3] 4 5 ... 110
41

Un aviso de seguridad para una vulnerabilidad (CVE) publicado por MITRE ha estado exponiendo accidentalmente enlaces a consolas de administración remotas de más de una docena de dispositivos IP vulnerables desde al menos abril de 2022.

BleepingComputer se dio cuenta de este problema ayer después de recibir un aviso de un lector que prefiere permanecer en el anonimato. El lector quedó desconcertado al ver varios enlaces a sistemas vulnerables enumerados en la sección de "referencias" del aviso de CVE.

Los avisos de CVE publicados por MITRE se distribuyen palabra por palabra en una gran cantidad de fuentes públicas, feeds, sitios de noticias de seguridad informática y proveedores que brindan estos datos a sus La sección de "referencias" de estos avisos generalmente enumera enlaces a la fuente original (un artículo, una publicación de blog, una demostración de PoC) que explica la vulnerabilidad. Sin embargo, incluir enlaces a sistemas sin parches expuestos públicamente puede permitir potencialmente que los actores de amenazas apunten ahora a estos sistemas y lleven a cabo sus actividades maliciosas.

BleepingComputer realizó una investigación adicional sobre cómo pudo haber ocurrido este problema y se comunicó con MITRE y con algunos expertos en seguridad para comprender mejor si se trata de una práctica normal o incluso aceptable.

El aviso de seguridad derrama los frijoles

Un aviso de vulnerabilidad publicado por MITRE para una vulnerabilidad de divulgación de información de alta gravedad en abril reveló irónicamente enlaces a más de una docena de dispositivos IoT en vivo vulnerables a la falla.

No es inusual que los avisos de seguridad incluyan una sección de "referencia" con varios enlaces que validan la existencia de una vulnerabilidad. Sin embargo, dichos enlaces generalmente conducen a una demostración de prueba de concepto (PoC) o a informes que explican la vulnerabilidad en lugar de a los sistemas vulnerables en sí mismos.

Una vez que las vulnerabilidades se hacen públicas, los atacantes usan motores de búsqueda de IoT públicos como Shodan o Censys para buscar y apuntar a dispositivos vulnerables.

Todo lo cual hace que este sea un caso particularmente extraño para que un boletín de seguridad pública enumere no uno, sino las ubicaciones de varios dispositivos vulnerables que aún están conectados a Internet.

Debido a que una gran cantidad de fuentes confían en MITRE y NVD/NIST para recibir fuentes de vulnerabilidad, el aviso de CVE (redactado a continuación) ya ha sido sindicado por varios proveedores, fuentes públicas y servicios que proporcionan datos de CVE, según lo observado por BleepingComputer.clientes.


El aviso MITRE CVE enumera más de una docena de enlaces a cámaras IP vulnerables  (BleepingComputer)

Hacer clic en cualquiera de los enlaces de "referencia" anteriores llevaría al usuario a un panel de administración remota de las cámaras IP o dispositivos de video (vulnerables), lo que podría permitirles ver la transmisión de la cámara en vivo o aprovechar la vulnerabilidad.

Tenga en cuenta que BleepingComputer no realizó ningún tipo de prueba de penetración ni se comprometió más con estos enlaces, aparte de asegurarse de que estuvieran activos y notificó de inmediato a MITRE sobre el problema.

MITRE: ¿Qué pasa? lo hemos hecho antes

BleepingComputer notificó a MITRE ayer sobre este problema y por qué podría ser un problema de seguridad.

Sorprendentemente, MITRE nos preguntó por qué "pensamos que estos sitios no deberían incluirse en el aviso", y además nos dijeron que MITRE había, en el pasado, "a menudo enumerado URL u otros puntos que pueden ser vulnerables" de manera similar. entradas CVE.

La respuesta de MITRE llevó a BleepingComputer a ponerse en contacto con expertos en seguridad.

Will Dormann , un analista de vulnerabilidades en el Centro de Coordinación CERT (CERT/CC) llamó a esto "tanto no normal como algo muy MALO". Y el investigador de seguridad Jonathan Leitschuh  dijo más o menos lo mismo en una declaración a BleepingComputer.

"Es una falta de respeto para las partes afectadas enumerar instancias vulnerables en vivo dentro de una entrada CVE", le dice Dormann a BleepingComputer.

"Las partes involucradas en la creación de entradas CVE deberían saberlo mejor. Sorprendentemente, según el repositorio de GitHub para CVE-2022-25584, el autor fue MITRE".

Es cierto que el aviso de CVE en sí mismo fue publicado por MITRE, la organización matriz del proyecto CVE que suele ser el primer punto de contacto para los usuarios que informan vulnerabilidades de seguridad en sistemas de terceros y solicitan identificadores de CVE.

Pero BleepingComputer descubrió que la fuente original del percance era un informe de seguridad publicado por uno o más investigadores de seguridad chinos en GitHub, mientras que la entrada CVE de MITRE para la vulnerabilidad había sido "reservada" y en espera de producción.

Es en esta versión de GitHub del aviso que varios enlaces a dispositivos vulnerables se enumeraron como "ejemplos". Y esta información parece haber sido copiada y pegada en la entrada CVE de MITRE que luego se distribuyó en varios sitios:


Aviso de seguridad original publicado en GitHub pero ahora eliminado  (BleepingComputer)

Irónicamente, el aviso original publicado en GitHub se eliminó hace mucho tiempo.

Dormann agregó además: "Acabo de copiar y pegar el trabajo de otra persona" no es realmente una excusa válida y "no está a la altura de los estándares de MITRE".

Parece que esta no es la única vez que la base de datos CVE de MITRE no ha validado los enlaces proporcionados en sus avisos o eliminado retroactivamente los enlaces inactivos :


Tenga en cuenta que, a las pocas horas de nuestro correo electrónico a MITRE, el aviso de CVE se actualizó rápidamente para eliminar todos los enlaces de "referencia" que apuntan a dispositivos IoT vulnerables, tanto del  repositorio CVEProject GitHub de MITRE como de la base de datos. Pero es posible que esta actualización no elimine esta información de fuentes de terceros que ya recuperaron y publicaron una copia anterior de la entrada.

Al publicar boletines de seguridad y avisos de vulnerabilidad, se debe tener cuidado para garantizar que solo se revele la información necesaria sobre una vulnerabilidad para ayudar a los defensores a actuar contra las fallas de seguridad, sin ayudar inadvertidamente a los actores malintencionados.

Fuente: You are not allowed to view links. Register or Login

42

SHI International, un proveedor de productos y servicios de tecnología de la información (TI) con sede en Nueva Jersey, ha confirmado que un ataque de malware golpeó su red durante el fin de semana.

SHI afirma ser uno de los proveedores de soluciones de TI más grandes de América del Norte, con $ 12,3 mil millones en ingresos en 2021 y 5,000 empleados en todo el mundo en centros de operaciones en los EE. UU., el Reino Unido y los Países Bajos.

También dice que brinda servicios a más de 15,000 organizaciones de clientes corporativos, empresariales, del sector público y académicos en todo el mundo.

"Durante el fin de semana festivo del 4 de julio, SHI fue el objetivo de un ataque de malware coordinado y profesional", dijo SHI en un comunicado.

"Gracias a las rápidas reacciones de los equipos de seguridad y TI de SHI, el incidente se identificó rápidamente y se adoptaron medidas para minimizar el impacto en los sistemas y operaciones de SHI".

Después del ataque, SHI agregó un mensaje a su sitio web advirtiendo a los clientes y visitantes que sus sistemas de información estaban en mantenimiento debido a una "interrupción sostenida".

Este mensaje fue reemplazado posteriormente por la declaración de ataque de malware publicada en el blog de la empresa .


Mensaje de mantenimiento SHI (BleepingComputer)

Desde el ataque, algunas páginas de sitios web también devuelven errores SHI de Amazon CloudFront/S3 , que persistieron hasta que se publicó este artículo.

Mientras evaluaba la integridad de sus sistemas e investigaba el incidente de seguridad, SHI se vio obligado a desconectar algunos de sus sistemas, incluidos los sitios web públicos y el correo electrónico de la empresa.

A partir del miércoles por la mañana, el personal de SHI volvió a cerrar todos los servidores de correo electrónico después del ataque. Sus expertos en TI también están trabajando para restaurar el acceso a otros sistemas afectados en la red.

“Mientras la investigación del incidente está en curso, y SHI está en contacto con organismos federales, incluidos el FBI y CISA, no hay evidencia que sugiera que los datos de los clientes fueron extraídos durante el ataque”, agregó la compañía.

SHI también dijo que mantendrá a los clientes actualizados durante todo el proceso y que ningún sistema de terceros en su cadena de suministro se vio afectado durante el ataque de malware.

Cuando BleepingComputer se comunicó hoy con una solicitud de más detalles, un portavoz de SHI respondió con un enlace a la declaración publicada en el blog oficial de la compañía.

