This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - AXCESS

Pages: [1] 2 3 ... 91
1
Dudas y pedidos generales / Re: Tutorial de Cazador Cazado
« on: June 26, 2022, 09:17:24 pm »
Y le funcionó el ethercap? Estamos hablando de ahora, recién... no es una anécdota de tiempo.

Deben de no ser muy modernos los equipitos que usan o no?

2
You are not allowed to view links. Register or Login

Stack Overflow es, sin lugar a dudas, la más potente herramienta de difusión del conocimiento en el mundo del desarrollo, una comunidad online de referencia. Y, desde hace varios años, también es una referencia la megaencuesta que realiza anualmente a sus millones de usuarios, que nos permite sacar una serie de conclusiones sobre el sector —sus circunstancias actuales y su evolución— a nivel mundial.

Y la edición de 2022, publicada hace tan sólo unas horas, arroja una serie de resultados interesantes.

El programador es el programador y sus circunstancias

Demográficamente, la encuesta está sesgada hacia los mercados estadounidense e indio, que suman aproximadamente el 28% de las 70.000 respuestas recibidas, si bien España se sitúa (por la mínima) en el TOP10 de países con un 2,12% (por debajo de Países Bajos y por encima de Italia).

Por otro lado, el 91,88% de los participantes en la encuesta son hombres… una cifra que se reduce al 87,9% si excluimos a los desarrolladores profesionales y tenemos en cuenta, únicamente, a los que están aprendiendo aún a programar (lo que indica un progresivo aumento de las mujeres entre las nuevas hornadas de desarrolladores).

Entre los desarrolladores profesionales, el 42,98% trabajan en remoto y el 42,44% en entornos de trabajo híbridos, lo que deja únicamente el 14,58% de ellos trabajando en modalidad 100% presencial.

Cómo aprenden


El porcentaje de desarrolladores que han aprendido a programar utilizando recursos online ha pasado en un año del 60% a casi el 71%. Se aprecia, sin embargo, una comprensible diferencia por edades, pues dicho porcentaje asciende al 84,95% entre los menores de 18 años.

Entre los citados recursos predominaron la documentación técnica y la comunidad Stack Overflow (por encima de videocursos y tutoriales), siendo Udemy la plataforma de cursos certificados más usada (66,49%), a mucha distancia de la siguiente (Coursera, con un 34,91%).

Dato curioso: la mayoría de los encuestados (75%) llevan trabajando como mucho 14 años como desarrolladores profesionales… lo que significa que nunca han trabajado en un mundo sin Stack Overflow.

Lenguajes y tecnologías más usados

Se dice pronto, pero JavaScript es el lenguaje más usado por décimo año consecutivo en este estudio, aunque en el caso de los programadores en formación (no profesionales), se encuentra casi empatado con HTML/CSS y Python.

Entre el conjunto de participantes, el ranking queda así:

•   JavaScript (65,36%)

•   HTML/CSS (55,08%)

•   SQL (49,43%)

•   Python (48,07%)

•   TypeScript (34,83%)

•   Java (33,27%)

•   Bash/Shell (29,07%)

•   C# (27,98%)

•   C++ (22,55%)

•   Frameworks web: Node.js y React.js han sido ?con diferencia? las dos tecnologías web más utilizadas, sin diferencia entre programadores profesionales y en formación.

•   IDEs/Editores de código: Visual Studio Code es el favorito en el gremio, con un 74,48%, muy lejos de su hermano mayor Visual Studio(32,15%), de IntelliJ (27,97%) y de alternativas como Notepad++, Vim o Android Studio.

•   Bases de datos: el liderazgo lo ostenta MySQL con un 46,85%, seguido muy de cerca por PostgreSQL con un 43,59%, mientras que en lo que respecta al uso de plataformas cloud, AWS liderada con una cómoda ventaja del 51%, mientras que sus rivales Azure y Google Cloud están casi empatados en torno al 26-28%.

•   Otras herramientas de desarrollo: NPM (65,17%) y Docker (63,72%) lideran el ranking, seguidas de lejos por otras como Yarn, Homebrew o Kubernetes.

•   Herramientas de comunicación: encontramos a Jira Work Management liderando en el ranking de las herramientas asíncronas (49,47%) y a Zoom (56,08%) en el de las síncronas.

Los lenguajes más 'queridos' y 'amados'

Si comparamos el ranking anterior con los de lo que Stack Overflow denomina los 'lenguajes más amados' (aquellos que los desarrolladores usan y quieren seguir usando) y los lenguajes más 'queridos' (aquellos que no usan, pero les gustaría tener ocasión de usar), la radiografía es muy distinta.

•   Amados: Rust (86,7%), Elixir (75,46%), Clojure (75,23%), TypeScript (73,46%) y Julia (72,51%).

•   Queridos: Rust (17,6%), Python (17,59%), TypeScript (17, 03%) y Go (16,41%).

…y los mejor pagados

El lenguaje de programación cuyo conocimiento está mejor pagado en el mercado es Clojure, ascendiendo el sueldo medio de los expertos en el lenguaje a los 106.644 dólares, seguidos de los 103.000 dólares que ganan los de Erlang.

F#, LISP y Ruby ocupan los siguientes puestos. Bases de datos como DynamoDB, plataformas cloud como Colocation y frameworks web como Phoenix ocupan, respectivamente, el TOP1 de mejores sueldos en sus categorías.

Por su parte, los mayores aumentos del salario medio desde 2021 se han dado entre los expertos en Flow, COBOL, Couchbase e IBM Cloud/Watson.

Fuente:
Stack Overflow edición del 2022
You are not allowed to view links. Register or Login
Vía
Genbeta
You are not allowed to view links. Register or Login

3
You are not allowed to view links. Register or Login

Con el auge de los dispositivos inteligentes y el hogar conectado, son cada vez más los productos que cuentan con soluciones IoT. Incluso hasta un jacuzzi ofrece en la actualidad integración en la nube. Y si no hubiera sido por el hallazgo de un investigador independiente, los datos de miles de usuarios que cuentan con un Jacuzzi en su casa habrían sido comprometidos.

Este investigador pudo entrar fácilmente al panel de administración de la firma, descubriendo un importante fallo de seguridad que le permitió acceder a una gran cantidad de información de usuarios que cuentan con alguna de las bañeras inteligentes de la compañía.

Un fallo de seguridad que permitía hasta controlar remotamente las bañeras de los usuarios

You are not allowed to view links. Register or Login

Eaton Zveare, director de tecnología en Grape Intentions, documentó todo lo posible acerca del problema de seguridad de Jacuzzi en su blog Eaton Works. En él se explica cómo pudo adentrarse en los sistemas de la compañía a través de una vulnerabilidad que pudo hallar. El investigador no publicó el informe hasta que el error fue corregido por parte de Jacuzzi. Contactar con la compañía fue una ardua tarea para Zveare, aunque finalmente, gracias al equipo de seguridad de Auth0, la firma de soluciones de spa pudo corregir el fallo. Eso sí, sin avisar al investigador ni darle las gracias por ello.

