Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#2041
Dudas y pedidos generales / Re:Desencriptar HDD Externo
Febrero 09, 2024, 06:33:12 PM #2042
Presentaciones y cumpleaños / Re:Presentación
Febrero 08, 2024, 04:54:34 PM
De seguro con nosotros aprenderá nuestra clásica estrategia gatopardiana de
"estar en todo...para no estar en nada"
entre otros trucos gatunos...
Sea Bienvenido!!
"estar en todo...para no estar en nada"
entre otros trucos gatunos...
Sea Bienvenido!!
#2043
Noticias Informáticas / Falla crítica en el gestor de arranque Shim afecta distribuciones de Linux
Febrero 07, 2024, 02:47:27 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Una vulnerabilidad crítica en el gestor de arranque Shim Linux permite a los atacantes ejecutar código y tomar el control de un sistema objetivo antes de que se cargue el kernel, evitando los mecanismos de seguridad existentes.
Shim es un pequeño gestor de arranque de código abierto mantenido por Red Hat que está diseñado para facilitar el proceso de arranque seguro en computadoras que utilizan la Interfaz de firmware extensible unificada (UEFI).
La herramienta está firmada con una clave de Microsoft aceptada de forma predeterminada en la mayoría de las placas base UEFI que se utiliza para verificar la siguiente etapa del proceso de arranque, generalmente cargando el gestor de arranque GRUB2.
Shim se creó por necesidad para permitir que proyectos de código abierto, como las distribuciones de Linux, se beneficiaran de las ventajas del arranque seguro, como evitar la ejecución de código malicioso o no autorizado durante el arranque, manteniendo al mismo tiempo el control sobre el hardware.
La nueva falla de Shim, rastreada como CVE-2023-40547, fue descubierta por el investigador de seguridad de Microsoft, Bill Demirkapi, quien la reveló por primera vez el 24 de enero de 2024.
El error reside en la fuente httpboot.c de Shim, que se utiliza para iniciar una imagen de red a través de HTTP.
"Al recuperar archivos a través de HTTP o protocolos relacionados, shim intenta asignar un búfer para almacenar los datos recibidos", se lee en el compromiso para corregir el error en httpboot.c.
"Desafortunadamente, esto significa obtener el tamaño de un encabezado HTTP, que puede manipularse para especificar un tamaño menor que los datos recibidos".
"En este caso, el código utiliza accidentalmente el encabezado para la asignación, pero los metadatos del protocolo para copiarlo del búfer rx, lo que resulta en una escritura fuera de límites".
Más detalles sobre la falla estuvieron disponibles el 2 de febrero de 2024, y Eclypsium publicó ayer un informe para llamar la atención sobre este problema de seguridad.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La vulnerabilidad radica en el análisis de las respuestas HTTP por parte de Shim, lo que permite a un atacante crear solicitudes HTTP especialmente diseñadas para provocar una escritura fuera de límites.
Esto podría permitir que un atacante comprometa un sistema ejecutando código privilegiado antes de que se cargue el sistema operativo, evitando efectivamente los mecanismos de seguridad implementados por el kernel y el sistema operativo.
Eclypsium dice que múltiples rutas potenciales de explotación pueden aprovechar CVE-2023-40547, incluidos puntos de ataque locales, adyacentes a la red y remotos. El informe de la empresa destaca los siguientes tres métodos:
- Un atacante remoto puede ejecutar un ataque de intermediario (MiTM), interceptando el tráfico HTTP para el arranque HTTP, potencialmente desde cualquier posición de la red entre la víctima y el servidor.
- Un atacante local con privilegios suficientes puede modificar las variables EFI o la partición EFI utilizando un USB Linux activo para alterar el orden de arranque y cargar un shim comprometido, ejecutando código privilegiado sin deshabilitar el arranque seguro.
- Un atacante en la misma red puede usar PXE para cargar un cargador de arranque comprometido, explotando la vulnerabilidad.
Impacto y correcciones
RedHat emitió un código de confirmación para corregir CVE-2023-40547 el 5 de diciembre de 2023, pero las distribuciones de Linux que admiten Secure Boot y usan Shim deben implementar sus propios parches.
Las distribuciones de Linux que utilizan Shim, como Red Hat, Debian, Ubuntu y SUSE, han publicado avisos con información sobre la falla.
Se recomienda a los usuarios de Linux que actualicen a la última versión de Shim, v15.8, que contiene una solución para CVE-2023-40547 y otras cinco vulnerabilidades importantes.
Eclypsium explica que los usuarios de Linux también deben actualizar UEFI Secure Boot DBX (lista de revocación) para incluir los hashes del software Shim vulnerable y firmar la versión parcheada con una clave válida de Microsoft.
Para hacer eso, primero actualice a Shim 15.8 y luego aplique la actualización DBX usando el comando 'fwupdmgr update' (necesita fwupd).
Comando para actualizar DBX
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Algunas distribuciones de Linux ofrecen una herramienta GUI para realizar esta actualización, así que asegúrese de verificar su administrador de paquetes antes de profundizar en la terminal.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Aunque es poco probable que se explote masivamente, CVE-2023-40547 no es un error que deba ignorarse, ya que ejecutar código antes del inicio del sistema operativo es una de las formas más fuertes y sigilosas de comprometer el sistema.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Una vulnerabilidad crítica en el gestor de arranque Shim Linux permite a los atacantes ejecutar código y tomar el control de un sistema objetivo antes de que se cargue el kernel, evitando los mecanismos de seguridad existentes.
Shim es un pequeño gestor de arranque de código abierto mantenido por Red Hat que está diseñado para facilitar el proceso de arranque seguro en computadoras que utilizan la Interfaz de firmware extensible unificada (UEFI).
La herramienta está firmada con una clave de Microsoft aceptada de forma predeterminada en la mayoría de las placas base UEFI que se utiliza para verificar la siguiente etapa del proceso de arranque, generalmente cargando el gestor de arranque GRUB2.
Shim se creó por necesidad para permitir que proyectos de código abierto, como las distribuciones de Linux, se beneficiaran de las ventajas del arranque seguro, como evitar la ejecución de código malicioso o no autorizado durante el arranque, manteniendo al mismo tiempo el control sobre el hardware.
La nueva falla de Shim, rastreada como CVE-2023-40547, fue descubierta por el investigador de seguridad de Microsoft, Bill Demirkapi, quien la reveló por primera vez el 24 de enero de 2024.
El error reside en la fuente httpboot.c de Shim, que se utiliza para iniciar una imagen de red a través de HTTP.
"Al recuperar archivos a través de HTTP o protocolos relacionados, shim intenta asignar un búfer para almacenar los datos recibidos", se lee en el compromiso para corregir el error en httpboot.c.
"Desafortunadamente, esto significa obtener el tamaño de un encabezado HTTP, que puede manipularse para especificar un tamaño menor que los datos recibidos".
"En este caso, el código utiliza accidentalmente el encabezado para la asignación, pero los metadatos del protocolo para copiarlo del búfer rx, lo que resulta en una escritura fuera de límites".
Más detalles sobre la falla estuvieron disponibles el 2 de febrero de 2024, y Eclypsium publicó ayer un informe para llamar la atención sobre este problema de seguridad.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La vulnerabilidad radica en el análisis de las respuestas HTTP por parte de Shim, lo que permite a un atacante crear solicitudes HTTP especialmente diseñadas para provocar una escritura fuera de límites.
Esto podría permitir que un atacante comprometa un sistema ejecutando código privilegiado antes de que se cargue el sistema operativo, evitando efectivamente los mecanismos de seguridad implementados por el kernel y el sistema operativo.
Eclypsium dice que múltiples rutas potenciales de explotación pueden aprovechar CVE-2023-40547, incluidos puntos de ataque locales, adyacentes a la red y remotos. El informe de la empresa destaca los siguientes tres métodos:
- Un atacante remoto puede ejecutar un ataque de intermediario (MiTM), interceptando el tráfico HTTP para el arranque HTTP, potencialmente desde cualquier posición de la red entre la víctima y el servidor.