Fuente: You are not allowed to view links. Register or Login

43

Un ingeniero senior de Axie Infinity fue el punto de entrada para el hackeo de 625 millones de dólares en criptomonedas a la cadena Ronin, luego de que este fuera engañado con una oferta de trabajo en una empresa falsa.

De acuerdo con The Block, hasta ahora el incidente se había relacionado por el gobierno de Estados Unidos con el grupo de piratería de Corea del Norte, Lazarus, pero no se habían dado muchos detalles de cómo se había realizado el hackeo, algo que el medio puede informar gracias a dos personas con conocimiento directo del asunto.

Una oferta de trabajo falsa desencadenó el ataque

The Block señala que a principios de año, el personal del desarrollador de Axie Infinity, Sky Mavis, fue abordado por un grupo de personas que "representaban" a la compañía falsa, animándolos a solicitar puestos de trabajo, realizando los acercamientos con los trabajadores a través de LinkedIn.

Tras varias rondas de entrevistas, al ingeniero en cuestión se le ofreció un trabajo con compensaciones "extremadamente generosas". La oferta falsa se le dio a conocer a través de un documento PDF que llevaba un spyware, mismo que el ingeniero descargó, permitiendo que el virus se infiltrara en los sistemas de Ronin.


Tras esto, los hackers pudieron atacar y tomar control de cuatro de los nueve validadores de la red Ronin que aprueban las transacciones, pero todavía les faltaba uno para poder realizar movimientos. Esto fue detallado por la propia Sky Mavis en su blog, señalando que en ese momento el umbral del validador era cinco de los nueve disponibles para las transacciones

Sin embargo, este requisito significaba que además de tomar control sobre estos cuatro validadores, todavía necesitaban uno adicional, que finalmente obtuvieron de Axie DAO, un grupo creado para apoyar el ecosistema de juegos, a quien Sky Mavis había solicitado ayuda para hacer frente a la gran carga de transacciones en noviembre de 2021.


Esto significaba que Axie DAO se encontraba en la lista de validadores permitidos para firmar transacciones a nombre de Sky Mavis, y a pesar de suspenderse la autorización en diciembre de 2021, el acceso a la lista no se revocó, por lo que una vez que obtuvieron acceso a los sistemas de la compañía, también lo tuvieron al validador adicional.

Mayor seguridad para reducir el riesgo

En su momento Sky Mavis señaló que sus empleados se encontraban bajo constantes "ataques avanzados de phishing" en varios canales sociales, y que uno de ellos se había visto comprometido.

Además detallaron que el trabajador ya no laboraba dentro de la compañía, y que los atacantes habían aprovechado el acceso para penetrar la infraestructura de TI de Sky Mavis, obteniendo el acceso a los nodos de validación.

Según The Block, apenas un mes del ataque, la empresa había aumentado el número de sus nodos de validación a 11 y su objetivo a largo plazo era tener más de 100.

Por otro lado, ESET Research dio a conocer una investigación señalando que Lazarus había estado utilizando LinkedIn y WhatsApp, haciéndose pasar por reclutadores, y enfocándose en contratistas aeroespaciales y de defensa, aunque el informe no menciona que se utilizara este método en Sky Mavis.

Las acciones de Axie Infinity tras el ataque

Desde finales de junio, Sky Mavis ha estado reembolsando a los usuarios que fueron hackeados en su plataforma, aunque eso sí, por la caída en el precio de las criptomonedas, los fondos recuperados tienen aproximadamente un tercio de su precio  al momento del robo.

La empresa había recaudado junto a Binance y Andreessen Horowitz 150 millones de dólares con la intención de poder pagar a las víctimas, y hasta ahora, una gran parte del dinero no ha sido recuperado, pero sí se lograron detener las transferencias de 5.8 millones de dólares que se estaban moviendo a través de Binance.

Fuente: You are not allowed to view links. Register or Login

44

Apple ha anunciado una nueva funcionalidad de seguridad para proteger a los usuarios del iPhone, iPad y Mac de ciberataques con software espía altamente dirigido. Uno de los spyware más conocidos a los que apunta esta herramienta es Pegasus, el producto de NSO Group que logró infectar una gran cantidad de dispositivos de activistas, periodistas, empresarios y políticos, entre ellos el móvil del presidente del Gobierno de España, Pedro Sánchez.

La funcionalidad, denominada "Lockdown Mode" (modo de aislamiento), según explica la compañía de Cupertino, busca ofrecer una nivel de seguridad extremo para el reducido número de usuarios que puedan ser víctimas de ataques dirigidos con herramientas avanzas de espionaje. Recordemos que estas suelen ser utilizadas a nivel gubernamental para espiar a personas de gran perfil político o social, por lo que la mayoría de los usuarios nunca se verán afectados.


Modo aislamiento, una funcionalidad de seguridad extrema

Se trata de una funcionalidad "extrema" porque los usuarios que deseen beneficiarse con ese plus de seguridad, al activar el modo de aislamiento tendrán que renunciar a algunas características de su dispositivo, las cuales se mencionan a continuación.

- Mensajes: se bloquearán la mayoría de tipos de archivos adjuntos que no sean imágenes. También se deshabilitarán varias prestaciones, como la previsualización de enlaces.
- Navegación web: ciertas tecnologías web, como la compilación just-in-time (JIT) de JavaScript, se deshabilitarán a menos que el usuario excluya un sitio de confianza del modo de aislamiento.
- Servicios de Apple: las invitaciones entrantes y las solicitudes de servicio, incluidas llamadas de FaceTime, se bloquearán si el usuario no ha enviado una solicitud o llamado previamente a quien inicia el proceso.
- Las conexiones por cable con un ordenador o accesorio se bloquearán cuando el iPhone está bloqueado.
- No se podrán instalar perfiles de configuración y el dispositivo tampoco podrá acceder a la gestión de dispositivos móviles (MDM).

El nuevo modo de aislamiento no está disponible de inmediato. Tendremos que esperar hasta el otoño para ver su llegada a iOS 16, iPadOS 16 y macOS Ventura, aunque probablemente quienes utilizan versiones beta de los mencionados sistemas operativos tendrán la posibilidad de echarle mano anticipadamente. Además, Apple dice que seguirá mejorando el "Lockdown Mode" con el paso del tiempo, por lo que podríamos ver una evolución de esta funcionalidad.

Adicionalmente, los de Cupertino han anunciado que destinarán 10 millones de euros "para apoyar a organizaciones que investigan, desvelan y evitan ciberataques altamente personalizados, incluidos los que perpetran empresas privadas que desarrollan spyware mercenario con respaldo estatal". Este movimiento se suma a otros anteriores de la compañía, como las correcciones de seguridad para los sistemas de sus dispositivos y la demanda a NSO Group.

Fuente: You are not allowed to view links. Register or Login

45

Android es un sistema operativo en el que es relativamente fácil desarrollar, lo que puede ser un punto a favor de las posibilidades con los móviles con este SO, pero también es un coladero de seguridad en el que muchas aplicaciones consiguen llegar a su tienda digital infectadas.

El caso que te contamos hoy es el de Joker, que ha sido encontrado oculto en 15 aplicaciones aparentemente legítimas que suman más de 100.000 descargas entre todas.

El peligroso malware Joker

El malware Joker, también conocido como Bread, se incluye como malware dentro de la categoría de fleeceware, ya que su principal actividad maliciosa consiste en la suscripción no deseada a servicios de pago o a enviar SMS o realizar llamadas a números premium. Pero también tiene otras capacidades, como añadir una capa adicional por encima de apps legítimas para robar información de tarjetas de crédito.

Malware Android

Como usa una cantidad muy básica de código, que además se puede ocultar por completo, este malware es encontrado oculto en aplicaciones con funcionalidades aparentemente legítimas, como traductores o monitores de presión cardiaca. En los últimos tres años, se encontró el malware escondido en miles de aplicaciones, por lo que más de 100.000 usuarios que las han descargado algunas de ellas por separado podrían estar en riesgo.

Oculto en aplicaciones de Google Play Store

Como decíamos, el código de infección de Joker es tan sutil y reducido que consigue superar los filtros de seguridad de Google Play Store, con nuevas aplicaciones apareciendo periódicamente sin que Google lo consiga impedir. Según Pradeo, una empresa importante en seguridad móvil, sus análisis sí han detectado rastros de Joker en aplicaciones de todo tipo.


Malware Android

Los casos más recientes incluyen dos gestores de mensajes cortos SMS, teclados adicionales, paquetes de emojis, fondos de pantalla y hasta supuestas aplicaciones de seguridad. La empresa de seguridad ha detectado estas aplicaciones en Google Play Store y, en ocasiones, ya tenían decenas de miles de descargas. Como pone en conocimiento de Google dichas apps maliciosas, todas ellas ya han sido eliminadas de la tienda de aplicaciones.