En la actualidad, es posible utilizar un teléfono móvil o dispositivo inteligente para controlar algunos aspectos del jacuzzi. Los usuarios dependen de la nube para acceder a la configuración remota de su bañera inteligente, siendo otra peligrosa puerta de entrada para los ciberataques. Afortunadamente, las intenciones de Eaton eran buenas, y decidió contactar con Jacuzzi en vez de modificar y recopilar la información de los usuarios.

Eaton descubrió el problema por primera vez cuando intentó acceder a uno de los servicios de Jacuzzi a través de su gestor de contraseñas. Sin embargo, se topó con un mensaje de error en el que le decía que "no estaba autorizado para entrar".

Según explica Zveare, antes de que apareciera el mensaje, vio una cabecera y una tabla en la web que parpadeó de manera instantánea. Según el investigador, para poder verlo bien tuvo que grabar su pantalla. Analizándolo detenidamente, lo que apareció fugazmente fue un panel de administración con acceso a la información de todos los usuarios de Jacuzzi y de otras marcas.

Tras verlo, se preguntó si podía saltarse las restricciones y acceder a este panel. Eaton comentaba que 'smarttub.io' consistía en una aplicación de página única (SPA) creada con la biblioteca React. Tras descargar el paquete de JavaScript, buscó instancias con la palabra 'unauthorized' (no autorizado). De esta manera, encontró la URL donde aparecía el error y donde se generaba el elemento HTML 'div' que restringía el acceso.
Utilizando el programa Fiddler pudo interceptar y modificar parte del código para que la página considerara al usuario como un administrador. Y funcionó.

You are not allowed to view links. Register or Login

Ya dentro, encontró información de usuarios de Jacuzzi de todo el mundo. Según dice en el blog, la cantidad de información que pudo hallar le sorprendió. Podía ver detalles de todos los spa, ver al dueño, e incluso modificar sus privilegios. Sin embargo, tuvo especial cuidado al navegar por la web.

A partir de la APK de la aplicación para Android descubrió otra URL que le llevó a otro panel de administración. Accediendo a él pudo irrumpir al sistema backend de Jacuzzi, donde tenían acceso a los productos, pudiendo modificar el número de serie de éstos, ver una lista de los números de teléfono de distribuidores, e incluso ver un registro de fabricación, entre otras cosas.

Según mencionaba Eaton, la peor parte de todo era que se podía acceder fácilmente a la información personal del usuario, incluso controlar las bañeras de manera remota.

"Había expuestos datos de usuarios de todo el mundo, que incluían nombre, apellido y dirección de correo electrónico. Hay un campo de número de teléfono, pero afortunadamente nunca lo vi completado en ninguna parte, y no lo solicitan al crear una cuenta".



Que las soluciones IoT y demás dispositivos inteligentes dependan de la nube puede ofrecernos multitud de beneficios. Eso sí, a costa de que la empresa tenga el control de nuestra información. Es por ello que, a la hora de querer crear un ecosistema conectado en el hogar, generalmente se le recomienda al usuario utilizar soluciones en local.

Fuente:
Genbeta
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

SAN FRANCISCO, 23 jun (Reuters) - Las herramientas de piratería informática de una empresa italiana se utilizaron para espiar los teléfonos inteligentes Apple Inc y Android en Italia y Kazajstán, dijo Google de Alphabet Inc en un informe el jueves.

RCS Lab, con sede en Milán, cuyo sitio web afirma que las agencias policiales europeas son clientes, desarrolló herramientas para espiar mensajes privados y contactos de los dispositivos objetivo, según el informe.

Los reguladores europeos y estadounidenses han estado sopesando posibles nuevas reglas sobre la venta e importación de spyware.

Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas y armando a los gobiernos que no podrían desarrollar estas capacidades internamente”, dijo Google.

Los gobiernos de Italia y Kazajstán no respondieron de inmediato a las solicitudes de comentarios. Un portavoz de Apple dijo que la compañía había revocado todas las cuentas y certificados asociados con esta campaña de piratería.

RCS Lab dijo que sus productos y servicios cumplen con las normas europeas y ayudan a las fuerzas del orden a investigar delitos.

"El personal de RCS Lab no está expuesto ni participa en ninguna actividad realizada por los clientes relevantes", dijo a Reuters en un correo electrónico, y agregó que condenaba cualquier abuso de sus productos.

Google dijo que había tomado medidas para proteger a los usuarios de su sistema operativo Android y los alertó sobre el spyware.

La industria global que fabrica software espía para los gobiernos ha ido creciendo, con más empresas desarrollando herramientas de interceptación para la aplicación de la ley. Los activistas contra la vigilancia los acusan de ayudar a los gobiernos que, en algunos casos, utilizan tales herramientas para tomar medidas enérgicas contra los derechos humanos y los derechos civiles.

La industria se convirtió en el centro de atención mundial cuando se descubrió en los últimos años que el software espía Pegasus de la empresa de vigilancia israelí NSO había sido utilizado por varios gobiernos para espiar a periodistas, activistas y disidentes.

Si bien la herramienta de RCS Lab puede no ser tan sigilosa como Pegasus, aún puede leer mensajes y ver contraseñas, dijo Bill Marczak, investigador de seguridad del organismo de control digital Citizen Lab.

"Esto demuestra que, aunque estos dispositivos son ubicuos, todavía queda un largo camino por recorrer para protegerlos contra estos poderosos ataques", agregó.

En su sitio web, RCS Lab se describe a sí mismo como un fabricante de tecnologías y servicios de "intercepción legal" que incluyen voz, recopilación de datos y "sistemas de seguimiento". Dice que maneja 10,000 objetivos interceptados diariamente solo en Europa.

Los investigadores de Google descubrieron que RCS Lab había colaborado previamente con la controvertida y desaparecida firma de espionaje italiana Hacking Team, que de manera similar había creado un software de vigilancia para que gobiernos extranjeros accedieran a teléfonos y computadoras.

Hacking Team quebró después de ser víctima de un gran hackeo en 2015 que condujo a la divulgación de numerosos documentos internos.

En algunos casos, Google dijo que creía que los piratas informáticos que usaban el spyware RCS trabajaban con el proveedor de servicios de Internet del objetivo, lo que sugiere que tenían vínculos con actores respaldados por el gobierno, dijo Billy Leonard, investigador principal de Google.

Fuente:
Reuters
You are not allowed to view links. Register or Login

5
You are not allowed to view links. Register or Login

Un informe de transparencia recientemente publicado por la empresa Telefónica, casa matriz de Movistar Venezuela, revela el uso indiscriminado y masivo de la interceptación de las comunicaciones de los venezolanos suscriptores de esa operadora, por orden de los organismos de seguridad.

Según el documento, en 2021 Telefónica interceptó las comunicaciones de 1 millón 584 mil 547 líneas de sus clientes en Venezuela, más del 20% de las líneas de teléfono o internet. Estas intervenciones se habrían hecho por órdenes del gobierno de Nicolás Maduro y significaron interceptar o “pinchar’’ las llamadas, monitorear los SMS, dar la ubicación de personas por sus teléfonos celulares o el monitoreo de su tráfico de internet. En el informe, los otros países ni se acercan al 1%.