- Un atacante local con privilegios suficientes puede modificar las variables EFI o la partición EFI utilizando un USB Linux activo para alterar el orden de arranque y cargar un shim comprometido, ejecutando código privilegiado sin deshabilitar el arranque seguro.
- Un atacante en la misma red puede usar PXE para cargar un cargador de arranque comprometido, explotando la vulnerabilidad.
Impacto y correcciones
RedHat emitió un código de confirmación para corregir CVE-2023-40547 el 5 de diciembre de 2023, pero las distribuciones de Linux que admiten Secure Boot y usan Shim deben implementar sus propios parches.
Las distribuciones de Linux que utilizan Shim, como Red Hat, Debian, Ubuntu y SUSE, han publicado avisos con información sobre la falla.
Se recomienda a los usuarios de Linux que actualicen a la última versión de Shim, v15.8, que contiene una solución para CVE-2023-40547 y otras cinco vulnerabilidades importantes.
Eclypsium explica que los usuarios de Linux también deben actualizar UEFI Secure Boot DBX (lista de revocación) para incluir los hashes del software Shim vulnerable y firmar la versión parcheada con una clave válida de Microsoft.
Para hacer eso, primero actualice a Shim 15.8 y luego aplique la actualización DBX usando el comando 'fwupdmgr update' (necesita fwupd).
Comando para actualizar DBX
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Algunas distribuciones de Linux ofrecen una herramienta GUI para realizar esta actualización, así que asegúrese de verificar su administrador de paquetes antes de profundizar en la terminal.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Aunque es poco probable que se explote masivamente, CVE-2023-40547 no es un error que deba ignorarse, ya que ejecutar código antes del inicio del sistema operativo es una de las formas más fuertes y sigilosas de comprometer el sistema.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2044
Noticias Informáticas / Hackers chinos no logran reconstruir la botnet desmantelada por el FBI
Febrero 07, 2024, 02:44:11 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos.
Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon (también conocido como Bronze Silhouette) enviar actividad maliciosa a través de cientos de pequeñas oficinas/oficinas domésticas (SOHO) comprometidas en todo Estados Unidos para evadir la detección.
Sin embargo, después de obtener una orden judicial que le autorizaba a desmantelar la botnet el 6 de diciembre, agentes del FBI tomaron el control de uno de sus servidores de comando y control (C2) y cortaron el acceso de los piratas informáticos chinos a los dispositivos infectados (enrutadores Netgear ProSAFE, Cisco RV320 y DrayTek Vigor más recientes, y cámaras IP Axis).
Dos días después, Volt Typhoon comenzó a escanear Internet en busca de dispositivos más vulnerables para secuestrar y reconstruir la botnet desmantelada.
Según un informe del equipo Black Lotus Labs de Lumen Technologies, los actores de amenazas llevaron a cabo un ataque a gran escala en 3.045 dispositivos, incluido un tercio de todos los enrutadores NetGear ProSAFE expuestos en línea a nivel mundial. De estos intentos lograron infectar 630 dispositivos
"Observamos un período breve pero concentrado de actividad de explotación a principios de diciembre de 2023, cuando los actores de amenazas intentaron restablecer su estructura de comando y control (C2) y devolver la botnet a su funcionamiento", dijo el equipo de Black Lotus Labs de Lumen Technologies.
"Durante un período de tres días, del 8 al 11 de diciembre de 2023, los operadores de botnets KV apuntaron a aproximadamente el 33% de los dispositivos NetGear ProSAFE en Internet para su reexplotación, un total de 2100 dispositivos distintos".
Sin embargo, a pesar de sus esfuerzos concertados, Black Lotus Labs frustró los intentos de los piratas informáticos chinos de revivir la botnet al anular el enrutamiento de toda la flota de servidores C2 y de carga útil del atacante durante un mes, entre el 12 de diciembre y el 12 de enero.
Desde que se observó la última baliza de la botnet KV el 3 de enero, no se ha activado ningún otro servidor C2.
"La falta de un servidor C2 activo combinada con la acción autorizada por el tribunal del FBI contra la botnet KV y el enrutamiento nulo persistente de Lumen Technologies de la infraestructura del clúster KV actual y nueva proporciona una buena indicación de que el clúster de actividad KV ya no está efectivamente activo". Dijo Black Lotus Labs.
Volt Typhoon ha estado violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, utilizando un grupo de botnets KV de firewalls Fortinet FortiGate comprometidos (activos hasta agosto de 2023) como trampolín para sus ataques.
La lista de organizaciones que los ciberespías chinos han violado y atacado incluye organizaciones militares estadounidenses, proveedores de servicios de Internet y telecomunicaciones, así como una empresa europea de energía renovable.
Hace una semana, CISA y el FBI instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén seguros contra los continuos ataques de Volt Typhoon mediante el uso de configuraciones predeterminadas seguras y la eliminación de fallas en la interfaz de administración web durante el desarrollo.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos.
Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon (también conocido como Bronze Silhouette) enviar actividad maliciosa a través de cientos de pequeñas oficinas/oficinas domésticas (SOHO) comprometidas en todo Estados Unidos para evadir la detección.
Sin embargo, después de obtener una orden judicial que le autorizaba a desmantelar la botnet el 6 de diciembre, agentes del FBI tomaron el control de uno de sus servidores de comando y control (C2) y cortaron el acceso de los piratas informáticos chinos a los dispositivos infectados (enrutadores Netgear ProSAFE, Cisco RV320 y DrayTek Vigor más recientes, y cámaras IP Axis).
Dos días después, Volt Typhoon comenzó a escanear Internet en busca de dispositivos más vulnerables para secuestrar y reconstruir la botnet desmantelada.
Según un informe del equipo Black Lotus Labs de Lumen Technologies, los actores de amenazas llevaron a cabo un ataque a gran escala en 3.045 dispositivos, incluido un tercio de todos los enrutadores NetGear ProSAFE expuestos en línea a nivel mundial. De estos intentos lograron infectar 630 dispositivos
"Observamos un período breve pero concentrado de actividad de explotación a principios de diciembre de 2023, cuando los actores de amenazas intentaron restablecer su estructura de comando y control (C2) y devolver la botnet a su funcionamiento", dijo el equipo de Black Lotus Labs de Lumen Technologies.
"Durante un período de tres días, del 8 al 11 de diciembre de 2023, los operadores de botnets KV apuntaron a aproximadamente el 33% de los dispositivos NetGear ProSAFE en Internet para su reexplotación, un total de 2100 dispositivos distintos".
Sin embargo, a pesar de sus esfuerzos concertados, Black Lotus Labs frustró los intentos de los piratas informáticos chinos de revivir la botnet al anular el enrutamiento de toda la flota de servidores C2 y de carga útil del atacante durante un mes, entre el 12 de diciembre y el 12 de enero.
Desde que se observó la última baliza de la botnet KV el 3 de enero, no se ha activado ningún otro servidor C2.
"La falta de un servidor C2 activo combinada con la acción autorizada por el tribunal del FBI contra la botnet KV y el enrutamiento nulo persistente de Lumen Technologies de la infraestructura del clúster KV actual y nueva proporciona una buena indicación de que el clúster de actividad KV ya no está efectivamente activo". Dijo Black Lotus Labs.
Volt Typhoon ha estado violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, utilizando un grupo de botnets KV de firewalls Fortinet FortiGate comprometidos (activos hasta agosto de 2023) como trampolín para sus ataques.
La lista de organizaciones que los ciberespías chinos han violado y atacado incluye organizaciones militares estadounidenses, proveedores de servicios de Internet y telecomunicaciones, así como una empresa europea de energía renovable.
Hace una semana, CISA y el FBI instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén seguros contra los continuos ataques de Volt Typhoon mediante el uso de configuraciones predeterminadas seguras y la eliminación de fallas en la interfaz de administración web durante el desarrollo.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2045
Noticias Informáticas / HPE investiga una nueva infracción tras la venta de datos en un foro
Febrero 07, 2024, 02:38:19 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Hewlett Packard Enterprise (HPE) está investigando una posible nueva infracción después de que un actor de amenazas pusiera a la venta en un foro de piratería, datos supuestamente robados, alegando que contenían credenciales de HPE y otra información confidencial.