Si quieres confirmar que no instalaste ninguna de ellas cuando todavía estaban disponibles, aquí tienes el listado de las 36 apps con Joker que han detectado entre Pradeo y ESET:

- Smart SMS Messages
- Blood Pressure Monitor
- Voice Languages Translator
- Quick Text SMS
- Beautiful Themed Keyboard
- All Wallpaper Messenger
- Angina Reports
- Moon Horoscope
- Color Message
- Safety Applock
- Convenient Scanner 2
- Push Message-Texting & SMS
- Emoji Wallpaper
- Separate Doc Scanner
- Fingertip GameBox
- Squid Game Wallpaper 4K HD
- All QRCode Scanner
- PDF Scanner Reader
- Wow Translator
- Rainy Day Wallpaper
- Neon Live Wallpaper
- Plenty Emoji Messages
- Cute Photo Editor
- All Wallpaper SMS
- All Photo Translator
- Smart CMM Launcher
- CamHipro
- Cool Messages
- Sketch Photo Editor
- Blood Sugar Log
- Bubble Message
- Create Photo Stickers
- Shining Live Wallpaper
- Toy Blast Star-Falcon
- RGB Emoji Keyboard
- Camera Translator Pro

Fuente: You are not allowed to view links. Register or Login

46

Las contraseñas son sin duda la principal barrera que tenemos para evitar intrusos en nuestras cuentas. Las usamos para entrar en redes sociales, correo electrónico o cualquier registro online. Pero gestionarlas no siempre es fácil, especialmente cuando tenemos muchas y muy diferentes. Google cuenta con un gestor de claves desde hace años, pero ha tenido ciertas carencias y eso ha hecho también que no sean muchos los usuarios que lo utilicen. Ahora ha introducido importantes mejoras y espera que comencemos a usarlo.

El gestor de contraseñas de Google mejora

Google ha decidido renovar su gestor de contraseñas para ofrecer una mejor protección y facilidad de uso. Google Password Manager lleva presente desde 2008 en Chrome, pero había diferencia entre dispositivos móviles y ordenadores. Eso ha hecho que no tuviera tanta aceptación como podrían esperar.

Ahora han decidido implementar una experiencia de administración simplificada y unificada. Esto significa que va a ser la misma configuración en Chrome y Android. Las contraseñas se agruparán automáticamente y tendrás acceso también desde dispositivos móviles con Android de una manera sencilla. Pero además, también incluye la posibilidad de generar contraseñas para iOS al utilizar Chrome.

También hay que mencionar que incorpora mejoras en la herramienta de verificación de contraseñas. Está disponible desde 2019 y tiene la misión de informar en caso de que detecte alguna clave vulnerable. Ahora también alertará de las contraseñas débiles y que estás reutilizando en Android.

Cuenta además con una función para cambiar de contraseña de forma automatizada para que se puedan solucionar problemas rápidamente. Las advertencias de contraseñas inseguras se van a extender a usuarios de Chrome en general, sin importar si utiliza Android, iOS, Windows, Linux, macOS…

Otra novedad es que podremos agregar nuevas contraseñas a la aplicación y no tener que esperar a que el navegador nos lance un aviso cuando iniciamos sesión para preguntarnos si queremos añadirla o no. Con esto Google quiere atraer a más usuarios para que utilicen su gestor de contraseñas.


Por qué son interesantes los gestores de claves

Podemos decir que los administradores de claves son herramientas muy útiles hoy en día. Tenemos que usar numerosas contraseñas para iniciar sesión en todo tipo de servicios online. Si hacemos bien las cosas, lo normal es que tengamos una diferente en cada caso y eso puede ser un problema para memorizarlas.

Lo que hacen los gestores de claves es permitir almacenar todas esas contraseñas en un lugar seguro y poder usarlas cuando lo necesitemos. No será necesario memorizar nada, ni tampoco exponer la clave cada vez que tengamos que iniciar sesión. Aporta comodidad, pero también seguridad a nuestras cuentas.

Otro punto a tener en cuenta es que algunos gestores de contraseñas van a permitir generar claves seguras. Esto nos permite tener siempre contraseñas que cumplan con los requisitos de seguridad y evitar utilizar algunas que puedan ser inseguras y que un pirata informático podría averiguar fácilmente.

En definitiva, usar gestores de contraseñas es algo muy útil y Google ha querido mejorar el suyo para hacer que los usuarios confíen en su servicio y lo utilicen. Eso sí, es importante evitar errores al usar administradores de contraseñas.

Fuente: You are not allowed to view links. Register or Login

47

Matthias Clasen, líder del equipo de escritorio de Fedora, miembro del equipo de lanzamiento de GNOME y uno de los desarrolladores activos de GTK (contribuyó con el 36,8% de los cambios en GTK 4), comenzó a discutir la posibilidad de desaprobar el protocolo X11 en la próxima rama importante de GTK5 y dejando GTK ejecutándose en Linux solo usando el protocolo Wayland.

Para quienes desconocen de Wayland, deben saber que este es un protocolo para la interacción de un servidor compuesto y las aplicaciones que trabajan con él. Los clientes hacen su propia representación de sus ventanas en un búfer separado, pasando información sobre las actualizaciones al servidor compuesto, que combina los contenidos de los búferes de aplicaciones individuales para formar el resultado final, teniendo en cuenta los posibles matices, como la superposición de ventanas y la transparencia.

En otras palabras, el servidor compuesto no proporciona una API para renderizar elementos individuales, sino que solo opera en ventanas ya formadas, lo que le permite deshacerse del doble almacenamiento en búfer cuando usa bibliotecas de alto nivel como GTK y Qt, que se hacen cargo del trabajo de ordenar el contenido de las ventanas.

Wayland resuelve muchos problemas de seguridad de X11 porque, a diferencia de este último, aísla la entrada y la salida para cada ventana, no permite que el cliente acceda al contenido de las ventanas de otros clientes y tampoco permite la interceptación de eventos de entrada asociados con otras ventanas. Actualmente, ya se ha implementado el soporte para el trabajo directo con Wayland para las bibliotecas GTK, Qt, SDL (desde la versión 2.0.2), Clutter y EFL (Enlightenment Foundation Library). A partir de Qt 5.4, el módulo QtWayland se incluye con la implementación de componentes para ejecutar aplicaciones Qt en el entorno del servidor compuesto Weston desarrollado por el proyecto Wayland.

Sobre la nota propuesta de desaprobación de X11 establece que «X11 no está mejorando y Wayland ya está disponible universalmente». Explica además que el backend X11 GTK y el código basado en Xlib se están estancando y experimentan problemas con los mantenedores.

Se afirma que para que sobreviva la compatibilidad con X11, alguien tiene que escribir y mantener el código relacionado con X11, pero no hay entusiastas, y los desarrolladores actuales de GTK se centran principalmente en la compatibilidad con Wayland. Los desarrolladores de sistemas interesados ​​en trabajar en entornos basados ​​en el protocolo X11 pueden tomar el mantenimiento en sus propias manos y extender su soporte en GTK, pero dada la actividad actual, el escenario será que habrá quienes quieran tomar el mantenimiento del backend X11. en sus propias manos se considera improbable.

Actualmente, GTK ya está posicionando a Wayland como la principal plataforma de desarrollo de funcionalidades y APIs. Debido a la falta de actividad en el desarrollo del protocolo X11, mientras deja su soporte en GTK, el backend X11 generará una acumulación cada vez mayor en términos de nuevas funcionalidades disponibles para los desarrolladores, o se convertirá en un obstáculo para la implementación de nuevas características en GTK.

Cabe mencionar que de acuerdo con las estadísticas del servicio Firefox Telemetry, que analiza los datos recibidos como resultado del envío de telemetría y de los usuarios que acceden a los servidores de Mozilla, la proporción de usuarios de Firefox en Linux que trabajan en entornos basados ​​en el protocolo Wayland no supera el 10 %.

El 90% de los usuarios de Firefox en Linux continúan usando el protocolo X11. Un entorno Wayland puro es utilizado por alrededor del 5-7% de los usuarios de Linux, y XWayland por alrededor del 2%.

La información utilizada para el informe cubre aproximadamente el 1 % de la telemetría recibida de los usuarios de Firefox en Linux. El resultado puede verse muy afectado al deshabilitar la telemetría en paquetes con Firefox que se ofrecen en algunas distribuciones de Linux (la telemetría está habilitada en Fedora).

Por su parte KDE planea en 2022 llevar la sesión de escritorio Plasma basada en el protocolo Wayland a un estado adecuado para el uso diario de una proporción significativa de usuarios. La compatibilidad significativamente mejorada para Wayland en las versiones KDE Plasma 5.24 y 5.25, incluida la compatibilidad con profundidades de color superiores a 8 bits por canal, «arrendamiento DRM» para auriculares VR, compatibilidad para tomar capturas de pantalla y minimizar todas las ventanas.