En Venezuela se ha hablado por años de la prevalencia de llamadas pinchadas y el monitoreo excesivo e injustificado de otras formas de comunicación, pero por primera vez hay un rastro del alcance de esta amenaza a los derechos civiles. Aunque la interceptación de comunicaciones puede ser una herramienta para investigar crímenes graves, su uso debe ser acorde a los estándares de DDHH y el inmenso número de líneas interceptadas apunta a un abuso sistemático.

Cifras de otros operadores de telefonía y servicios de internet se desconocen pues no presentan informes de transparencia, pero se debe asumir que son similares, o posiblemente peores en el caso de las empresas del Estado. La idea de que 20% o más de las líneas de telefonía o conexiones a internet, en otras operadoras, también pudieran ser espiadas por el Gobierno es un prospecto altamente autoritario.

Lo expresado en el informe de Telefónica, que además refleja las cifras de solicitudes en los distintos países en los que opera, coincide completamente con multiples casos reportados, incluyendo un caso que documentamos en nuestro informe 2021 “Sin Derechos en #InternetVE”, donde se destacó cómo una ONG venezolana de DDHH que fue víctima de acceso no autorizado a una cuenta de un servicio de comunicación. Esto, a toda evidencia, ocurrió por la facilitación e interceptación de los SMS de verificación por parte de su operadora. Hemos alertado en los últimos años otros casos de periodistas y actores cívicos, cuyas comunicaciones han sido aparentemente espiadas.

Las revelaciones hechas en el informe resaltan la necesidad de que periodistas, voceros o fuentes, defensores de DDHH y activistas no utilicen llamadas de teléfono ni mensajes de SMS para comunicarse, sino que más bien usen medios de comunicación cifrados como Signal, incluso WhatsApp resulta mejor mejor que un SMS o una llamada.

También refuerza la importancia de que los usuarios en riesgo opten por configurar la verificación de dos pasos de sus cuentas usando medios que no sean SMS o llamadas de teléfono, sino por medio de aplicaciones de autenticación como Google Authenticator y elementos físicos como llaves de seguridad.

Los datos claves del informe

•   Líneas (accesos) afectados por la intercepciones: 1.584.547 (21% de las líneas)

•   Líneas (accesos) afectados por solicitudes de metadatos: 997.679 (13% de las líneas)

•   Accesos de líneas de teléfono y de servicio de internet de Movistar Venezuela: 7.730.000

•   Tasa de accesos afectados por solicitudes de ambos tipos: 33%

•   El número de líneas (accesos) afectados por intercepciones aumentó 7 veces desde 2016, cuando eran 234.932 accesos afectados

•   No reciben solicitudes de órdenes judiciales, sino de órganos de investigación, policiales, militares, inteligencia y hasta la universidad de seguridad UNES

•   Reconocen que en 2021 iniciaron el bloqueo de 27 URL distintas por orden de CONATEL

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Interceptaciones Legales


Nº de solicitudes recibidas   861.004
Nº de solicitudes rechazadas   21.601
Nº de accesos afectados    1.584.547
2. Metadatos Asociados a las Comunicaciones
Nº de solicitudes recibidas   149.152
Nº de solicitudes rechazadas   1.613
Nº de accesos afectados   997.679

En detalle la vulneración del derecho a la privacidad

Para Movistar Venezuela, las autoridades competentes para solicitar la interceptación de comunicaciones incluyen: el Ministerio Público, el CICPC, cuerpos de policía “habilitados para ejercer atribuciones en materia de investigación penal” y extrañamente la Universidad Nacional Experimental de la Seguridad (UNES).

Similarmente las autoridades competentes listadas para exigir metadatos sobre las comunicaciones y datos de los suscriptores (cosas como: a quién llama un usuario, cuánto duran las llamadas, cuáles son los datos del suscriptor, etc) son muchas de las mismas, incluyendo organismos militares y policiales.

En ningún lado menciona que las órdenes vienen de tribunales o vienen con aprobación de jueces, como hacen en otros países, pareciendo dejar ver que estas son las entidades de las que han recibido estas solicitudes, nunca con la validación de tribunales.

En la legislación venezolana citada por Movistar, las solicitudes de interceptación deben ser aprobadas por un juez para que sean válidas, con excepciones particulares como el caso de urgencias y flagrancias, en las que el CICPC puede hacer el pedido, pero hasta en estos casos, debe ser notificado el Ministerio Público y constar en el expediente.

El abuso en la obtención de metadatos de comunicaciones es igualmente una violación de los derechos de las personas cuando no se hace de forma respetuosa a los DDHH. La ubicación de las personas, con quiénes se comunican, por cuáles vías, por cuánto tiempo y con qué frecuencia es información sensible igual que el contenido de dichas comunicaciones.

Los estándares internacionales de DDHH establecen que cualquier interceptación de comunicaciones (de cualquier tipo) debe cumplir al menos estas condiciones:

•   Objetivo legítimo: Debe buscar un interés legal necesario en una sociedad democrática y respetuosa de los DDHH como investigar un crimen

•   Necesaria: No se debería utilizar una práctica que podría vulnerar derechos si no es necesaria para seguir esos fines legítimos

•   Proporcional: Como el uso de vigilancia interfiere con los derechos humanos, se debe utilizar solamente cuando esto es proporcional a la gravedad del crimen que se busca investigar, se debe tratar de minimizar la cantidad de datos obtenidos debe ser minimizada a sólo lo necesario, controlar el acceso a esta información sólo para los fines aprobados y desechar información que no es relevante

•   Que esté adecuadamente sustentado por las leyes

•   Bajo una orden judicial de un tribunal competente e independiente de la autoridad interesada en la vigilancia de las comunicaciones

•   Permitiendo el debido proceso, notificando a la persona cuando sea posible y manteniendo transparencia del proceso

La privacidad es un Derecho Humano fundamental e inalienable, que a su vez es clave para el libre ejercicio de la libertad de expresión y asociación entre otros derechos.

Los bloqueos también se vieron reflejados

El informe de transparencia de Telefónica también refleja que la Comisión Nacional de Telecomunicaciones (CONATEL) le solicitó el bloqueo de 30 URL durante 2021. Desde hace tiempo el bloqueo de sitios web se ha vuelto una forma sistemática de violación a los derechos humanos en Venezuela.

En el mismo 2021 el informe anual de VE sin Filtro documentó que al menos 68 dominios de internet estuvieron bloqueados en ese período, correspondiéndole 59 sitios web. Siendo Movistar el segundo ISP con más eventos de bloqueo documentados, luego de la estatal CANTV. De esos 68 dominios bloqueados en Venezuela, 45 pertenecen a medios de noticias, 3 a organizaciones defensoras de Derechos Humanos y de herramientas para evadir la censura.

En 2022 VE sin Filtro ha documentado nuevos eventos de bloqueo, tanto de medios de noticias como de organizaciones de DDHH, el más reciente en Junio de 2022, donde se bloqueó el sitio web de la ONG Justicia, Encuentro y Perdón en la estatal CANTV y en Movistar.