La compañía declaró que no encontró ninguna evidencia de una violación de seguridad y que no se solicitó ningún rescate, pero está investigando las afirmaciones del actor de la amenaza.
"Somos conscientes de las afirmaciones y estamos investigando su veracidad", dijo el director sénior de Comunicaciones Globales de HPE, Adam R. Bauer.
"En este momento no hemos encontrado evidencia de una intrusión, ni ningún impacto en los productos o servicios de HPE. No ha habido un intento de extorsión".
Cuando se le pidió que proporcionara detalles adicionales sobre la investigación en curso de la compañía, Bauer dijo que no tenían "nada nuevo que compartir".
IntelBroker, el actor de amenazas que vende los supuestos datos de HPE, compartió capturas de pantalla de algunas de las credenciales de HPE supuestamente robadas, pero aún no ha revelado la fuente de la información ni el método utilizado para obtenerla.
"Hoy vendo los datos que tomé de Hewlett Packard Enterprise", dice el actor de amenazas en una publicación en el foro de piratería.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
"Más específicamente, los datos incluyen: acceso CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos HPE StoreOnce (garantía de números de serie, etc.) y contraseñas de acceso. (También se incluyen los servicios de correo electrónico)".
IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que expuso los datos personales de miembros y personal de la Cámara de Representantes de Estados Unidos.
Otros incidentes de ciberseguridad relacionados con IntelBroker, son la violación de la ley Weee! servicio de comestibles y un supuesto incumplimiento de General Electric Aviation.
Hackers rusos violan cuentas de correo electrónico corporativas de HPE
Esta investigación se produce después de que HPE revelara hace dos semanas que el entorno de correo electrónico Microsoft Office 365 de la empresa fue violado en mayo de 2023 por piratas informáticos, y que la empresa creía que formaban parte del grupo de piratería ruso APT29 vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
La compañía dijo que los piratas informáticos rusos robaron archivos y datos de SharePoint de su equipo de ciberseguridad y otros departamentos, y mantuvieron el acceso a su infraestructura en la nube hasta diciembre, cuando HPE fue alertada nuevamente de una violación de su entorno de correo electrónico basado en la nube.
"El 12 de diciembre de 2023, se notificó a HPE que un presunto actor estatal había obtenido acceso no autorizado al entorno de correo electrónico Office 365 de la empresa. HPE activó inmediatamente los protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad". HPE.
"A través de esa investigación, que continúa en curso, determinamos que este actor-estado-nación accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a individuos en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones."
Días antes de la revelación del hackeo ruso de HPE, Microsoft reveló una violación similar en la que APT29 violó algunas de sus cuentas de correo electrónico corporativas pertenecientes a su equipo de liderazgo y empleados de los departamentos legal y de ciberseguridad.
Más tarde, Microsoft compartió que los actores de amenazas obtuvieron acceso a las cuentas de correo electrónico corporativas después de piratear una cuenta de inquilino de prueba mal configurada forzando su contraseña por fuerza bruta en un ataque de "rociación de contraseñas".
HPE también fue violada en 2018 cuando los piratas informáticos chinos APT10, piratearon las redes de IBM y utilizaron el acceso para piratear los dispositivos de sus clientes.
Más recientemente, HPE reveló en 2021 que los repositorios de datos de su plataforma de monitoreo de red Aruba Central estaban comprometidos, lo que permitía a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.
Actualización: Después de la publicación del artículo, Bauer también le dijo que, los datos que se ofrecen a la venta en línea se obtuvieron de un "entorno de prueba".
"Según nuestra investigación hasta ahora, los datos en cuestión parecen estar relacionados con información contenida en un entorno de prueba. No hay indicios de que estas afirmaciones se relacionen con algún compromiso de los entornos de producción de HPE o la información del cliente", dijo Bauer en un comunicado, enviado por correo electrónico.
"Estas son credenciales locales utilizadas en un entorno de prueba aislado y no son aplicables al entorno de producción. Además, estas credenciales por sí solas no permitirían el acceso a los entornos de producción ya que contamos con medidas de seguridad de múltiples capas. Además, no tenemos ningún indicio de que estas afirmaciones se relacionen con cualquier compromiso de la información del cliente. Dicho esto, hemos tomado medidas adicionales para endurecer aún más nuestro entorno en relación con las credenciales en cuestión".
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hewlett Packard Enterprise (HPE) está investigando una posible nueva infracción después de que un actor de amenazas pusiera a la venta en un foro de piratería, datos supuestamente robados, alegando que contenían credenciales de HPE y otra información confidencial.
La compañía declaró que no encontró ninguna evidencia de una violación de seguridad y que no se solicitó ningún rescate, pero está investigando las afirmaciones del actor de la amenaza.
"Somos conscientes de las afirmaciones y estamos investigando su veracidad", dijo el director sénior de Comunicaciones Globales de HPE, Adam R. Bauer.
"En este momento no hemos encontrado evidencia de una intrusión, ni ningún impacto en los productos o servicios de HPE. No ha habido un intento de extorsión".
Cuando se le pidió que proporcionara detalles adicionales sobre la investigación en curso de la compañía, Bauer dijo que no tenían "nada nuevo que compartir".
IntelBroker, el actor de amenazas que vende los supuestos datos de HPE, compartió capturas de pantalla de algunas de las credenciales de HPE supuestamente robadas, pero aún no ha revelado la fuente de la información ni el método utilizado para obtenerla.
"Hoy vendo los datos que tomé de Hewlett Packard Enterprise", dice el actor de amenazas en una publicación en el foro de piratería.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
"Más específicamente, los datos incluyen: acceso CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos HPE StoreOnce (garantía de números de serie, etc.) y contraseñas de acceso. (También se incluyen los servicios de correo electrónico)".
IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que expuso los datos personales de miembros y personal de la Cámara de Representantes de Estados Unidos.
Otros incidentes de ciberseguridad relacionados con IntelBroker, son la violación de la ley Weee! servicio de comestibles y un supuesto incumplimiento de General Electric Aviation.
Hackers rusos violan cuentas de correo electrónico corporativas de HPE
Esta investigación se produce después de que HPE revelara hace dos semanas que el entorno de correo electrónico Microsoft Office 365 de la empresa fue violado en mayo de 2023 por piratas informáticos, y que la empresa creía que formaban parte del grupo de piratería ruso APT29 vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
La compañía dijo que los piratas informáticos rusos robaron archivos y datos de SharePoint de su equipo de ciberseguridad y otros departamentos, y mantuvieron el acceso a su infraestructura en la nube hasta diciembre, cuando HPE fue alertada nuevamente de una violación de su entorno de correo electrónico basado en la nube.
"El 12 de diciembre de 2023, se notificó a HPE que un presunto actor estatal había obtenido acceso no autorizado al entorno de correo electrónico Office 365 de la empresa. HPE activó inmediatamente los protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad". HPE.
"A través de esa investigación, que continúa en curso, determinamos que este actor-estado-nación accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a individuos en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones."
Días antes de la revelación del hackeo ruso de HPE, Microsoft reveló una violación similar en la que APT29 violó algunas de sus cuentas de correo electrónico corporativas pertenecientes a su equipo de liderazgo y empleados de los departamentos legal y de ciberseguridad.
Más tarde, Microsoft compartió que los actores de amenazas obtuvieron acceso a las cuentas de correo electrónico corporativas después de piratear una cuenta de inquilino de prueba mal configurada forzando su contraseña por fuerza bruta en un ataque de "rociación de contraseñas".
HPE también fue violada en 2018 cuando los piratas informáticos chinos APT10, piratearon las redes de IBM y utilizaron el acceso para piratear los dispositivos de sus clientes.
Más recientemente, HPE reveló en 2021 que los repositorios de datos de su plataforma de monitoreo de red Aruba Central estaban comprometidos, lo que permitía a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.