Fuente: You are not allowed to view links. Register or Login

48

El Proyecto Raspberry Pi presento recientemente una nueva placa llamada «Raspberry Pi Pico W», que continúa con el desarrollo de la placa Pico en miniatura, equipada con un microcontrolador RP2040 patentado.

La nueva edición se distingue por la integración de soporte Wi-Fi (2.4GHz 802.11n), implementado sobre la base del chip Infineon CYW43439. El chip CYW43439 también es compatible con Bluetooth Classic y Bluetooth Low-Energy, pero aún no están incluidos en la placa.

Quote
Hoy presentamos a tres nuevos miembros de la familia Pico. Raspberry Pi Pico W tiene un precio de $ 6 y trae redes inalámbricas 802.11n a la plataforma Pico, al tiempo que conserva la compatibilidad completa de pines con su hermano mayor. Pico H ($5) y Pico WH ($7) agregan encabezados precargados y nuestro nuevo conector de depuración de 3 pines a Pico y Pico W respectivamente. Pico H y Pico W están disponibles hoy; Pico WH seguirá en agosto.

Sobre Raspberry Pi Pico W

El chip RP2040 incluye un procesador ARM Cortex-M0+ (133 MHz) de doble núcleo con 264 KB de RAM integrada (SRAM), un controlador DMA, un sensor de temperatura, un temporizador y un controlador USB 1.1.

La placa contiene 2 MB de memoria Flash, pero el chip admite una expansión de hasta 16 MB. Para I/O, se proporcionan puertos GPIO (30 pines, de los cuales 4 están asignados para entrada analógica), UART, I2C, SPI, USB (cliente y host con soporte para arrancar desde unidades en formato UF2) y PIO especializado de 8 pines (Máquinas de estado de E/S programables) para conectar sus propios periféricos. La energía se puede suministrar en el rango de 1,8 a 5,5 voltios, lo que le permite usar una variedad de fuentes de energía, incluidas dos o tres baterías AA convencionales o baterías de iones de litio estándar.

Quote
Para los desarrolladores de C, el lanzamiento de hoy de Pico SDK incluye compatibilidad con redes inalámbricas. La pila de red está construida alrededor de lwIP y usa libcyw43 de Damien George (del famoso MicroPython) para comunicarse con el chip inalámbrico. De forma predeterminada, libcyw43 tiene licencia para uso no comercial, pero los usuarios de Pico W y cualquier otra persona que desarrolle su producto en torno a RP2040 y CYW43439 se benefician de una licencia de uso comercial gratuita.

Pico H hero parte superior diagonal frontal
Parte inferior inferior del héroe Pico H
Los usuarios de MicroPython pueden descargar una imagen UF2 actualizada con soporte de red para Pico W.

Las aplicaciones se pueden crear utilizando C, C++ o MicroPython. El port MicroPython para Raspberry Pi Pico se preparó en conjunto con el autor del proyecto y es compatible con todas las funciones del chip, incluida su propia interfaz para conectar extensiones PIO.

Para el desarrollo del chip RP2040 utilizando MicroPython, se ha adaptado el entorno de programación integrado Thonny. Las capacidades del chip son suficientes para ejecutar aplicaciones para resolver problemas de aprendizaje automático, para cuyo desarrollo se ha preparado un port del marco TensorFlow Lite. Para el acceso a la red, se propone utilizar la pila de red lwIP , que se incluye en la nueva versión del Pico SDKpara el desarrollo de aplicaciones en lenguaje C, así como en el nuevo firmware con MicroPython.

Quote
Este firmware UF2 que estamos poniendo a disposición para Pico W es una versión separada del firmware MicroPython existente para nuestra placa Pico original. Estaremos transmitiendo los cambios al repositorio principal de MicroPython poco después del lanzamiento.

Para quienes estén interesados en poder obtener una pieza o varias, deben saber que el costo de la nueva placa es de $6, que es dos dólares más que la primera opción.

De las áreas de aplicación, además de compartir con computadoras Raspberry Pi, desarrollar sistemas embebidos y sistemas de control para diversos dispositivos, la opción Wi-Fi se posiciona como una plataforma para crear dispositivos de Internet of Things (Internet of Things) que interactúan sobre una la red.

Fuente: You are not allowed to view links. Register or Login

49
Windows / Re: Como descargar todas las ISO de Windows y Office
« on: July 02, 2022, 09:56:51 pm »
You are not allowed to view links. Register or Login
Buenass, como va? Una consulta, alguien pudo hacer la activación de los office? Porque a mi se me complicó un poco :-[

Hola ¿Qué problema tienes?

50

La anunció ya, pero aún no ha llegado a todas las instalaciones existentes. Uno de los alumnos más exitosos de Arch Linux ha lanzado manjaro 2022-06-24 , una nueva actualización para su rama estable. Y es que, hablando de sucursales, últimamente se está dejando muy poco tiempo entre el lanzamiento de un "test" al del "stable". Me parece recordar que el anterior llegó dos días después, pero esta versión estable llegó solo un día después de la versión de prueba, el segundo cortafuegos después de la rama “inestable”.

Personalmente, este lanzamiento me ha sorprendido. Primero, porque al igual que el anterior, ha llegado muy pronto tras una “prueba”; Además, esta semana lanzaron Plasma 5.25.1, por lo que esperaba que lanzaran la nueva versión estable cuando la versión de escritorio de KDE estuviera lista. Según la lista de novedades no se ha incluido Plasma 5.25 (se dice que hay retrocesos y prefieren esperar), pero sí tiene Cinnamon 5.4 en lo que creo que es lo más destacado de Manjaro 2022-06-24.

Lo más destacado de Manjaro 2022-06-24

Lo más destacado de Manjaro 2022-06-24, que viene después de la versión del 12 de junio , es el siguiente:

- Han actualizado algunos de los núcleos.
- KDE Frameworks ahora está en 5.95.
- Cinnamon 5.4 se ha subido a los repositorios oficiales.
- Se ha incluido una actualización para Qt5 que debe reconstruirse. El equipo de desarrolladores solicita comentarios de los usuarios si se encuentran con algún problema.
- gstreamer ahora está en la versión 1.20.3.
- Actualizaciones periódicas sobre Haskell y  Python

En el momento de escribir este artículo, los nuevos paquetes aún no han llegado, pero deberían llegar en algún momento de a cada una de los usuarios. Es una nueva actualización para Ruah, el nombre en clave de Manjaro 21.3, la última ISO que está disponible en el sitio web oficial. Para actualizar, una vez que aparecen los paquetes, basta con abrir Pamac , ir a la sección de actualizaciones e instalar todo lo que aparece. También se puede instalar con el comando sudo pacman -Syu, aunque para Manjaro es más recomendable usar Pamac, incluso en su versión CLI.

Fuente: You are not allowed to view links. Register or Login

51
Noticias Informáticas / Lanzada la nueva versión de KaOS 2022.06
« on: June 28, 2022, 02:56:00 pm »

El lanzamiento de la nueva versión estable de KaOS 2022.06, la cual viene con una gran cantidad de cambios, de los cuales se destacan los cambios en la base del sistema, así como en los componentes e interfaz de usuario.

Para aquellos  que no conocen Shirt , deben saber que esta es una distribución que fue creada por Anke "Demm" Boersma , quien inicialmente trabajó en Chrakra Linux.  KaOS a diferencia de otras distribuciones fue desarrollado desde cero . Según sus desarrolladores, su objetivo es ser más diferenciado. Entre ellos, una selección limitada de aplicaciones o soporte exclusivo para arquitectura de 64 bits.

KaOS se caracteriza por ser una distribución independiente de Linux  que  incluye la última versión del entorno de escritorio KDE Plasma  y otros programas de software populares que utilizan el kit de herramientas Qt.

El empaquetado lo gestiona el propio equipo, solo para las versiones estables, y lo controla el instalador de Pacman. KaOS utiliza un modelo de desarrollo de publicación Rolling Relase  y solo está disponible para sistemas de 64 bits.

Principales novedades de KaOS 2022.06

En esta nueva versión que se presenta, se destaca que se actualizó el instalador de Calamares a la rama 3.3 y se mejoró la instalación en particiones encriptadas , además se mejoró la integración con KPMCore, se fortaleció el soporte de LUKS, y ahora existe la opción de no cifrar la partición de arranque al elegir el cifrado para la instalación. También se han implementado algunas mejoras enOtro cambio que destaca es la implementación de la actualización Plasma 5.25 . KDE Plasma 5.25 rediseña y mejora la forma en que navega entre ventanas y espacios de trabajo. El efecto Resumen muestra todas sus ventanas abiertas y escritorios virtuales.