Recomendaciones

•   Movistar deberia listar el número de solicitudes recibidas por organismo emisor, aclarando también qué % de estas denuncias vienen avaladas por tribunales

•   Movistar debería definir con mayor claridad qué significa una solicitud ¨en tiempo real” y cuándo se deja de hacer disponible esta información. Así mismo define de manera insuficiente el posible alcance de las solitudes que no son bloqueos y el concepto de accesos afectados por las solicitudes.

•   Los venezolanos deben asumir que cualquier comunicación no cifrada puede ser intervenida sin respeto a los estándares internacionales de Derechos Humanos.

•   Los periodistas, defensores de DDHH y activistas en Venezuela deben evitar el uso de llamadas de teléfono, SMS y comunicaciones no encriptadas en internet.

•   Los periodistas, defensores de DDHH y activistas en Venezuela bajo riesgo deberían habilitar el uso de autenticación de dos pasos en sus cuentas de servicios en internet, pero en la medida de lo posible no usar SMS o llamadas como factor de verificación y en su lugar utilizar aplicaciones que generan códigos como Google Authenticator y elementos físicos como códigos de respaldo impresos guardados en un lugar seguro, o idealmente, usar llaves de seguridad digital FIDO (Yubico es de las marcas más conocidas) y de respaldo Google Authenticator.

•   Recomendamos el uso de Signal para llamadas y mensajes por internet y el uso de VPN o Tor Browser para visitar páginas web que sean sensibles en el contexto Venezolano.

•   Recomendamos el uso de VPN para acceder a páginas web bloqueadas en Venezuela.


Fuente:
VeSinFiltro
You are not allowed to view links. Register or Login

6
You are not allowed to view links. Register or Login

Los hogares del Reino Unido están experimentando muchos problemas relacionados con Wi-Fi. Lo que no saben es que sus refrigeradores y vecinos pueden estar ralentizando su conexión.

Los británicos recurren a las redes 4G o 5G cuando su red Wi-Fi no está al día. Según Zen Internet, la mayoría de los adultos no saben qué está obstaculizando su conectividad.

La encuesta reciente de la compañía mostró que el 76% de las personas no saben que el enrutador de sus vecinos podría estar ralentizando su conexión. Un simple artículo doméstico como un refrigerador también podría estar causando problemas de conexión, y el 90% de los británicos no lo saben.

Si se coloca demasiado cerca de su enrutador, los refrigeradores y otros dispositivos eléctricos podrían estar interceptando las conexiones Wi-Fi debido a la interferencia de las señales de radio y la interferencia eléctrica.

Y en cuanto a sus vecinos, debe asegurarse de que su enrutador esté conectado al canal con la menor interferencia de los hogares vecinos.

Hay una multitud de interfencias ocultas dentro del hogar, cuyo impacto adverso muchos de nosotros desconocemos por completo”, dijo Paul Stobart, director ejecutivo de Zen Internet.

You are not allowed to view links. Register or Login

Uno de cada siete encuestados cree que apagar su enrutador por la noche puede mejorar su eficacia al día siguiente. De hecho, su enrutador se puede mantener encendido las 24 horas del día, los 7 días de la semana, y apagarlo por la noche puede interrumpir la señal y, en última instancia, ralentizar su conectividad.

Zen reconoce que algunos podrían apagarlo por razones de ahorro de energía en medio de la actual crisis del costo de vida.

Algunas personas creen que los dispositivos deben colocarse junto a un enrutador para que funcionen de manera efectiva.

Trate de colocar su enrutador en una ubicación lo más central posible para proporcionar una cobertura uniforme. Asegúrese de que el enrutador esté colocado plano para que su antena pueda emitir WiFi correctamente. Mantenerlo a la altura de la cintura en un espacio aislado eléctricamente (no detrás de un televisor o al lado de un electrodoméstico) con una línea de visión clara hacia las paredes, techos y pisos para que rebote alrededor de la señal ayudará. Tener un enrutador oculto o junto a un electrodoméstico puede hacer que la señal no se emita correctamente en una casa”, señaló Zen.

Fuente:
CyberNews
You are not allowed to view links. Register or Login

7
You are not allowed to view links. Register or Login

Mozilla confirma la implementación de la función "Protección total de cookies" en sus navegadores Firefox a nivel mundial.
Sin embargo, no es un movimiento reciente. Mozilla introdujo esta función por primera vez en 2021 con Firefox 86, explicando cómo reducirá el seguimiento (tracking) de los sitios webs.

En resumen, esta característica restringe a los sitios web en la forma en que utilizan el seguimiento de cookies.

Las cookies también facilitan técnicamente a los sitios web el seguimiento de los usuarios en otros sitios. Pero la función de restricción “Total Cookie Protection” dificulta esta funcionalidad, limitando el seguimiento de los sitios solo a sus propias URL. De esta manera, la técnica reduce significativamente los riesgos del seguimiento entre sitios, una función que viola en gran medida la privacidad de los usuarios.

Después de probar la función con mejoras graduales de privacidad a lo largo de los años, Mozilla ahora la implementó globalmente como una función predeterminada.

Como se indica en su publicación de blog:

El lanzamiento de hoy de “Total Cookie Protection” es el resultado de la experimentación y las pruebas de funciones, primero en las ventanas ETP Strict Mode y Private Browsing, y luego en Firefox Focus a principios de este año. Ahora lo estamos convirtiendo en una función predeterminada para todos los usuarios de escritorio de Firefox en todo el mundo.

Mozilla lanzó anteriormente "Protección de seguimiento mejorada" (ETP) con sus navegadores Firefox.
Esa característica tenía la intención de evitar la toma de huellas dactilares del navegador ( browser fingerprinting) al bloquear las cookies de terceros relevantes.

Sin embargo, seguía siendo posible que los rastreadores en línea evadieran ETP en muchos casos. Por ejemplo, un adversario que no esté en la lista de cookies especificada para ETP aún podría rastrear a los usuarios. Por lo tanto, con Total Cookie Protection, el navegador supera esta carencia aislando todas las cookies en sus respectivos "recipientes de cookies". Dado que no habrá un requisito de lista definido, ninguna cookie de seguimiento aparentemente evadiría esta función.

Por lo tanto, con este paso, Mozilla espera nuevas mejoras en la privacidad de navegación general de los usuarios en todo el mundo.

Fuente:
Mozilla Firefox Blog
You are not allowed to view links. Register or Login
Vía:
Latest Hacking News
You are not allowed to view links. Register or Login


8
You are not allowed to view links. Register or Login
Hay datos que, por su naturaleza, siempre deben permanecer protegidos. Contraseñas, nombres de usuario, el contenido de determinadas cookies, informaciones que, por norma general, consideramos que los navegadores web gestionan de manera adecuada, es decir, asegurándose de que siempre está protegida. Es lo que se espera. Pues lo cierto es que hay malas, muy malas noticias al respecto.
Y es que Zeev Ben Porat, investigador de CyberArk, ha comprobado que la mayoría de los navegadores web basados en Chromium (como Google Chrome y Microsoft Edge) almacenan, en determinadas circunstancias, dichos tipos de información en texto plano, propiciando de este modo que cualquier persona que pueda tener acceso a nuestro PC, potencialmente pueda obtener dicha información, con los efectos que esto puede llegar a tener.
Estos son algunos de los tipos de datos que el investigador afirma haber encontrado:
•   Nombre de usuario + contraseña utilizada al iniciar sesión en una aplicación web específica.
•   URL + nombre de usuario + contraseña cargada automáticamente en la memoria durante el inicio del navegador.
•   Todos los registros de URL + nombre de usuario + contraseña almacenados en Datos de inicio de sesión.
•   Todas las cookies pertenecientes a una aplicación web específica (incluidas las cookies de sesión).