Actualización: Después de la publicación del artículo, Bauer también le dijo que, los datos que se ofrecen a la venta en línea se obtuvieron de un "entorno de prueba".
"Según nuestra investigación hasta ahora, los datos en cuestión parecen estar relacionados con información contenida en un entorno de prueba. No hay indicios de que estas afirmaciones se relacionen con algún compromiso de los entornos de producción de HPE o la información del cliente", dijo Bauer en un comunicado, enviado por correo electrónico.
"Estas son credenciales locales utilizadas en un entorno de prueba aislado y no son aplicables al entorno de producción. Además, estas credenciales por sí solas no permitirían el acceso a los entornos de producción ya que contamos con medidas de seguridad de múltiples capas. Además, no tenemos ningún indicio de que estas afirmaciones se relacionen con cualquier compromiso de la información del cliente. Dicho esto, hemos tomado medidas adicionales para endurecer aún más nuestro entorno en relación con las credenciales en cuestión".
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2046
Noticias Informáticas / Google aborda una vulnerabilidad crítica en Android
Febrero 07, 2024, 02:32:56 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Google lanzó sus parches de seguridad de febrero de 2024 para Android, abordando un total de 46 vulnerabilidades.
Entre estas vulnerabilidades, una falla crítica de ejecución remota de código, identificada como CVE-2024-0031, representa un riesgo significativo. Esta falla se encuentra dentro del componente Sistema del Proyecto de código abierto de Android (AOSP) y afecta a las versiones 11, 12, 12L, 13 y 14.
El aviso de Google dice: "Se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP) y se han vinculado desde este boletín. Este boletín también incluye enlaces a parches fuera de AOSP". Esto pone de relieve el compromiso de la empresa con la transparencia y su enfoque proactivo para abordar las vulnerabilidades de seguridad.
El aviso señala, además: "El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales". Esto subraya la gravedad de la vulnerabilidad, ya que permite a un atacante ejecutar código arbitrario de forma remota sin requerir permisos adicionales.
En respuesta a estas vulnerabilidades, Google ha lanzado dos niveles de parche de seguridad: el 2024-02-01 de Android y el 2024-02-05 de Android.
Estos parches están diseñados para permitir a los socios de Google abordar un subconjunto de vulnerabilidades. Sin embargo, Google recomienda encarecidamente a sus socios de Android que aborden todos los problemas descritos en el boletín para garantizar una seguridad integral.
Se recomienda a los usuarios que apliquen los parches de seguridad tan pronto como estén disponibles. La aplicación oportuna de estos parches es crucial para mitigar los riesgos asociados con estas vulnerabilidades.
Fuente:
Vulnera
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Google lanzó sus parches de seguridad de febrero de 2024 para Android, abordando un total de 46 vulnerabilidades.
Entre estas vulnerabilidades, una falla crítica de ejecución remota de código, identificada como CVE-2024-0031, representa un riesgo significativo. Esta falla se encuentra dentro del componente Sistema del Proyecto de código abierto de Android (AOSP) y afecta a las versiones 11, 12, 12L, 13 y 14.
El aviso de Google dice: "Se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP) y se han vinculado desde este boletín. Este boletín también incluye enlaces a parches fuera de AOSP". Esto pone de relieve el compromiso de la empresa con la transparencia y su enfoque proactivo para abordar las vulnerabilidades de seguridad.
El aviso señala, además: "El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales". Esto subraya la gravedad de la vulnerabilidad, ya que permite a un atacante ejecutar código arbitrario de forma remota sin requerir permisos adicionales.
En respuesta a estas vulnerabilidades, Google ha lanzado dos niveles de parche de seguridad: el 2024-02-01 de Android y el 2024-02-05 de Android.
Estos parches están diseñados para permitir a los socios de Google abordar un subconjunto de vulnerabilidades. Sin embargo, Google recomienda encarecidamente a sus socios de Android que aborden todos los problemas descritos en el boletín para garantizar una seguridad integral.
Se recomienda a los usuarios que apliquen los parches de seguridad tan pronto como estén disponibles. La aplicación oportuna de estos parches es crucial para mitigar los riesgos asociados con estas vulnerabilidades.
Fuente:
Vulnera
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2047
Noticias Informáticas / Pagos de criptorescates alcanzaron récord de mil millones de dólares en 2023
Febrero 07, 2024, 01:23:00 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
7 feb (Reuters) - Los pagos de ataques de rescate relacionados con criptomonedas casi se duplicaron a un récord de mil millones de dólares en 2023, dijo el miércoles la firma de análisis blockchain Chainalysis.
Los estafadores que se dirigen a instituciones como hospitales, escuelas y oficinas gubernamentales para pedir rescate se embolsaron 1.100 millones de dólares el año pasado, en comparación con 567 millones de dólares en 2022.
Sin embargo, las pérdidas derivadas de otros delitos relacionados con las criptomonedas, como la estafa y la piratería, disminuyeron en 2023, dijo Chainalysis.
Bitcoin, la criptomoneda más grande, ha subido un 60% desde finales de septiembre a 43.134 dólares debido al entusiasmo por un nuevo ETF de bitcoin en Estados Unidos y a las señales de que los bancos centrales de todo el mundo comenzarán a recortar las tasas de interés.
"Un número cada vez mayor de nuevos actores se sintieron atraídos por el potencial de obtener altas ganancias y menores barreras de entrada", dijo Chainalysis.
La "caza mayor" se ha convertido en la estrategia dominante en los últimos años, con una parte dominante de todo el volumen de ingresos por rescates compuesta por pagos de 1 millón de dólares o más, añadió Chainalysis.
Un grupo de extorsionadores digitales llamado "cl0p", que subvirtió un software para compartir archivos MOVEit, hizo casi 100 millones de dólares en pagos de rescate, dijo la compañía de análisis.
Cientos de organizaciones, incluidos departamentos gubernamentales, el regulador de telecomunicaciones del Reino Unido y el gigante energético Shell, han informado violaciones de seguridad cibernética que involucran la herramienta de software MOVEit, que generalmente se usa para transferir grandes cantidades de datos, a menudo confidenciales, incluida información de pensiones y números de seguro social.
Un informe de noviembre mostró que el grupo de cibercrimen "Black Basta" había extorsionado al menos 107 millones de dólares en bitcoins, y gran parte de los pagos de rescate lavados llegaron al sancionado intercambio ruso de criptomonedas Garantex.
El robo de criptomonedas mediante ciberatracos y ataques de ransomware también es una importante fuente de financiación para Corea del Norte, según informes de la ONU.
Las cifras de Chainalysis subestiman el papel de las criptomonedas en todos los delitos, ya que solo rastrea las criptomonedas enviadas a direcciones de billetera identificadas como ilícitas. No incluye pagos por delitos no relacionados con las criptomonedas, como las criptomonedas utilizadas en acuerdos de tráfico de drogas.
Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
7 feb (Reuters) - Los pagos de ataques de rescate relacionados con criptomonedas casi se duplicaron a un récord de mil millones de dólares en 2023, dijo el miércoles la firma de análisis blockchain Chainalysis.
Los estafadores que se dirigen a instituciones como hospitales, escuelas y oficinas gubernamentales para pedir rescate se embolsaron 1.100 millones de dólares el año pasado, en comparación con 567 millones de dólares en 2022.
Sin embargo, las pérdidas derivadas de otros delitos relacionados con las criptomonedas, como la estafa y la piratería, disminuyeron en 2023, dijo Chainalysis.
Bitcoin, la criptomoneda más grande, ha subido un 60% desde finales de septiembre a 43.134 dólares debido al entusiasmo por un nuevo ETF de bitcoin en Estados Unidos y a las señales de que los bancos centrales de todo el mundo comenzarán a recortar las tasas de interés.
"Un número cada vez mayor de nuevos actores se sintieron atraídos por el potencial de obtener altas ganancias y menores barreras de entrada", dijo Chainalysis.
La "caza mayor" se ha convertido en la estrategia dominante en los últimos años, con una parte dominante de todo el volumen de ingresos por rescates compuesta por pagos de 1 millón de dólares o más, añadió Chainalysis.