Además, también podemos encontrar las actualizaciones de KDE Frameworks 5.95, KDE Gear 22.04.2 y Qt 5.15.5 con parches del proyecto KDE (también se incluye Qt 6.3.1) y versiones de paquetes actualizadas, incluyendo Glibc 2.35, GCC 11.3 .0, Binutils 2.38, DBus 1.14.0, Systemd 250.7, Nettle 3.8, se ha actualizado el kernel de linux o a la versión 5.17.15

Además, se observa que durante la instalación de paquetes, puede ver una presentación de diapositivas con una descripción general del kit de distribución o ver el registro de instalación.

De los otros cambios que destacan de esta nueva versión: la GUI.

- El proceso en segundo plano de IWD se usa en lugar de wpa_supplicant para administrar las conexiones inalámbricas
Midna, el tema Plasma utilizado en KaOS recibió algunos cambios (en parte para prepararse para Plasma 5.25), el mayor cambio visual fue la adición de un teclado virtual muy bien integrado en la pantalla de inicio de sesión y bloqueo.
- Pantalla de inicio de sesión actualizada con teclado virtual integrado
- Para Nvidia, se agrega una nueva versión de soporte a largo plazo a este ISO, 470xx. El cambio de Nvidia a 495 significó el final del soporte para las tarjetas basadas en Kepler, por lo tanto, la necesidad de agregar una nueva versión heredada.

Finalmente , para aquellos interesados ​​en saber más sobre este lanzamiento, pueden consultar los detalles dentro del anuncio oficial en su pagina oficial.

Fuente: You are not allowed to view links. Register or Login

52

El malware Raccoon Stealer está de regreso con una segunda versión importante que circula en los foros de ciberdelincuencia y ofrece a los piratas informáticos una funcionalidad mejorada para robar contraseñas y una capacidad operativa mejorada.

La operación Raccoon Stealer se  cerró en marzo de 2022  cuando sus operadores anunciaron que uno de los desarrolladores principales murió durante la invasión rusa de Ucrania.

El equipo restante prometió regresar con una segunda versión, relanzando el proyecto MaaS (malware como servicio) en una infraestructura mejorada y con más capacidades.

Según los analistas de seguridad de  Sekoia , Raccoon Stealer 2.0 ahora se promociona en Telegram y foros de piratería, con las primeras muestras capturadas por analistas de malware a principios de este mes.

El resurgimiento silencioso de mapache

El administrador del proyecto publicó un adelanto el 2 de junio de 2022, informando a la comunidad que las pruebas de Raccoon Stealer 2.0 han estado en marcha durante dos semanas y que los "clientes" están contentos con la versión beta.


El representante de Raccoon anunció el éxito de la beta (KELA)

Según los autores del malware, la nueva versión de Raccoon se creó desde cero usando C/C++, con un nuevo back-end, front-end y código para robar credenciales y otros datos.

Los analistas discutieron una nueva detección de familia de malware en Twitter el 8 de junio de 2022, quienes asignaron el nombre "RecordBreaker", sin darse cuenta de que esta es la próxima versión principal de Raccoon Stealer.

El análisis técnico de Sekoia ahora confirma que esta muestra de 56 KB es el nuevo Raccoon, capaz de funcionar en sistemas de 32 y 64 bits sin ninguna dependencia, y solo obtiene ocho archivos DLL legítimos de sus servidores C2.

El C2 también proporciona al malware su configuración (aplicaciones a las que apuntar, URL que aloja las DLL, token para la exfiltración de datos), recibe datos de huellas dactilares de la máquina y luego espera solicitudes POST individuales que contienen información robada.


Intercambio de datos de Raccoon Stealer con el C2 (Sekoia)

Los datos robados por Raccoon Stealer 2.0 incluyen lo siguiente:

- Información básica de huellas dactilares del sistema.
- Contraseñas del navegador, cookies, datos de autocompletar y tarjetas de crédito guardadas.
- Carteras de criptomonedas y extensiones de navegador web, incluidas MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC y ElectronCash.
- Archivos individuales ubicados en todos los discos.
- Captura de pantalla.
- Lista de aplicaciones instaladas.

Si bien los autores del malware afirman que los datos extraídos se cifran, Sekoia no observó ninguna función de este tipo en la muestra analizada.

Lo que destaca es que el nuevo Raccoon envía datos cada vez que recopila un elemento nuevo, lo que aumenta el riesgo de detección pero garantiza la máxima eficacia hasta que se descubre el malware y se elimina del host.

Es probable que vea un mayor uso

La salida de Raccoon Stealer del mercado fue tan breve que uno diría más bien una pausa temporal, por lo que ni su reputación ni el interés de los ciberdelincuentes se han desvanecido.

Mientras que otros ladrones de información aparecieron durante la pausa de Raccoon Stealer, como  Mars Stealer y Jester Stealer , ninguno de ellos tuvo la oportunidad de alcanzar la notoriedad y reputación de Raccoon.

“Esperamos un resurgimiento de Raccoon Stealer v2, ya que los desarrolladores implementaron una versión adaptada a las necesidades de los ciberdelincuentes (eficiencia, rendimiento, capacidades de robo, etc.) y escalaron sus servidores troncales para manejar grandes cargas”, comenta Sekoia en el informe.

Finalmente, es esencial tener en cuenta que la segunda versión principal de Raccoon Stealer actualmente solo está disponible para un número limitado de piratas informáticos, probablemente clientes anteriores. El costo se establece en $275/mes o $125/semana.


Anuncio de beta de Raccoon en Telegram
(Sekoia)

Sus operadores han optado por no anunciar la amplia disponibilidad de Raccoon todavía, posiblemente porque todavía están trabajando en algunos aspectos del malware.

Sekoia destaca la ausencia de mecanismos modernos de evitación de detección y antianálisis en la muestra examinada, por lo que estos podrían implementarse a continuación.

Fuente: You are not allowed to view links. Register or Login

53

Un troyano de acceso remoto (RAT) multietapa recientemente descubierto, denominado ZuoRAT, se ha utilizado para atacar a trabajadores remotos a través de enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) en América del Norte y Europa sin ser detectado desde 2020.

En un informe de hoy, los investigadores de seguridad de Black Lotus Labs de Lumen que detectaron el malware dijeron que la complejidad de esta campaña altamente dirigida y las tácticas, técnicas y procedimientos (TTP) de los atacantes son el sello distintivo de un actor de amenazas respaldado por el estado.

El inicio de esta campaña se alinea aproximadamente con un cambio rápido al trabajo remoto después del comienzo de la pandemia de COVID-19 que aumentó drásticamente la cantidad de enrutadores SOHO (incluidos ASUS, Cisco, DrayTek y NETGEAR) utilizados por los empleados para acceder a los activos corporativos. desde casa.

"Esto le dio a los actores de amenazas una nueva oportunidad de aprovechar los dispositivos domésticos, como los enrutadores SOHO, que se usan mucho pero rara vez se monitorean o reparan, para recopilar datos en tránsito, secuestrar conexiones y comprometer dispositivos en redes adyacentes", dice Lumen .

"El cambio repentino al trabajo remoto impulsado por la pandemia permitió que un adversario sofisticado aprovechara esta oportunidad para subvertir la postura tradicional de defensa en profundidad de muchas organizaciones bien establecidas".

Una vez desplegado en un enrutador (sin parchear contra fallas de seguridad conocidas) con la ayuda de un script de explotación de omisión de autenticación, el malware ZuoRAT de múltiples etapas proporcionó a los atacantes capacidades de reconocimiento de red en profundidad y recopilación de tráfico a través de un rastreo de red pasivo.

ZuoRAT también permite moverse lateralmente para comprometer otros dispositivos en la red y desplegar cargas útiles maliciosas adicionales (como las balizas Cobalt Strike) mediante el secuestro de DNS y HTTP.

Dos troyanos personalizados más fueron entregados en dispositivos pirateados durante estos ataques: uno basado en C++ llamado CBeacon dirigido a estaciones de trabajo de Windows y uno basado en Go denominado GoBeacon que probablemente podría infectar sistemas Linux y Mac además de dispositivos Windows.


Campaña ZuoRAT (Lumen Black Lotus Labs)

"Las capacidades demostradas en esta campaña: obtener acceso a dispositivos SOHO de diferentes marcas y modelos, recopilar información de host y LAN para orientar, muestrear y secuestrar comunicaciones de red para obtener acceso potencialmente persistente a dispositivos en tierra y robar intencionalmente la infraestructura C2 aprovechando múltiples Las comunicaciones de enrutador a enrutador en silos apuntan a un actor altamente sofisticado que, según nuestra hipótesis, ha estado viviendo sin ser detectado en el borde de las redes objetivo durante años", agregaron los investigadores .