You are not allowed to view links. Register or Login

Si bien es necesario que el usuario ingrese datos como nombres de usuario y contraseñas, antes de poder extraerlos, Zeev Ben Porat señala que es posible "cargar en la memoria todas las contraseñas almacenadas en el administrador de contraseñas".

La seguridad de la autenticación de dos factores puede no ser suficiente para proteger las cuentas de los usuarios si los datos de las cookies de sesión también están presentes en la memoria; la extracción de los datos puede dar lugar a ataques de secuestro de sesión utilizando los datos.
Más preocupante aún es que, tras detectar la vulnerabilidad, el investigador se puso en contacto con Google para informar de la misma, y la respuesta que obtuvo es que este problema no será solucionado próximamente.

La razón dada es que Chromium no soluciona ningún problema relacionado con ataques de acceso físico local.

El problema es que combinar esta debilidad de Chromium con cualquier ataque en el que se consiga acceso remoto, tendrá unas consecuencias realmente preocupantes.

Zeev Ben Porat publicó un artículo de seguimiento en el blog CyberArk, que describe las opciones de mitigación y diferentes tipos de ataques para explotar el problema, y resulta preocupante comprobar la cantidad de métodos que se pueden emplear para explotar este problema.

Afortunadamente, también ofrece profusas instrucciones para mitigar esta amenaza, que se resumen en los siguientes puntos:

•   Denegar cualquier acceso de procesos no autorizados a archivos confidenciales (Crear archivo, Mover archivo).

•   Denegar cualquier acceso de procesos no autorizados a la máquina virtual del navegador (OpenProcess, OpenThread).
 
•   Impedir que procesos no autorizados creen procesos en el navegador (CreateProcess).

•   Bloquear las opciones de línea de comando sospechosas (línea de comando CreateProcess).

•   Impedir que el proceso del navegador cargue archivos DLL (LoadLibrary) sin firmar (no confiables).

Sorprende, no obstante, que Google no haya priorizado este problema al partir de la premisa de que no se solucionan problemas relacionados con ataques de acceso físico local, puesto que, como queda claro al revisar el informe del CyberArk, su explotación de manera remota es perfectamente factible con múltiples herramientas.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

9
You are not allowed to view links. Register or Login

LONDRES/MUMBAI/ANKARA, 21 jun (Reuters) - Para Jeremy Fong, el criptoprestamista estadounidense Celsius era un lugar ideal para esconder sus tenencias de moneda digital y ganar algo de dinero para gastar con sus tasas de interés de dos dígitos en el camino.

"Probablemente ganaba 100 dólares a la semana" en sitios como Celsius, dijo Fong, un trabajador aeroespacial civil de 29 años que vive en la ciudad de Derby, en el centro de Inglaterra. "Eso cubrió mis compras".

Ahora, sin embargo, los cryptos de Fong, aproximadamente una cuarta parte de su cartera, está atascada en Celsius.

El criptoprestamista con sede en Nueva Jersey congeló los retiros para sus 1,7 millones de clientes la semana pasada, citando condiciones de mercado "extremas", lo que provocó una venta masiva que eliminó cientos de miles de millones de dólares del valor en papel de las criptomonedas a nivel mundial.

Las tenencias de criptomonedas a largo plazo de Fong ahora han bajado un 30%. "Definitivamente en una posición muy incómoda", dijo a Reuters. "Mi primer instinto es simplemente retirar todo" de Celsius, dijo.

La explosión de Celsius siguió al colapso de otros dos tokens importantes el mes pasado que sacudió un sector criptográfico que ya estaba bajo presión, ya que la inflación vertiginosa y el aumento de las tasas de interés provocaron una fuga de acciones y otros activos de mayor riesgo.

Bitcoin cayó por debajo de los $20 000 el 18 de junio por primera vez desde diciembre de 2020. Se ha desplomado alrededor de un 60 % este año. El mercado criptográfico en general se ha desplomado a alrededor de $ 900 mil millones, por debajo de un récord de $ 3 billones en noviembre.

La caída ha dejado a los inversores individuales de todo el mundo magullados y desconcertados. Muchos están enojados con Celsius. Otros juran no volver a invertir en criptomonedas nunca más. Algunos, como Fong, quieren una supervisión más estricta del sector libre.

Susannah Streeter, analista de Hargreaves Lansdown, comparó la agitación con la caída de las acciones de las puntocom a principios de la década de 2000, con tecnología y capital de bajo costo que facilitan el acceso de los inversores individuales a las criptomonedas.

Tenemos esta colisión de tecnología de teléfonos inteligentes, aplicaciones comerciales, dinero barato y un activo altamente especulativo”, dijo. "Es por eso que has visto un meteórico subir y bajar".

You are not allowed to view links. Register or Login

'Paseando en la Oscuridad a las 2 AM'


Los prestamistas criptográficos, como Celsius, ofrecen altas tasas de interés a los inversores, en su mayoría individuos, que depositan sus monedas en estos sitios. Estos prestamistas, en su mayoría no regulados, luego invierten depósitos en el criptomercado mayorista.

Los problemas de Celsius parecen estar relacionados con sus inversiones criptográficas al por mayor. A medida que estas inversiones se deterioraron, la empresa no pudo cumplir con los reembolsos de los clientes de los inversores en medio de la caída más amplia del mercado criptográfico.

La congelación de la redención en Celsius fue similar a un pequeño banco que cierra sus puertas. Pero un banco tradicional, supervisado por reguladores, tendría algún tipo de protección para los depositantes.

Una de las personas afectadas por la congelación de Celsius fue Alisha Gee, de 38 años, en Pensilvania.

Gee invirtió "hasta el último bit" de sus cheques de pago en criptomonedas desde 2018, que se han acumulado en una suma de cinco cifras. Tiene USD 30 000 en depósitos en Celsius, parte de sus activos criptográficos generales, lo que le genera un interés de USD 40 a USD 100 por semana, lo que esperaba la ayudaría a pagar su hipoteca.

Hace poco más de una semana, Gee recibió un correo electrónico de Celsius diciendo que no podía hacer retiros. "Estaba paseando en la oscuridad a las 2 a.m., de un lado a otro", dijo.

"Yo creía en la empresa", dijo Gee. "No se siente bien perder $ 30,000, especialmente que podría haber destinado a mi hipoteca".

Gee dijo que continuaría usando Celsius, diciendo que era "leal" a la empresa y que no había tenido problemas antes.