Un grupo de extorsionadores digitales llamado "cl0p", que subvirtió un software para compartir archivos MOVEit, hizo casi 100 millones de dólares en pagos de rescate, dijo la compañía de análisis.
Cientos de organizaciones, incluidos departamentos gubernamentales, el regulador de telecomunicaciones del Reino Unido y el gigante energético Shell, han informado violaciones de seguridad cibernética que involucran la herramienta de software MOVEit, que generalmente se usa para transferir grandes cantidades de datos, a menudo confidenciales, incluida información de pensiones y números de seguro social.
Un informe de noviembre mostró que el grupo de cibercrimen "Black Basta" había extorsionado al menos 107 millones de dólares en bitcoins, y gran parte de los pagos de rescate lavados llegaron al sancionado intercambio ruso de criptomonedas Garantex.
El robo de criptomonedas mediante ciberatracos y ataques de ransomware también es una importante fuente de financiación para Corea del Norte, según informes de la ONU.
Las cifras de Chainalysis subestiman el papel de las criptomonedas en todos los delitos, ya que solo rastrea las criptomonedas enviadas a direcciones de billetera identificadas como ilícitas. No incluye pagos por delitos no relacionados con las criptomonedas, como las criptomonedas utilizadas en acuerdos de tráfico de drogas.
Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2048
Noticias Informáticas / Virus o intento de atraco a FINCIMEX (Cuba)?
Febrero 07, 2024, 01:16:08 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Sí hubo un ataque, al parecer, y aún los sitios de CIMEX continuaban dando error, ya con advertencias de "mantenimiento" o de imposibilidad de encontrar la dirección proporcionada.
Así, en los días previos los usuarios de la financiera estuvieron reportando problemas de "autorización denegada" a sus cuentas, invalidez de los códigos captcha y números de clave, tanto como demora excesiva en la llegada de remesas, aunque esto último, a la par de la nula respuesta a las quejas de los clientes, son problemas que han caracterizado los servicios de FINCIMEX aun en los momentos en que funcionaba "normalmente".
El 16 de noviembre de 2021 Fincimex informaba sobre el inesperado traslado de sus operaciones a un nuevo sitio web, cerrando las operaciones de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con "carácter temporal" bajo la justificación de realizar "actualizaciones técnicas" que le permitieran "regresar con mejores prestaciones"; sin embargo, unos días antes, el 10 de noviembre de 2021, ante las reiteradas quejas de los usuarios, Fincimex debió informar sobre la interrupción de los servicios de extracción de efectivo con tarjetas VISA, AIS y BFI en cajeros automáticos por "dificultades tecnológicas".
Un año bien tenso el 2021 para CIMEX, en tanto a finales de junio de 2021 el atraco a uno de sus establecimientos comerciales causó la sustracción de cientos de tarjetas prepago para los combustibles que por breve tiempo circularon, aunque pudo causarle pérdidas considerables.
Ahora en 2024, a punto de ser activadas las nuevas tarjetas "Clásica" de prepago en USD y de iniciar las operaciones la nueva red de servicentros que comercializarán en moneda fuerte, FINCIMEX habría estado bajo un "intento de atraco".
De acuerdo con unas fuentes, los servidores de la corporación estatal CIMEX , a la cual pertenece Fincimex, no se infectaron por programas maliciosos con la intención de ponerlos fuera de servicio sino que fueron manipulados desde la propia empresa con la intención de, una vez activadas, obtener duplicados de las tarjetas prepago en circulación. Delitos de robo y fraude por los cuales actualmente estarían siendo investigadas varias personas dentro de la propia financiera, así como al menos dos estudiantes de 4to. año de la Universidad de Ciencias Informáticas (UCI) y al menos un profesor que, para los trabajos de diploma y por algunos servicios prestados, tuvieron vínculos directos con la corporación.
No obstante, otras fuentes consultadas, ligadas estrechamente a la UCI como parte de su claustro, aunque al igual descartan que el ataque proviniera del exterior —como se afirmó en la nota oficial—, no reconocen un vínculo directo entre los detenidos y CIMEX sino que se trataría solo de un ataque o atentado contra los servidores de la corporación, sin otros objetivos que no fueran inutilizarlos como protesta por la impopularidad de las medidas que entrarían en vigor.
Igual, de acuerdo con las fuentes, lo ocurrido con Fincimex es lo que los expertos en ciberseguridad denominan "ataque de denegación de servicio" o DoS, por sus siglas en inglés, considerado entre los ataques más comunes en los últimos años en Cuba ya provenientes del exterior o internos.
Los ataques de denegación de servicio tienen como objetivo bloquear o ralentizar el acceso de los usuarios a un sistema o servicio informático. En este caso, como los describe la literatura especializada, los servidores de CIMEX habrían sido inundados por un alud de solicitudes que saturaron su capacidad de respuesta, lo cual terminó bloqueándolos.
Hasta el momento, no se ha podido confirmar la identidad de las personas detenidas por el presunto ataque cibernético. Igualmente, ningún medio oficial o vinculado a estos, ni el Centro Nacional de Ciberseguridad o la Oficina de Seguridad para las Redes Informáticas de Cuba, han ofrecido detalles de lo ocurrido más allá de atribuir el ataque a un origen externo.
Solo el año pasado el Centro de Operaciones de Seguridad de la Empresa de Telecomunicaciones de Cuba (ETECSA) reveló que se detectaron en la Isla más de 2.600 incidentes, la mayor parte de ellos de los llamados DoS.
Asimismo, aseguró que los ciberataques contra sitios web cubanos se ejecutaron con el empleo de direcciones IP registradas en proveedores de servicios de telecomunicaciones de Estados Unidos, Reino Unido, Francia, Turquía, Alemania y Países Bajos, pero no hizo referencia a los numerosos ataques de robo de identidad, sustracción de datos y otros que son denunciados a diario en Cuba, casi todos internos.
Luego de los ciberataques de julio de 2021 a los servidores del Ministerio de Relaciones Exteriores, el Banco Central de Cuba y los Servicios de hospedaje de ETECSA, que afectó los sitios de la Presidencia de la República, Granma, Cubadebate y el Partido Comunista (PCC), entre otros, este a Fincimex es sin dudas el más significativo hasta la fecha.
Fuente:
CubaNet
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Sí hubo un ataque, al parecer, y aún los sitios de CIMEX continuaban dando error, ya con advertencias de "mantenimiento" o de imposibilidad de encontrar la dirección proporcionada.
Así, en los días previos los usuarios de la financiera estuvieron reportando problemas de "autorización denegada" a sus cuentas, invalidez de los códigos captcha y números de clave, tanto como demora excesiva en la llegada de remesas, aunque esto último, a la par de la nula respuesta a las quejas de los clientes, son problemas que han caracterizado los servicios de FINCIMEX aun en los momentos en que funcionaba "normalmente".
El 16 de noviembre de 2021 Fincimex informaba sobre el inesperado traslado de sus operaciones a un nuevo sitio web, cerrando las operaciones de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con "carácter temporal" bajo la justificación de realizar "actualizaciones técnicas" que le permitieran "regresar con mejores prestaciones"; sin embargo, unos días antes, el 10 de noviembre de 2021, ante las reiteradas quejas de los usuarios, Fincimex debió informar sobre la interrupción de los servicios de extracción de efectivo con tarjetas VISA, AIS y BFI en cajeros automáticos por "dificultades tecnológicas".
Un año bien tenso el 2021 para CIMEX, en tanto a finales de junio de 2021 el atraco a uno de sus establecimientos comerciales causó la sustracción de cientos de tarjetas prepago para los combustibles que por breve tiempo circularon, aunque pudo causarle pérdidas considerables.
Ahora en 2024, a punto de ser activadas las nuevas tarjetas "Clásica" de prepago en USD y de iniciar las operaciones la nueva red de servicentros que comercializarán en moneda fuerte, FINCIMEX habría estado bajo un "intento de atraco".