El malware adicional implementado en los sistemas dentro de las redes de las víctimas (es decir, CBeacon, GoBeacon y Cobalt Strike) proporcionó a los actores de amenazas la capacidad de descargar y cargar archivos, ejecutar comandos arbitrarios, secuestrar tráfico de red, inyectar nuevos procesos y ganar persistencia en dispositivos comprometidos.

Algunos enrutadores comprometidos también se agregaron a una red de bots y se usaron para controlar el tráfico de comando y control (C2) para obstaculizar los esfuerzos de detección de los defensores.

Según la edad de las muestras enviadas por VirusTotal y la telemetría de Black Lotus Labs durante nueve meses, los investigadores estiman que la campaña ha impactado hasta ahora en al menos 80 objetivos.

"Las organizaciones deben vigilar de cerca los dispositivos SOHO y buscar cualquier signo de actividad descrito en esta investigación", dijo Mark Dehus, director de inteligencia de amenazas de Black Lotus Labs.

"Este nivel de sofisticación nos lleva a creer que esta campaña podría no estar limitada a la pequeña cantidad de víctimas observadas. Para ayudar a mitigar la amenaza, deben asegurarse de que la planificación de parches incluya enrutadores y confirmar que estos dispositivos ejecutan el último software disponible".

Fuente: You are not allowed to view links. Register or Login

54

CODESYS ha lanzado parches para abordar hasta 11 fallas de seguridad que, si se explotan con éxito, podrían provocar la divulgación de información y una condición de denegación de servicio (DoS), entre otras.

"Estas vulnerabilidades son fáciles de explotar y pueden explotarse con éxito para causar consecuencias como la fuga de información confidencial, los PLC que ingresan en un estado de falla grave y la ejecución de código arbitrario", dijo la firma china de ciberseguridad NSFOCUS . "En combinación con los escenarios industriales en el campo, estas vulnerabilidades podrían exponer la producción industrial al estancamiento, daños a los equipos, etc."

CODESYS es un paquete de software utilizado por especialistas en automatización como entorno de desarrollo para aplicaciones de controladores lógicos programables ( PLC ).

Luego de la divulgación responsable entre septiembre de 2021 y enero de 2022, la compañía de software alemana envió las correcciones la semana pasada el 23 de junio de 2022. Dos de los errores se califican como críticos, siete como altos y dos como de gravedad media. Los problemas afectan colectivamente a los siguientes productos:

- Sistema de desarrollo CODESYS anterior a la versión V2.3.9.69
- CODESYS Gateway Client anterior a la versión V2.3.9.38
- CODESYS Gateway Server anterior a la versión V2.3.9.38
- Servidor web CODESYS anterior a la versión V1.1.9.23
- CODESYS SP Realtime NT anterior a la versión V2.3.7.30
- CODESYS PLCWinNT anterior a la versión V2.4.7.57, y
- CODESYS Runtime Toolkit de 32 bits completo antes de la versión V2.4.7.57

Las principales fallas son CVE-2022-31805 y CVE-2022-31806 (puntuaciones CVSS: 9.8), que se relacionan con el uso de texto claro de contraseñas utilizadas para autenticarse antes de realizar operaciones en los PLC y una falla para habilitar la protección con contraseña de forma predeterminada. en el sistema de tiempo de ejecución de CODESYS Control respectivamente.


Explotar las debilidades no solo podría permitir que un actor malicioso tome el control del dispositivo PLC de destino, sino también descargar un proyecto no autorizado a un PLC y ejecutar código arbitrario.

La mayoría de las otras vulnerabilidades (desde CVE-2022-32136 hasta CVE-2022-32142) podrían ser armadas por un atacante previamente autenticado en el controlador para provocar una condición de denegación de servicio.

En un aviso separado publicado el 23 de junio, CODESYS dijo que también solucionó otras tres fallas en CODESYS Gateway Server (CVE-2022-31802, CVE-2022-31803 y CVE-2022-31804) que podrían aprovecharse para enviar solicitudes diseñadas a omitir la autenticación y bloquear el servidor.

Además de aplicar los parches de manera oportuna, se recomienda "ubicar los productos afectados detrás de los dispositivos de protección de seguridad y realizar una estrategia de defensa en profundidad para la seguridad de la red".

Fuente: You are not allowed to view links. Register or Login

55

El sindicato Black Basta ransomware-as-a-service (RaaS) ha acumulado casi 50 víctimas en los EE. UU., Canadá, el Reino Unido, Australia y Nueva Zelanda en los dos meses posteriores a su aparición en la naturaleza, lo que lo convierte en una amenaza prominente en un ventana corta.

"Se ha observado que Black Basta apunta a una variedad de industrias, incluidas la fabricación, la construcción, el transporte, las empresas de telecomunicaciones, los productos farmacéuticos, los cosméticos, la plomería y la calefacción, los concesionarios de automóviles, los fabricantes de ropa interior y más", dijo Cybereason en un informe.

Al igual que otras operaciones de ransomware, se sabe que Black Basta emplea la táctica comprobada de doble extorsión para robar información confidencial de los objetivos y amenazar con publicar los datos robados a menos que se realice un pago digital.

Un nuevo participante en el ya abarrotado panorama de ransomware, las intrusiones que involucran la amenaza han aprovechado QBot (también conocido como Qakbot ) como un conducto para mantener la persistencia en los hosts comprometidos y recolectar credenciales, antes de moverse lateralmente a través de la red e implementar el malware de cifrado de archivos.

Además, los actores detrás de Black Basta han desarrollado una variante de Linux diseñada para atacar las máquinas virtuales (VM) VMware ESXi que se ejecutan en servidores empresariales, poniéndolo a la par con otros grupos como LockBit, Hive y Cheerscrypt.

Los hallazgos se producen cuando el sindicato ciberdelincuente agregó Elbit Systems of America, un fabricante de soluciones de defensa, aeroespaciales y de seguridad, a la lista de sus víctimas durante el fin de semana, según el investigador de seguridad Ido Cohen.

Se dice que Black Basta está compuesto por miembros que pertenecen al grupo Conti después de que este último cerrara sus operaciones en respuesta a un mayor escrutinio policial y una filtración importante que vio sus herramientas y tácticas pasar al dominio público después de ponerse del lado de Rusia en la guerra del país contra Ucrania.


“No puedo dispararle a nada, pero puedo pelear con un teclado y un mouse”, dijo a CNN en marzo de 2022 el especialista informático ucraniano detrás de la filtración, que usa el seudónimo de Danylo y lanzó el tesoro de datos como una forma de retribución digital . .

Desde entonces, el equipo de Conti ha refutado que está asociado con Black Basta. La semana pasada, desmanteló lo último de su infraestructura pública restante, incluidos dos servidores Tor utilizados para filtrar datos y negociar con las víctimas, lo que marca el final oficial de la empresa criminal.

Mientras tanto, el grupo continuó manteniendo la fachada de una operación activa apuntando al gobierno de Costa Rica , mientras que algunos miembros hicieron la transición a otros equipos de ransomware y la marca experimentó una renovación organizacional que la ha llevado a dividirse en subgrupos más pequeños con diferentes motivaciones y negocios. modelos que van desde el robo de datos hasta el trabajo como afiliados independientes.

Según un informe completo de Group-IB que detalla sus actividades, se cree que el grupo Conti ha victimizado a más de 850 entidades desde que se observó por primera vez en febrero de 2020, comprometiendo a más de 40 organizaciones en todo el mundo como parte de una juerga de piratería "rápida como un rayo". que duró del 17 de noviembre al 20 de diciembre de 2021.

Apodado " ARMattack " por la empresa con sede en Singapur, las intrusiones se dirigieron principalmente contra organizaciones estadounidenses (37 %), seguidas de Alemania (3 %), Suiza (2 %), los Emiratos Árabes Unidos (2 %), los Países Bajos, España, Francia, República Checa, Suecia, Dinamarca e India (1% cada uno).


Los cinco principales sectores a los que históricamente se ha dirigido Conti han sido la fabricación (14 %), el sector inmobiliario (11,1 %), la logística (8,2 %), los servicios profesionales (7,1 %) y el comercio (5,5 %), y los operadores destacan específicamente a las empresas. en EE. UU. (58,4 %), Canadá (7 %), Reino Unido (6,6 %), Alemania (5,8 %), Francia (3,9 %) e Italia (3,1 %).


"El aumento de la actividad de Conti y la fuga de datos sugieren que el ransomware ya no es un juego entre desarrolladores de malware promedio, sino una industria RaaS ilícita que da trabajo a cientos de ciberdelincuentes en todo el mundo con diversas especializaciones", dijo Ivan Pisarev de Group-IB.

"En esta industria, Conti es un jugador notorio que de hecho ha creado una 'compañía de TI' cuyo objetivo es extorsionar grandes sumas. Está claro [...] que el grupo continuará sus operaciones, ya sea solo o con la ayuda de sus proyectos 'subsidiarios'".