El CEO de Celsius, Alex Mashinsky, tuiteó el 15 de junio que la compañía estaba "trabajando sin parar", pero dio pocos detalles sobre cómo o cuándo se reanudarían los retiros. Celsius dijo el lunes que su objetivo era "estabilizar nuestra liquidez y operaciones".

Barandillas


Para algunos, el entusiasmo por las criptomonedas no ha disminuido.

"Ya he visto múltiples ciclos de mercado bajista, así que estoy evitando cualquier reacción instintiva", dijo Sumnesh Salodkar, de 23 años, en Mumbai, cuyas criptomonedas han disminuido, pero aún están en territorio positivo.

Para otros, las advertencias de los reguladores de todo el mundo sobre los riesgos de incursionar en las cryptos se han hecho realidad.

Halil Ibrahim Gocer, un joven de 21 años de la capital turca, Ankara, dijo que las inversiones en criptomonedas de su padre de USD 5000 se han reducido a USD 600 desde que le presentó las criptomonedas.

"El conocimiento solo puede llevarte hasta cierto punto en criptografía", dijo Gocer. "La suerte es lo que importa".

Otro inversionista, un trabajador de TI de 32 años en Mumbai, dijo que invirtió tres cuartas partes de sus ahorros, varios cientos de dólares, en cryptos. Su valor se ha desplomado en torno a un 70%-80%.

"Esta será mi última inversión en criptomonedas", dijo, solicitando el anonimato.

Los reguladores de países de todo el mundo han estado trabajando en cómo construir barandillas criptográficas que puedan proteger a los inversores y amortiguar los riesgos para una estabilidad financiera más amplia.

La agitación del mercado criptográfico provocada por Celsius destaca la "necesidad urgente" de reglas criptográficas, dijo la semana pasada un funcionario del Tesoro de EE. UU.

Fuente:
Reuters
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

La Administración del Ciberespacio de China solicita a los proveedores y distribuidores de aplicaciones promover 'valores socialistas'.

China se prepara para controlar aún más el uso de las redes sociales por parte de sus ciudadanos mediante una nueva ley, según informa South China Morning Post.

La Administración China del Ciberespacio (CAC, por sus siglas en inglés), que el medio hongkonés describe como "el perro guardián de internet en China", elaboró un proyecto de ley que exige que todos los servicios de redes sociales y plataformas de video revisen los comentarios de los usuarios antes de publicarlos.

La nueva normativa exige a los administradores de las plataformas emplear un grupo de moderadores de contenido que "sea proporcional a la magnitud del servicio" que ofrecen y mejorar la calidad profesional del personal responsable de revisar los contenidos.

El proyecto de ley chino también especifica el castigo para las infracciones:

- Aquellos operadores que no cumplan con la regulación enfrentan advertencias, multas y la suspensión de la posibilidad de hacer de comentarios o incluso de todo el servicio.

La nueva ley implicaría el endurecimiento de las reglas implementadas en 2017, que ordenaba a las compañías revisar los comentarios de los usuarios solo para los contenidos noticiosos.

La regulación previa solo estipulaba que "las autoridades relevantes tomarían acción sobre los proveedores de servicios que violaran las reglas, de acuerdo a las leyes y las regulaciones relevantes"
.
En línea con las reglas ya existentes, el proyecto de ley estipula que los usuarios deben registrarse con sus verdaderos nombres antes de dejar comentarios. Por otra parte, se mantiene la prohibición de comentar a través de bots o con la propia identidad para "difundir información que altere el orden normal y desvíe la opinión pública". Tampoco se altera la regulación que dice que quienes incurran en violaciones serias de las reglas entrarán en una "lista negra"y no podrán acceder al servicio ni abrir nuevas cuentas.

Las autoridades chinas han solicitado que el público envíe sus opiniones sobre el proyecto de ley hasta el 1 de julio.

Muchas personas ya han reaccionado de manera negativa a la nueva regulación propuesta. En Weibo ꟷel Twitter chinoꟷ, un usuario defendió que "el registro del nombre real es suficiente y no es necesario restringir demasiado (la libertad de) expresión".
"¿Cómo va a hablar la gente si no hay ningún canal?", cuestionó otro usuario.

Según la nota de South China Morning Post, CAC solicitó esta semana a los proveedores y distribuidores de aplicaciones promover "valores socialistas" y adherirse a "la dirección correcta de las políticas, las opiniones públicas y los valores".

Ya en mayo, varias redes sociales, que incluyen Weibo, Quora,  Zhihu y Douyin, la versión china de TikTok, empezaron a mostrar la ubicación  del usuario, a partir de una función que estos no pueden deshabilitar.

El nuevo proyecto de ley es parte del creciente enfoque de mano dura del régimen chino en el ámbito virtual, para controlar tanto la información que consumen sus ciudadanos como la que difunden o las opiniones que comparten.

Fuente:
South China Morning Post
You are not allowed to view links. Register or Login

11
Dudas y pedidos generales / Re: Tutorial de Cazador Cazado
« on: June 21, 2022, 02:14:09 pm »
Hola DoSser

Sobre cómo funciona, el propio script lo declara.

You are not allowed to view links. Register or Login

Este fue creado para el WifiSlax en el Foro Seguridad Wireless que es donde radicaban sus creadores. Desconozco si pensaron en el Kali Linux. Le sugiero que se de una vuelta por allá a consultar si están activos o dejaron indicaciones.

Por otro lado, estoy muy seguro que para Kali Linux debe haber un equivalente cuyo nombre desconozco, pues es un método muy sencillo y básico pero popular por lo que brinda: detección de intrusos y protección de redes. Una consulta inteligente en el buscador del GitHub le brindará resultados.

Pienso que estaría muy modificado por lo del envenenamiento ARP que es algo a día de hoy fácilmente detectable y bloqueable por cualquier Sistema de Seguridad Integral que proteja el aspecto de redes.

You are not allowed to view links. Register or Login

Sin mencionar que el servidor web si no está actualizado nunca le abriría al usuario pues al no poseer validez de certificados y demás, los navegadores modernos lo bloquean como intento de phishing.

Comentario:

Hay cosas que tuvieron su momento. Fueron… pero ya no son.

Similar intercambiaba con un usuario aquí en el Foro, que no le funcionaba el ethercap en su red de laboratorio. Y se lo hacía notar, que la seguridad básica de redes (presente en SO, Routers, etc.) bloqueaba en la actualidad a este tipo de manipulaciones y alteración del tráfico en una red.

No obstante, es un Portal Cautivo con todas las de la ley en metodología: secuestra el tráfico y redirige hacia un servidor web donde puede o no continuar según reglas preestablecidas.

Puedo confirmarle que hay sistemas de protección de redes profesionales (casi siempre se consideran en el mercado como Firewalls Profesionales) que, entre sus muchas opciones, realizan la del Cazador Cazado.

Le menciono al Kerio Control por experiencia, que cierra la red, y se le notifica a dicho intruso (o no, según la opción que se desee), a través de la redirección hacia una web a modo de Portal Cautivo, de que ha sido detectado y bloqueado. Le sigue un detallado log para el admin que sabe dónde encontrar físicamente el acceso (IP, Mac, dispositivo, SO, terminal física de acceso, etc.). Estamos hablando de redes de índole empresarial o similar en complejidad.