De acuerdo con unas fuentes, los servidores de la corporación estatal CIMEX , a la cual pertenece Fincimex, no se infectaron por programas maliciosos con la intención de ponerlos fuera de servicio sino que fueron manipulados desde la propia empresa con la intención de, una vez activadas, obtener duplicados de las tarjetas prepago en circulación. Delitos de robo y fraude por los cuales actualmente estarían siendo investigadas varias personas dentro de la propia financiera, así como al menos dos estudiantes de 4to. año de la Universidad de Ciencias Informáticas (UCI) y al menos un profesor que, para los trabajos de diploma y por algunos servicios prestados, tuvieron vínculos directos con la corporación.
No obstante, otras fuentes consultadas, ligadas estrechamente a la UCI como parte de su claustro, aunque al igual descartan que el ataque proviniera del exterior —como se afirmó en la nota oficial—, no reconocen un vínculo directo entre los detenidos y CIMEX sino que se trataría solo de un ataque o atentado contra los servidores de la corporación, sin otros objetivos que no fueran inutilizarlos como protesta por la impopularidad de las medidas que entrarían en vigor.
Igual, de acuerdo con las fuentes, lo ocurrido con Fincimex es lo que los expertos en ciberseguridad denominan "ataque de denegación de servicio" o DoS, por sus siglas en inglés, considerado entre los ataques más comunes en los últimos años en Cuba ya provenientes del exterior o internos.
Los ataques de denegación de servicio tienen como objetivo bloquear o ralentizar el acceso de los usuarios a un sistema o servicio informático. En este caso, como los describe la literatura especializada, los servidores de CIMEX habrían sido inundados por un alud de solicitudes que saturaron su capacidad de respuesta, lo cual terminó bloqueándolos.
Hasta el momento, no se ha podido confirmar la identidad de las personas detenidas por el presunto ataque cibernético. Igualmente, ningún medio oficial o vinculado a estos, ni el Centro Nacional de Ciberseguridad o la Oficina de Seguridad para las Redes Informáticas de Cuba, han ofrecido detalles de lo ocurrido más allá de atribuir el ataque a un origen externo.
Solo el año pasado el Centro de Operaciones de Seguridad de la Empresa de Telecomunicaciones de Cuba (ETECSA) reveló que se detectaron en la Isla más de 2.600 incidentes, la mayor parte de ellos de los llamados DoS.
Asimismo, aseguró que los ciberataques contra sitios web cubanos se ejecutaron con el empleo de direcciones IP registradas en proveedores de servicios de telecomunicaciones de Estados Unidos, Reino Unido, Francia, Turquía, Alemania y Países Bajos, pero no hizo referencia a los numerosos ataques de robo de identidad, sustracción de datos y otros que son denunciados a diario en Cuba, casi todos internos.
Luego de los ciberataques de julio de 2021 a los servidores del Ministerio de Relaciones Exteriores, el Banco Central de Cuba y los Servicios de hospedaje de ETECSA, que afectó los sitios de la Presidencia de la República, Granma, Cubadebate y el Partido Comunista (PCC), entre otros, este a Fincimex es sin dudas el más significativo hasta la fecha.
Fuente:
CubaNet
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2049
Noticias Informáticas / Rompen el cifrado BitLocker de Windows
Febrero 07, 2024, 01:13:20 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
El cifrado BitLocker lleva ya unos cuantos años disponible y viene integrado en las versiones Pro, Ultimate y Enterprise de los sistemas operativos Windows. Su debut se produjo en Windows Vista, y se ha mantenido desde entonces hasta nuestros días, ya que tanto Windows 10 Pro como Windows 11 Pro cuentan con dicha tecnología de cifrado.
La principal ventaja que tiene el cifrado BitLocker es que es una herramienta muy sencilla y fácil de utilizar, y el hecho de que venga integrado en Windows de forma gratuita ha sido clave para que su popularidad creciera exponencialmente. Gracias a esta solución podemos cifrar los datos de nuestras unidades de almacenamiento en Windows, ¿pero realmente es una solución tan segura como se cree?
Podríamos entrar en un debate profundo para intentar responder a esa pregunta, pero la verdad es que es innecesario, porque han conseguido romper el cifrado BitLocker de Windows utilizando algo tan simple y tan asequible como una Raspberry Pi Pico de 5 dólares. Puede que alguno esté pensando que, al menos, habrá sido relativamente difícil romper dicho cifrado, y que habrán necesitado bastante tiempo al utilizar un hardware tan modesto, pero nada más lejos de la realidad.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El autor del vídeo adjunto ha necesitado solo 43 segundos para tumbar BitLocker.
¿Cómo lo ha hecho?
Pues ejecutando un ataque que aprovechaba el chip TPM, siglas de Módulo de Plataforma de Confianza, un componente que forma parte de los requisitos de Windows 11. En la mayoría de los ordenadores y portátiles profesionales este chip es fácil de localizar, y este utiliza el bus LPC para enviar y recibir información de la CPU.
El cifrado BitLocker depende del chip TPM para almacenar datos fundamentales, como los Registros de Configuración de Plataforma y la Clave Maestra de Volumen. La clave es que las comunicaciones entre la CPU y el bus LPC se realizan a través de líneas que no están cifradas desde el proceso de arranque, lo que deja abierta una importante vía de entrada que ha sido clave para completar el ataque.
Al conectar de forma física la Raspberry Pi Pico a los pines de un conector LPC no utilizado el atacante pudo hacerse con las claves de cifrado durante el arranque, porque estas no están cifradas, y al final pudo unir todas las piezas necesarias para obtener la Clave Maestra de Volumen en solo 43 segundos. Cuando terminó solo tuvo que retirar la unidad cifrada y utilizar dicha clave para descifrarla.
Obvia decir que este tipo de ataque solo funcionan en aquellos equipos que tienen un chip TPM externo, y que no es efectivo en sistemas que utilicen fTPM, ya que en este caso la información y los datos de importancia crítica se almacenan en la propia CPU, así que no existe esa vulnerabilidad del conector LPC con líneas sin cifrar durante el arranque.
Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El cifrado BitLocker lleva ya unos cuantos años disponible y viene integrado en las versiones Pro, Ultimate y Enterprise de los sistemas operativos Windows. Su debut se produjo en Windows Vista, y se ha mantenido desde entonces hasta nuestros días, ya que tanto Windows 10 Pro como Windows 11 Pro cuentan con dicha tecnología de cifrado.
La principal ventaja que tiene el cifrado BitLocker es que es una herramienta muy sencilla y fácil de utilizar, y el hecho de que venga integrado en Windows de forma gratuita ha sido clave para que su popularidad creciera exponencialmente. Gracias a esta solución podemos cifrar los datos de nuestras unidades de almacenamiento en Windows, ¿pero realmente es una solución tan segura como se cree?
Podríamos entrar en un debate profundo para intentar responder a esa pregunta, pero la verdad es que es innecesario, porque han conseguido romper el cifrado BitLocker de Windows utilizando algo tan simple y tan asequible como una Raspberry Pi Pico de 5 dólares. Puede que alguno esté pensando que, al menos, habrá sido relativamente difícil romper dicho cifrado, y que habrán necesitado bastante tiempo al utilizar un hardware tan modesto, pero nada más lejos de la realidad.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El autor del vídeo adjunto ha necesitado solo 43 segundos para tumbar BitLocker.
¿Cómo lo ha hecho?
Pues ejecutando un ataque que aprovechaba el chip TPM, siglas de Módulo de Plataforma de Confianza, un componente que forma parte de los requisitos de Windows 11. En la mayoría de los ordenadores y portátiles profesionales este chip es fácil de localizar, y este utiliza el bus LPC para enviar y recibir información de la CPU.
El cifrado BitLocker depende del chip TPM para almacenar datos fundamentales, como los Registros de Configuración de Plataforma y la Clave Maestra de Volumen. La clave es que las comunicaciones entre la CPU y el bus LPC se realizan a través de líneas que no están cifradas desde el proceso de arranque, lo que deja abierta una importante vía de entrada que ha sido clave para completar el ataque.