Fuente: You are not allowed to view links. Register or Login

56

Hace poco se dio a conocer la noticia de que Google ha comenzado a distribuir un nuevo firmware basado en el sistema operativo Fuchsia para los marcos de fotos inteligentes «Nest Hub Max» lanzado desde 2019.

Se menciona que en esta primera etapa, el firmware basado en Fuchsia comenzará a entregarse a los participantes en el programa de «vista previa» de Google y, si no hay problemas imprevistos durante la implementación de prueba, el firmware se aplicará a los dispositivos de otros usuarios de Nest Hub Max.

Para quienes desconocen de Nest Hub Max, deben saber que este es el segundo dispositivo de consumo que cuenta con el sistema operativo Fuchsia.

El primer firmware basado en Fuchsia recibido hace un año fue el modelo Nest Hub, que presenta una pantalla más pequeña y la ausencia de una cámara de video incorporada que se usa en un sistema de videovigilancia y seguridad.

A pesar del reemplazo del sistema operativo en el firmware, la interfaz de usuario y la funcionalidad se conservan por completo y los usuarios finales no deberían notar ninguna diferencia, ya que la interfaz se basa en el marco Flutter y se abstrae de los componentes de bajo nivel.

Esta actualización de reemplazo del sistema operativo para Nest Hub Max ha estado en desarrollo al menos desde diciembre del año pasado. A partir de esta semana, está disponible para un pequeño grupo de usuarios inscritos en el Programa de versión preliminar. Es probable que Google planee buscar cualquier problema potencial antes de continuar con una implementación más amplia.

Anteriormente, los dispositivos Nest Hub Max, que combinan las funciones de un marco de fotos, un sistema multimedia y una interfaz de control inteligente del hogar, usaban firmware basado en Cast shell y el kernel de Linux.

Fuchsia OS ha sido desarrollado por Google desde 2016, teniendo en cuenta las debilidades de escalabilidad y seguridad de la plataforma Android.

El sistema se basa en el microkernel Zircon, basado en los desarrollos del proyecto LK, extendido para su uso en varias clases de dispositivos, incluidos teléfonos inteligentes y computadoras personales. Zircon amplía LK con soporte para procesos y bibliotecas compartidas, un nivel de usuario, un sistema de manejo de objetos y un modelo de seguridad basado en capacidades.

Los controladores se implementan como bibliotecas dinámicas de espacio de usuario cargadas por el proceso devhost y administradas por el administrador de dispositivos (devmg, Device Manager).

Fuchsia tiene su propia interfaz gráfica escrita en Dart usando el framework Flutter. El proyecto también desarrolla el marco de interfaz de usuario de Peridot, el administrador de paquetes Fargo, la biblioteca estándar libc, el sistema de renderizado Escher, el controlador Magma Vulkan, el administrador compuesto Scenic, MinFS, MemFS, ThinFS (lenguaje FAT en Go) y el archivo Blobfs, así como el administrador de particiones FVM. Para el desarrollo de aplicaciones, se proporciona soporte para C / C ++, Dart, también se permite Rust en los componentes del sistema, en la pila de red Go y en el sistema de compilación del lenguaje Python.

El proceso de inicio utiliza un administrador del sistema que incluye appmgr para crear el entorno de software inicial, sysmgr para crear el entorno de inicio y basemgr para configurar el entorno de usuario y organizar el inicio de sesión.

Para garantizar la seguridad, se propone un sistema avanzado de aislamiento de sandbox, en el que los nuevos procesos no tienen acceso a los objetos del kernel, no pueden asignar memoria y no pueden ejecutar código, y se utiliza un sistema de espacio de nombres para acceder a los recursos, que determina los permisos disponibles.

La plataforma proporciona un marco para crear componentes, que son programas que se ejecutan en su sandbox y que pueden interactuar con otros componentes a través de IPC.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar el You are not allowed to view links. Register or Login, en el cual puedes conocer el estado del firmware para algunos de los dispositivos de google.

Fuente: You are not allowed to view links. Register or Login

57

La nueva versión del proyecto EndeavorOS 22.6 «Artemis«, que reemplazó a la distribución Antergos, cuyo desarrollo se interrumpió en mayo de 2019 debido a la falta de tiempo libre de los mantenedores restantes para mantener el proyecto en el nivel adecuado.

Endeavor OS permite al usuario instalar fácilmente Arch Linux con el escritorio necesario en la forma en que está concebido en su relleno regular, ofrecido por los desarrolladores del escritorio seleccionado, sin programas preinstalados adicionales.

La distribución ofrece un instalador sencillo para instalar un entorno Arch Linux básico con un escritorio Xfce por defecto y la posibilidad de instalar desde el repositorio uno de los típicos escritorios basados ​​en Mate, LXQt, Cinnamon, KDE Plasma, GNOME, Budgie, así como i3 administradores de ventanas de mosaico, BSPWM y Sway.

Se está trabajando para agregar soporte para los administradores de ventanas Qtile y Openbox, los escritorios UKUI, LXDE y Deepin. Asimismo, uno de los desarrolladores del proyecto está desarrollando su propio gestor de ventanas Worm.

Principales novedades de EndeavorOS 22.6 «Artemis»

Quote
Estamos orgullosos de presentarles el lanzamiento de Artemis, que lleva el nombre de la próxima misión de la NASA a la luna y me refiero a esa misión por una razón, pero hablaremos de eso más adelante.

Artemis es nuestra versión de actualización ISO regular, por lo que los usuarios que ya están ejecutando EndeavourOS no tienen que instalar esta versión, ya está actualizado.

Además de las actualizaciones periódicas y mejoras en la ISO y el proceso de instalación, esta versión es la primera ISO que acerca a EndeavourOS ARM a la versión principal.

En esta nueva versión que se presenta, se destaca que se ha realizado una compilación desarrollada por separado para la arquitectura ARM, ademas de que se mejoró el proceso de instalación la cual incluye una opción de instalación integrada en la aplicación de bienvenida de la ISO principal.

El método requiere dos sencillos pasos, el primero es la instalación básica que usa un script automatizado fácil de usar en la terminal y el segundo paso usa el instalador de Calamares para instalar la ubicación, el teclado, DE/WM y el nombre de usuario/computadora y contraseña.

El nuevo instalador aún está en versión beta y el instalador solo es compatible con Odroid N2/N2+ y Raspberry PI en este momento. El soporte para otros dispositivos como la familia Pinebook  estaría llegando próximamente.

Otro de los cambios que se destaca de esta nueva versión, es que se ha trabajado en la mejora de la actualización de los paquetes principales para ensamblados ARM y x86_64, así como en el mantenimiento de los repositorios para ARM y x86_64 en estado sincronizado. Se espera que la compilación ARM se convierta en una compilación convencional en un futuro cercano.

Ademas de ello, se menciona que se actualizaron las versiones del paquete, incluido el kernel de Linux 5.18.5, el instalador de Calamares 3.2.60, Firefox 101.0.1, Mesa 22.1.2, Xorg-Server 21.1.3 y nvidia-dkms 515.48.07.

Por otra parte, tambien se destaca que en lugar de pipewire-media-session, el administrador de sesiones de audio WirePlumber se utiliza para configurar dispositivos de audio y controlar el enrutamiento de las transmisiones de audio.

De los demás cambios que se destacan de esta nueva versión:

- En configuraciones con entornos de usuario Xfce4 e i3, la ejecución automática del firewall-applet está deshabilitada de forma predeterminada.
- Proporcionó la capacidad de revertir paquetes a versiones anteriores.
- Instalación de Xfce reelaborada en modo fuera de línea.
- El configurador del centro de control de periquitos se ha agregado al repositorio para su uso con el entorno personalizado de Budgie.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en su pagina oficial.

Fuente: You are not allowed to view links. Register or Login

58

Hace poco, el creador de la distribución de Linux, «GeckoLinux» ha presentado una nueva distribución llamada «SpiralLinux» la cual fue creada a partir de la base de paquetes de Debian GNU/Linux.

La distribución se presenta con 7 compilaciones Live listas para usar que vienen con escritorios Cinnamon, Xfce, GNOME, KDE Plasma, Mate, Budgie y LXQt que están optimizados para una mejor experiencia de usuario.


El creador del proyecto GeckoLinux, menciona que Gecko seguirá manteniéndose, por lo que el lanzamiento de SpiralLinux no debe alarmar a los usuarios de Gecko y que la introduccion de una nueva distro es un intento de mantener las cosas como están en caso de que openSUSE deje de existir o se transforme en un producto fundamentalmente diferente, en línea con los próximos planes para una revisión importante de SUSE y openSUSE.

Ademas de ello menciona que la razón del porqué se eligió Debian como base, es debido a que es una distribución estable, flexiblemente adaptable y bien mantenida. Al mismo tiempo, se observa que los desarrolladores de Debian no están lo suficientemente enfocados en la conveniencia del usuario final, razón por la cual se crearon distribuciones derivadas, cuyos autores están tratando de hacer que el producto sea más amigable para los consumidores comunes.