Esto es lo más parecido y actual que he visto a lo que busca. Pero, le reitero, en el GitHub debe haber “un protector de intrusos en redes” (esa es la categoría de ese script) que realice esa función para el Kali Linux o para Linux en general.

12
Si le agrega una buena tarjeta gráfica le ayudará muchísimo con lo de la edición de vídeos.

13
En mi opinión, cualquier sistema que desee.
Un Win 7 irá ligero, pero puede ponerle Win 10. Si las memorias son rápidas y tiene de igual un disco duro a la altura, hasta Win 11 (y ver cómo se comporta). Win 11 va bien no con potencia de CPU sino con rapidez de memoria y disco duro (M2).
Cualquier Linux funcionará de maravilla en especial Ubuntu.

Importante en su caso:
La edición de vídeo demanda recursos por lo que, entre más ligero sea el SO más dispondrá para los programas de edición.

14
Hacking / Cómo “hackear” un elevador para que no se detenga
« on: June 19, 2022, 05:07:58 pm »
You are not allowed to view links. Register or Login

Había leído de este “truco”, pero nunca lo había puesto en práctica, hasta ayer en la noche en un hotel de 25 pisos.
Resulta que puede usar un elevador sin que este se detenga en otros pisos, incluso si es solicitado. Así llegará rápido a su destino en exclusiva.

- Pulse y sostenga (no lo suelte) el botón de cerrar la puerta. La puerta se cerrará.

- Acto seguido, seleccione (pulse y no lo suelte) el piso al que desea ir. Mantendrá ambos botones sostenidos de manera simultánea, “hasta que el elevador comience a moverse”. Puede soltarlos una vez que comience el movimiento.

El elevador irá sin escalas hasta el piso que seleccionó.

Este “hack” es usado por la policía y los bomberos para ir con rapidez al piso donde se reclamen. Por ende y "en teoría", es un sistema que está presente en todos los elevadores modernos de índole pública.
Recordar que hay elevadores residenciales que son administrados (configurados) por los conserjes y no pudiera avalar.

Suerte.

15
Video Juegos / Re: Mis Maquinas Arcade
« on: June 18, 2022, 06:57:00 pm »
Gracias por la explicación de los precios.

Me llama la atención que es Ud. un raro caso de coleccionista, pues los hay que ni Dios si baja del cielo toca sus bienes. Vienen a ser poseídos por los objetos que coleccionan.

Al fin y al cabo, es para disfrutar los dispositivos y pasarla bien. Ese será un recuerdo invaluable en su niña:

Mi papá coleccionaba máquinas de juegos y me dejaba divertirme con ellas.

Eso habla muy bien de lo que valora en la vida y del tipo de ser humano que es.

Me ha gustado mucho leer sobre su pasión y colección.




16
Video Juegos / Re: Mis Maquinas Arcade
« on: June 17, 2022, 11:41:52 pm »
No soy del gremio de coleccionistas, pero he escuchado de eventos de gamers (coleccionistas) que pagan muy bien estos dispositivos. En especial en USA.

¿En cuánto están valorados sus dispositivos, si no es indiscresión? (mercado referente -  USA  / precio – Dólares)

17
You are not allowed to view links. Register or Login

Londres (CNN Business) El bitcoin sigue cayendo esta semana para cotizar justo por encima de los 20.000 dólares el miércoles, ya que la venta masiva de criptomonedas muestra pocas señales de disminuir.

La criptomoneda más valiosa del mundo ha caído alrededor de un 15% desde el lunes y casi un tercio desde el viernes, según datos de Coinbase. La moneda ha perdido alrededor del 70% de su valor desde su máximo histórico en noviembre del año pasado, cuando cotizaba alrededor de $69,000.

"Un movimiento por debajo de $ 20,000 sería un golpe psicológico masivo y podría hacer que Bitcoin caiga aún más en picada", dijo Craig Erlam, analista senior de mercado de Oanda, una firma de cambio de divisas, en una nota el martes.

Ether, la segunda moneda digital más valiosa, cayó un 12% el jueves. Ahora ha perdido el 78% de su valor desde su pico de noviembre.

A medida que los principales bancos centrales del mundo aumentan las tasas de interés para controlar la inflación, los comerciantes se han deshecho de sus inversiones más riesgosas, que incluyen criptoactivos volátiles.
La industria asediada se prepara para más dolor.

Coinbase dijo el martes que despediría a unos 1000 miembros de su personal, lo que representa el 18% de su fuerza laboral, citando temores de una recesión económica inminente y un "criptoinvierno".

Las acciones de la compañía han recibido un fuerte golpe desde su oferta pública inicial en abril del año pasado. Una vez con un valor de casi $ 100 mil millones, ahora está valorado en menos de $ 12 mil millones.
Celsius Network, uno de los prestamistas de criptomonedas más grandes del mundo, anunció el lunes que las "condiciones extremas del mercado" lo habían obligado a detener temporalmente todos los retiros, intercambios de criptomonedas y transferencias entre cuentas.

La compañía comunicó a sus 1,7 millones de clientes que ha tomado la decisión de "estabilizar la liquidez y las operaciones mientras tomamos medidas para preservar y proteger los activos". Dijo que "tomaría tiempo" antes de que a los clientes se les permitiera retirar depósitos nuevamente.

Binance, el intercambio de criptomonedas más grande del mundo, suspendió los retiros en su red de bitcoins durante unas horas el lunes después de que algunas transacciones se "atascaron" y causaron un retraso.

Fuente:
CNN Business
You are not allowed to view links. Register or Login

18
Presentaciones y cumpleaños / Re: Hola que tal !!
« on: June 17, 2022, 05:18:58 pm »
Un placer el conocerle formalmente.
Y si ya lleva un tiempo en Underc0de… pues es de la familia.

Si es músico serán bienvenidos sus tips.
No se quiere presumir pero, mi gato está dando sus pasos en el negocio de la música.



Ya se verá a dónde llega.



19
You are not allowed to view links. Register or Login

Investigadores de la Universidad de Texas, la Universidad de Illinois Urbana-Champaign y la Universidad de Washington, idearon una nueva técnica de ataque de canal lateral denominada Hertzbleed que podría permitir a los atacantes remotos robar claves de cifrado de los modernos chips Intel y AMD.

Hertzbleed es una nueva familia de ataques de canal lateral: canales laterales de frecuencia. En el peor de los casos, estos ataques pueden permitir que un atacante extraiga claves criptográficas de servidores remotos que antes se creía que eran seguros”.

Los expertos presentarán sus hallazgos en el 31.er Simposio de Seguridad de USENIX que tendrá lugar en Boston del 10 al 12 de agosto de 2022.

El principio detrás del ataque Hertzbleed es que, bajo ciertas circunstancias, la escala de frecuencia dinámica de los procesadores x86 modernos depende de los datos que se procesan.