Al conectar de forma física la Raspberry Pi Pico a los pines de un conector LPC no utilizado el atacante pudo hacerse con las claves de cifrado durante el arranque, porque estas no están cifradas, y al final pudo unir todas las piezas necesarias para obtener la Clave Maestra de Volumen en solo 43 segundos. Cuando terminó solo tuvo que retirar la unidad cifrada y utilizar dicha clave para descifrarla.
Obvia decir que este tipo de ataque solo funcionan en aquellos equipos que tienen un chip TPM externo, y que no es efectivo en sistemas que utilicen fTPM, ya que en este caso la información y los datos de importancia crítica se almacenan en la propia CPU, así que no existe esa vulnerabilidad del conector LPC con líneas sin cifrar durante el arranque.
Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2050
Noticias Informáticas / Proveedores de spyware están detrás de la mayoría de los días cero
Febrero 07, 2024, 02:27:47 AM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Los proveedores comerciales de software espía (CSV) estaban detrás del 80% de las vulnerabilidades de día cero que el Grupo de Análisis de Amenazas (TAG) de Google descubrió en 2023 y utilizó para espiar dispositivos en todo el mundo.
Las vulnerabilidades de día cero son fallas de seguridad que los proveedores del software afectado no conocen o para las cuales no hay soluciones disponibles.
El TAG de Google ha estado siguiendo las actividades de 40 proveedores comerciales de software espía para detectar intentos de explotación, proteger a los usuarios de sus productos y ayudar a salvaguardar a la comunidad en general informando los hallazgos clave a las partes correspondientes.
Basándose en este seguimiento, Google ha descubierto que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos durante los últimos diez años pueden atribuirse a proveedores de software espía.
"Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google
Esos proveedores de software espía utilizan los fallos de día cero para atacar a periodistas, activistas y figuras políticas según las indicaciones de sus clientes, incluidos gobiernos y organizaciones privadas.
Algunos CSV notables destacados en el informe de Google son:
Cy4Gate y RCS Lab: empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS. La primera adquirió la segunda en 2022, pero opera de forma independiente.
Intellexa: Alianza de empresas de software espía liderada por Tal Dilian desde 2019. Combina tecnologías como el software espía "Predator" de Cytrox y las herramientas de interceptación WiFi de WiSpear, ofreciendo soluciones de espionaje integradas.
Negg Group: CSV italiano con alcance internacional establecido en 2013. Es conocido por el malware "Skygofree" y el software espía "VBiss", dirigido a dispositivos móviles a través de cadenas de exploits.
NSO Group: empresa israelí famosa por el software espía Pegasus y otras sofisticadas herramientas de espionaje. Continúa operaciones a pesar de sanciones y problemas legales.
Variston: CSV español que ofrece soluciones de seguridad a medida. Colabora con otros proveedores para exploits de día cero y está vinculado al marco Heliconia, que se está expandiendo en los Emiratos Árabes Unidos.
Estos proveedores venden licencias para usar sus productos por millones de dólares, lo que permite a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic.
Algunas de las cadenas de exploits utilizan n-days, que son fallas conocidas para las cuales hay soluciones disponibles; sin embargo, los retrasos en la aplicación de parches aún los hacen explotables con fines maliciosos, a menudo durante períodos prolongados.
Google dice que los CSV se han vuelto muy agresivos en su búsqueda de días cero, desarrollando al menos 33 exploits para vulnerabilidades desconocidas entre 2019 y 2023.
En el apéndice del informe detallado de Google se puede encontrar una lista de 74 días cero utilizados por 11 CSV. De ellos, la mayoría son días cero que afectan a Google Chrome (24) y Android (20), seguidos de Apple iOS (16) y Windows (6).
Cuando los investigadores de "sombrero blanco" (White Hat) descubren y corrigen las fallas explotadas, los CSV a menudo sufren daños operativos y financieros significativos mientras luchan por reconstruir una vía de infección alternativa que funcione.
"Cada vez que Google y sus colegas investigadores de seguridad descubren y revelan nuevos errores, causa fricción en los CSV y les cuesta ciclos de desarrollo", dice Google.
"Cuando descubrimos y reparamos las vulnerabilidades utilizadas en las cadenas de exploits, no solo protegemos a los usuarios, sino que evitamos que los CSV cumplan sus acuerdos con los clientes, impidiéndoles recibir pagos y aumentando sus costos para continuar operando".
Sin embargo, esto no es suficiente para detener la proliferación de software espía, ya que la demanda de estas herramientas es fuerte y los contratos son demasiado lucrativos como para que los CSV los abandonen.
Google pide que se tomen más medidas contra la industria del software espía, incluidos mayores niveles de colaboración entre los gobiernos, la introducción de directrices estrictas que gobiernen el uso de tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.
Google está contrarrestando proactivamente las amenazas de software espía a través de soluciones como Navegación segura, seguridad de Gmail, el Programa de protección avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir abiertamente información sobre amenazas con la comunidad tecnológica.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Los proveedores comerciales de software espía (CSV) estaban detrás del 80% de las vulnerabilidades de día cero que el Grupo de Análisis de Amenazas (TAG) de Google descubrió en 2023 y utilizó para espiar dispositivos en todo el mundo.
Las vulnerabilidades de día cero son fallas de seguridad que los proveedores del software afectado no conocen o para las cuales no hay soluciones disponibles.
El TAG de Google ha estado siguiendo las actividades de 40 proveedores comerciales de software espía para detectar intentos de explotación, proteger a los usuarios de sus productos y ayudar a salvaguardar a la comunidad en general informando los hallazgos clave a las partes correspondientes.
Basándose en este seguimiento, Google ha descubierto que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos durante los últimos diez años pueden atribuirse a proveedores de software espía.
"Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google
Esos proveedores de software espía utilizan los fallos de día cero para atacar a periodistas, activistas y figuras políticas según las indicaciones de sus clientes, incluidos gobiernos y organizaciones privadas.
Algunos CSV notables destacados en el informe de Google son:
Cy4Gate y RCS Lab: empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS. La primera adquirió la segunda en 2022, pero opera de forma independiente.
Intellexa: Alianza de empresas de software espía liderada por Tal Dilian desde 2019. Combina tecnologías como el software espía "Predator" de Cytrox y las herramientas de interceptación WiFi de WiSpear, ofreciendo soluciones de espionaje integradas.
Negg Group: CSV italiano con alcance internacional establecido en 2013. Es conocido por el malware "Skygofree" y el software espía "VBiss", dirigido a dispositivos móviles a través de cadenas de exploits.
NSO Group: empresa israelí famosa por el software espía Pegasus y otras sofisticadas herramientas de espionaje. Continúa operaciones a pesar de sanciones y problemas legales.
Variston: CSV español que ofrece soluciones de seguridad a medida. Colabora con otros proveedores para exploits de día cero y está vinculado al marco Heliconia, que se está expandiendo en los Emiratos Árabes Unidos.
Estos proveedores venden licencias para usar sus productos por millones de dólares, lo que permite a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic.
Algunas de las cadenas de exploits utilizan n-days, que son fallas conocidas para las cuales hay soluciones disponibles; sin embargo, los retrasos en la aplicación de parches aún los hacen explotables con fines maliciosos, a menudo durante períodos prolongados.
Google dice que los CSV se han vuelto muy agresivos en su búsqueda de días cero, desarrollando al menos 33 exploits para vulnerabilidades desconocidas entre 2019 y 2023.
En el apéndice del informe detallado de Google se puede encontrar una lista de 74 días cero utilizados por 11 CSV. De ellos, la mayoría son días cero que afectan a Google Chrome (24) y Android (20), seguidos de Apple iOS (16) y Windows (6).
Cuando los investigadores de "sombrero blanco" (White Hat) descubren y corrigen las fallas explotadas, los CSV a menudo sufren daños operativos y financieros significativos mientras luchan por reconstruir una vía de infección alternativa que funcione.
"Cada vez que Google y sus colegas investigadores de seguridad descubren y revelan nuevos errores, causa fricción en los CSV y les cuesta ciclos de desarrollo", dice Google.