A diferencia de proyectos como Ubuntu y Linux Mint, SpiralLinux no intenta desarrollar su propia infraestructura, sino que trata de mantenerse lo más cerca posible de Debian. SpiralLinux usa paquetes del núcleo de Debian y usa los mismos repositorios, pero ofrece diferentes configuraciones predeterminadas para todos los principales entornos de escritorio disponibles en los repositorios de Debian.

Por lo tanto, al usuario se le ofrece una opción alternativa para instalar Debian, que se actualiza desde los repositorios regulares de Debian, pero ofrece un conjunto de configuraciones que son más óptimas para el usuario.

Por la parte de las características de SpiralLinux, se mencionan las siguientes:

- Imágenes instalables en vivo de DVD/USB de aproximadamente 2 GB personalizadas para entornos de escritorio populares.
- Uso de paquetes Debian Stable con paquetes preinstalados de Debian Backports para admitir hardware más nuevo.
- Posibilidad de actualizar a las ramas Debian Testing o Unstable con solo unos pocos clics.
- Diseño óptimo de las subsecciones Btrfs con compresión Zstd transparente e instantáneas automáticas de Snapper cargadas a través de GRUB para revertir los cambios.
- Un administrador gráfico para paquetes Flatpak y preconfigurado para aplicar a los paquetes Flatpak.
- La representación de fuentes y la configuración de color se han optimizado para una legibilidad óptima.
- Códecs de medios patentados preinstalados listos para usar y repositorios de paquetes Debian «no libres».
- Soporte de hardware extendido con una amplia gama de firmware preinstalado.
- Soporte extendido para impresoras con derechos de administración de impresora simplificados.
- Habilitación del paquete TLP para optimizar el consumo de energía.
- Inclusión en VirtualBox.
- Cuena con la compresión de intercambio mediante la tecnología zRAM para mejorar el rendimiento en hardware antiguo.
- Brindar a los usuarios comunes la oportunidad de trabajar y administrar el sistema sin acceder a la terminal.
- Totalmente vinculado a la infraestructura de Debian, evitando así la dependencia de desarrolladores individuales.
- Soporte para una actualización perfecta de un sistema instalado a futuras versiones de Debian mientras se mantiene la configuración única de SpiralLinux.
- Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva distribucion, puedes consultar los detalles en su página oficial.

Fuente: You are not allowed to view links. Register or Login

59

Bien podría parecer el argumento de un capítulo de Black Mirror, pero no, es real. En la conferencia re:Mars de Amazon se ha dado a conocer una funcionalidad del asistente de voz Alexa por la cual podrá imitar voces humanas, sin importar si siguen vivas o no.

El máximo responsable del desarrollo de Alexa, Rohit Prasad, anunció esta característica entre otras próximas para el asistente de voz de Amazon.

Alexa será capaz de imitar voces

Esta nueva característica, que llegará en el futuro, puede sintetizar la voz desde clips de audio cortos que se tengan de una persona y poder reproducir sus características de tono en un discurso más largo. Con solamente un minuto de voz, la nueva tecnología puede conseguir resultados muy próximos a los de la persona.


La polémica viene del hecho de que esto puede ser utilizado incluso con personas fallecidas de las que se conserve algún audio. «Si bien no podemos mitigar el dolor de la pérdida [de algún ser querido durante la pandemia], definitivamente podemos hacer que su recuerdo perdure», señalaba Prasad para presentar esta función.

De hecho, durante la demostración (sobre la hora y 2 minutos en el vídeo superior) se pudo ver un dispositivo configurado con esa nueva versión de Alexa leía a un niño un cuento con la voz de su abuela fallecida simplemente diciendo el comando de voz de Alexa «Alexa, ¿puede la abuela terminar de leerme ‘El mago de Oz’?»

“La forma en que lo hicimos posible fue enmarcando el problema como una tarea de conversión de voz y no como una ruta de generación de voz. Sin duda, estamos viviendo en la era dorada de la IA, donde nuestros sueños y la ciencia ficción se están convirtiendo en realidad”, señaló Prasad.

¿Qué usos podría tener?

Más allá del conmovedor ejemplo, que bien podría ayudar a ese pequeño a recordar a su abuela y echarla menos en falta, no cabe duda de que esta nueva tecnología potenciada por Inteligencia Artificial, si bien supone un gran avance tecnológico, conlleva implicaciones cuanto menos cuestionables


Evidentemente, puede llegar a ser gracioso que Alexa pueda recoger clips de algunos de nuestros personajes favoritos y sonar así (se nos vienen a la cabeza Darth Vader o Chiquito de la Calzada, por ejemplo). Sin embargo, también es un nuevo paso en cuanto a suplantación de identidad.

Por otra parte, resucitar digitalmente a una persona puede ser entendible que sea algo polémico. Obviamente no vamos a tener consentimiento de dicha persona para hacerlo, por lo que es cuanto menos cuestionable si es ético hacerlo.

Amazon de momento no ha mencionado cuándo integrará esta función a Alexa, por lo que estaremos atentos a las próximas novedades sobre esta función y cuándo podría llegar a nuestros dispositivos con la asistente de voz integrada.

La megacompañía tampoco ha aclarado si Amazon planea hacer de esta función un producto comercial para sus altavoces y pantallas inteligentes o se queda en una simple anécdota de demostración sobre las posibilidades de la IA. El debate está servido.

Fuente: You are not allowed to view links. Register or Login

60

Los investigadores de malware notaron una nueva herramienta que ayuda a los ciberdelincuentes a crear archivos .LNK maliciosos para entregar cargas útiles para las etapas iniciales de un ataque.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso para abusar de herramientas legítimas en el sistema, los llamados binarios living-off-the-land (LOLBins), como PowerShell o el MSHTA que se usa para ejecutar Microsoft HTML Application (HTA ) archivos.

Debido a esto, los LNK se usan ampliamente para la distribución de malware, especialmente en campañas de phishing, y algunas familias de malware notables que los usan actualmente son Emotet , Bumblebee , Qbot e IcedID .

Constructor de LNK cuántico

Los investigadores de Cyble han descubierto una nueva herramienta para crear LNK maliciosos llamada Quantum, que cuenta con una interfaz gráfica y ofrece una construcción de archivos conveniente a través de un amplio conjunto de opciones y parámetros (por ejemplo, suplantación de identidad, selección de iconos de más de 300 opciones disponibles).

La herramienta se alquila por 189€ al mes, 335€ por dos meses, 899€ por seis meses, o pago único de 1.500€ para acceso de por vida.


Folleto promocional de Quantum (Cyble)

Quantum ofrece omisión de UAC, omisión de Windows Smartscreen, la capacidad de cargar múltiples cargas útiles en un solo archivo LNK, ocultación posterior a la ejecución, inicio o ejecución retrasada.

Sus autores afirman que los archivos generados con Quantum son 100 % FUD, o totalmente indetectables, lo que indica que los motores antivirus y los mecanismos de protección del sistema operativo no los marcan como sospechosos o peligrosos.

Finalmente, Quantum también ofrece la opción de crear archivos HTA e ISO, que normalmente van de la mano en ataques que involucran LNK, con todo incluido dentro de los archivos de imagen de disco.


Pantalla de construcción ISO en Quantum (Cyble)

Otra característica interesante de Quantum es la implementación de un exploit dogwalk n-day en la herramienta de diagnóstico de soporte de Microsoft (MSDT), que utiliza un archivo .diagcab para realizar la ejecución de código arbitrario.

Lazos con Lazarus

El análisis de Cyble de muestras recientes de LNK capturadas en la naturaleza indica que bandas notorias de APT como Lazarus podrían estar usando Quantum para sus ataques.

El archivo particular utilizado en la campaña es “Password.txt.lnk”, que aparece como un archivo de texto con una contraseña para un documento PDF protegido que supuestamente ofrece un análisis de moneda estable.

El script de PowerShell que se ejecuta al abrir el archivo LNK es muy similar a los scripts utilizados por Lazarus en campañas recientes, lo que indica una posible conexión.


Comparación a nivel de código de scripts de PowerShell (Cyble)

Siempre que el uso de archivos LNK sea efectivo para los actores maliciosos, se espera que continúe la tendencia creciente en su implementación.

Herramientas como Quantum están acelerando aún más la tendencia de adopción y hacen que la elección de los archivos LNK sea más atractiva para los ciberdelincuentes.

Se recomienda a los usuarios que permanezcan atentos y analicen todos los archivos que reciben por correo electrónico con una herramienta antivirus antes de ejecutarlos.

Fuente: You are not allowed to view links. Register or Login

Pages: 1 2 [3] 4 5 ... 110