Primero, Hertzbleed muestra que en las CPU x86 modernas, los ataques de canal lateral de energía se pueden convertir (¡incluso en remotos!) en ataques de sincronización, eliminando la necesidad de cualquier interfaz de medición de energía. La causa es que, bajo ciertas circunstancias, los ajustes periódicos de frecuencia de la CPU dependen del consumo actual de energía de la CPU, y estos ajustes se traducen directamente en diferencias de tiempo de ejecución (como 1 hercio = 1 ciclo por segundo)”. continúa la publicación.

En segundo lugar, Hertzbleed muestra que, incluso cuando se implementa correctamente como tiempo constante, el código criptográfico aún puede filtrarse a través del análisis de tiempo remoto. El resultado es que las pautas actuales de la industria sobre cómo escribir código en tiempo constante (como el de Intel) son insuficientes para garantizar la ejecución en tiempo constante en los procesadores modernos”.

El problema tiene seguimiento CVE-2022-23823 en AMD y CVE-2022-24436 en Intel, en este momento no hay solución para el problema.

Los expertos señalaron que Hertzbleed no es un error, la causa del problema es el escalado dinámico de frecuencia, que es una función implementada en los procesadores modernos para reducir el consumo de energía (durante cargas bajas de CPU).

Los expertos compartieron sus hallazgos, junto con el código de prueba de concepto, con Intel, Cloudflare y Microsoft en el tercer trimestre de 2021 y con AMD en el primer trimestre de 2022.

En este momento, Intel y AMD no planean lanzar un microcódigo para mitigar el ataque de Hertzbleed.

Intel brindó orientación para mitigar el ataque mediante el fortalecimiento de sus bibliotecas y aplicaciones.

¿Hay una solución?

Técnicamente, sí. Sin embargo, tiene un impacto significativo en el rendimiento de todo el sistema”. concluyen los expertos.

En la mayoría de los casos, una solución independiente de la carga de trabajo para mitigar Hertzbleed es deshabilitar el aumento de frecuencia. Intel llama a esta función "Turbo Boost" y AMD la llama "Turbo Core" o "Precision Boost". La desactivación del aumento de frecuencia se puede realizar a través del BIOS o en tiempo de ejecución a través del controlador de escala de frecuencia. En nuestros experimentos, cuando se deshabilitó el aumento de frecuencia, la frecuencia se mantuvo fija en la frecuencia base durante la ejecución de la carga de trabajo, evitando fugas a través de Hertzbleed. Sin embargo, esta no es una estrategia de mitigación recomendada, ya que afectará significativamente el rendimiento”.

Fuente:
You are not allowed to view links. Register or Login
Vía:
SecurityAffairs
You are not allowed to view links. Register or Login

20
You are not allowed to view links. Register or Login

El equipo de Cybernews descubrió una base de datos abierta que contenía registros de conexión de 18,5 GB generados por la aplicación BeanVPN.

El conjunto de datos contenía más de 25 millones de registros, incluido el dispositivo de usuario y las identificaciones de Play Service, las direcciones de protocolo de Internet (IP) y las marcas de tiempo de conexión, entre otra información de diagnóstico.

"La información que se encuentra en esta base de datos podría usarse para eliminar el anonimato de los usuarios de BeanVPN y encontrar su ubicación aproximada utilizando bases de datos de geo-IP. La identificación del servicio de reproducción también podría usarse para averiguar la dirección de correo electrónico del usuario con la que inició sesión en su dispositivo", dijo Aras Nazarovas, investigador de seguridad de Cybernews.

La instancia de ElasticSearch que nuestro equipo descubrió durante una revisión de rutina ahora está cerrada. Cybernews se comunicó repetidamente con la empresa desarrolladora de BeanVPN, IMSOFT, para obtener un comentario, pero no había recibido una respuesta al momento de escribir este artículo.

Parece que IMSOFT violó su propia política de privacidad que dice que recopilan "solo los datos mínimos necesarios para operar un servicio VPN a escala mundial".

"No recopilamos registros de su actividad, incluido el registro del historial de navegación, el destino del tráfico, el contenido de datos o las consultas de DNS. Tampoco almacenamos registros de conexión, es decir, no registramos registros de su dirección IP, su dirección IP de VPN saliente, conexión marca de tiempo o duración de la sesión. Diseñamos nuestros sistemas para que no tengan datos confidenciales sobre usted; incluso cuando estamos obligados, no podemos proporcionar datos que no poseemos ", dice su política de privacidad.

Además, enfatizó que la compañía se compromete a proteger la información de los usuarios con "la mejor seguridad física, técnica y de procedimientos de su clase" para proteger sus oficinas e instalaciones de almacenamiento de información. Sin embargo, la información disponible públicamente sugiere que la única oficina de la empresa se encuentra en un edificio de apartamentos en Bucarest, Rumania.


La aplicación BeanVPN se descargó más de 50 000 veces desde Google Play Store y no está disponible en App Store. El sitio web Beanvpn.com se utiliza para promocionar la otra aplicación de la empresa: Telefly MTProto Proxy Servers for Telegram.

Miles de bases de datos abiertas

En su política de privacidad, IMSOFT dice que "ninguna medida de seguridad de datos en el mundo puede ofrecer una protección del 100 %". Y eso es en parte cierto, ya que esta no es la primera fuga de datos de VPN que hemos presenciado.

En marzo de 2021, el equipo de Cybernews descubrió las tres bases de datos que contenían los datos de 21 millones de personas, filtradas por SuperVPN, GeckoVPN y ChatVPN. La información a la venta en el dark market incluía direcciones de correo electrónico y contraseñas (hash para los dos primeros servicios y en texto sin formato para ChatVPN), los nombres completos de los usuarios e información sobre el país y los pagos.

Tampoco es la primera vez que nos encontramos con una instancia abierta de Elasticsearch. Este es un motor de búsqueda popular preferido por las empresas que manejan grandes volúmenes de datos constantemente actualizados.

Recientemente, el equipo de Cybernews encontró un conjunto de datos que se cree que pertenece a las fuerzas del orden del Reino Unido con información sobre millones de vehículos accesibles al público, mientras que los buscadores de empleo en Italia y Europa del Este estaban en riesgo porque los motores de búsqueda de empleo dejaron las instancias de ElasticSearch abiertas al público.

Los investigadores de Secureworks encontraron recientemente más de 1200 conjuntos de datos de Elasticsearch que fueron borrados por actores de amenazas que también dejaron una nota de rescate para los propietarios de la base de datos. Han identificado más de 450 demandas de rescate individuales, por un total de más de $280,000.

Una actividad similar no es exclusiva de Elasticsearch. En 2020, un actor de amenazas reemplazó más de 1000 archivos de bases de datos no seguros en Elasticsearch, MongoDB y otras plataformas con la palabra "miau".

You are not allowed to view links. Register or Login

El año pasado, los investigadores de Cybernews descubrieron que más de 29 000 bases de datos de Elasticsearch, Apache Hadoop y MongoDB en todo el mundo aún eran de acceso público, lo que dejaba cerca de 19 000 terabytes de datos expuestos a cualquier persona, incluidos los actores de amenazas.

Fuente:
CyberNews
You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 91