"Cuando descubrimos y reparamos las vulnerabilidades utilizadas en las cadenas de exploits, no solo protegemos a los usuarios, sino que evitamos que los CSV cumplan sus acuerdos con los clientes, impidiéndoles recibir pagos y aumentando sus costos para continuar operando".
Sin embargo, esto no es suficiente para detener la proliferación de software espía, ya que la demanda de estas herramientas es fuerte y los contratos son demasiado lucrativos como para que los CSV los abandonen.
Google pide que se tomen más medidas contra la industria del software espía, incluidos mayores niveles de colaboración entre los gobiernos, la introducción de directrices estrictas que gobiernen el uso de tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.
Google está contrarrestando proactivamente las amenazas de software espía a través de soluciones como Navegación segura, seguridad de Gmail, el Programa de protección avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir abiertamente información sobre amenazas con la comunidad tecnológica.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2051
Noticias Informáticas / Microsoft lleva el comando sudo de Linux a Windows Server
Febrero 07, 2024, 02:22:49 AM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Microsoft está incorporando la función 'sudo' de Linux a Windows Server 2025, ofreciendo una nueva forma para que los administradores aumenten los privilegios para las aplicaciones de consola.
Superuser do, o sudo, es un programa de consola de Linux que permite a los usuarios con pocos privilegios ejecutar un comando con privilegios elevados, normalmente como root.
Este comando ofrece mayor seguridad en Linux, ya que los servidores se pueden usar normalmente con cuentas con pocos privilegios y al mismo tiempo permiten a los usuarios elevar sus privilegios según sea necesario al ejecutar comandos específicos.
Probando sudo en Windows Server 2025
Microsoft lanzó la primera versión preliminar de Windows Server 2025 Insider la semana pasada. Sin embargo, poco después, se filtró en línea una versión más nueva.
Como informó por primera vez Windows Latest (descubierto por primera vez por @thebookisclosed en X), la versión filtrada contiene algunas características nuevas en desarrollo, incluida nueva configuración para un comando 'sudo' de Windows.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Nueva configuración de sudo en la versión preliminar de Windows Server 2025
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Estas configuraciones solo están disponibles después de habilitar el modo de desarrollador, y el comando sudo aún no funciona desde la línea de comando, lo que demuestra que se encuentra en una etapa temprana de desarrollo.
Sin embargo, la configuración de sudo proporciona algunas pistas sobre cómo funcionará el comando, con la capacidad de ejecutar aplicaciones sudo 'en una nueva ventana', 'con entrada deshabilitada' y 'en línea'.
Windows ya ofrece la posibilidad de elevar programas automáticamente mediante indicaciones de UAC, lo que hace que los programas se ejecuten con privilegios elevados en su propia ventana.
Sin embargo, algunas herramientas administrativas, como bcdedit y reagentc, requieren que sea administrador para ejecutar estos comandos.
En estos casos, el comando sudo permitirá que los programas se ejecuten según su configuración de Windows, como en una nueva ventana, en línea en la ventana actual o posiblemente en un shell no interactivo usando la configuración de entrada deshabilitada.
Si bien esta característica no se ha detectado en Windows 11, no sería sorprendente que Microsoft también agregue sudo a ese sistema operativo en el futuro.
Es importante tener en cuenta que Microsoft suele probar nuevas funciones en versiones preliminares que no se incluyen en las versiones de producción.
Sin embargo, será interesante ver cómo Microsoft integra esta característica en Windows y será algo a tener en cuenta.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Microsoft está incorporando la función 'sudo' de Linux a Windows Server 2025, ofreciendo una nueva forma para que los administradores aumenten los privilegios para las aplicaciones de consola.
Superuser do, o sudo, es un programa de consola de Linux que permite a los usuarios con pocos privilegios ejecutar un comando con privilegios elevados, normalmente como root.
Este comando ofrece mayor seguridad en Linux, ya que los servidores se pueden usar normalmente con cuentas con pocos privilegios y al mismo tiempo permiten a los usuarios elevar sus privilegios según sea necesario al ejecutar comandos específicos.
Probando sudo en Windows Server 2025
Microsoft lanzó la primera versión preliminar de Windows Server 2025 Insider la semana pasada. Sin embargo, poco después, se filtró en línea una versión más nueva.
Como informó por primera vez Windows Latest (descubierto por primera vez por @thebookisclosed en X), la versión filtrada contiene algunas características nuevas en desarrollo, incluida nueva configuración para un comando 'sudo' de Windows.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Nueva configuración de sudo en la versión preliminar de Windows Server 2025
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Estas configuraciones solo están disponibles después de habilitar el modo de desarrollador, y el comando sudo aún no funciona desde la línea de comando, lo que demuestra que se encuentra en una etapa temprana de desarrollo.
Sin embargo, la configuración de sudo proporciona algunas pistas sobre cómo funcionará el comando, con la capacidad de ejecutar aplicaciones sudo 'en una nueva ventana', 'con entrada deshabilitada' y 'en línea'.
Windows ya ofrece la posibilidad de elevar programas automáticamente mediante indicaciones de UAC, lo que hace que los programas se ejecuten con privilegios elevados en su propia ventana.
Sin embargo, algunas herramientas administrativas, como bcdedit y reagentc, requieren que sea administrador para ejecutar estos comandos.
En estos casos, el comando sudo permitirá que los programas se ejecuten según su configuración de Windows, como en una nueva ventana, en línea en la ventana actual o posiblemente en un shell no interactivo usando la configuración de entrada deshabilitada.
Si bien esta característica no se ha detectado en Windows 11, no sería sorprendente que Microsoft también agregue sudo a ese sistema operativo en el futuro.
Es importante tener en cuenta que Microsoft suele probar nuevas funciones en versiones preliminares que no se incluyen en las versiones de producción.
Sin embargo, será interesante ver cómo Microsoft integra esta característica en Windows y será algo a tener en cuenta.
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2052
Noticias Informáticas / Nueva herramienta para combatir al Abuso Sexual Infantil en Internet
Febrero 07, 2024, 02:20:16 AM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
PIR (**), el grupo que administra el dominio .org, anunció una nueva asociación para patrocinar el acceso gratuito para grupos que ejecutan "Dominios de Nivel Superior" (Top Level Domain o como es conocido en sus siglas: TLD) (think .com, .net, etc.) a la lista de salto de TLD de Internet Watch Foundation y Alertas de Dominio.
Con acceso gratuito a ambas funciones, pueden cerrar rápidamente un sitio web, si se detectase Material de Abuso Sexual Infantil (Child Sexual Abuse Material o como es conocido en sus siglas: CSAM), y ese sitio cerrado tampoco pudiese volver a registrarse fácilmente con el mismo nombre u otro similar, con otro proveedor de dominio.
Buscan aumentar el número de TLD (Dominios de Nivel Superior) suscritos, de una docena a más de mil.
(**)
En 2002, Internet Society creó el Registro de Interés Público (PIR o Public Interest Registry), una corporación sin fines de lucro para gestionar, mejorar y ampliar el dominio .org
La Internet Society es responsable de nombrar la Junta Directiva de PIR.
Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
PIR (**), el grupo que administra el dominio .org, anunció una nueva asociación para patrocinar el acceso gratuito para grupos que ejecutan "Dominios de Nivel Superior" (Top Level Domain o como es conocido en sus siglas: TLD) (think .com, .net, etc.) a la lista de salto de TLD de Internet Watch Foundation y Alertas de Dominio.
Con acceso gratuito a ambas funciones, pueden cerrar rápidamente un sitio web, si se detectase Material de Abuso Sexual Infantil (Child Sexual Abuse Material o como es conocido en sus siglas: CSAM), y ese sitio cerrado tampoco pudiese volver a registrarse fácilmente con el mismo nombre u otro similar, con otro proveedor de dominio.
Buscan aumentar el número de TLD (Dominios de Nivel Superior) suscritos, de una docena a más de mil.
(**)
En 2002, Internet Society creó el Registro de Interés Público (PIR o Public Interest Registry), una corporación sin fines de lucro para gestionar, mejorar y ampliar el dominio .org
La Internet Society es responsable de nombrar la Junta Directiva de PIR.
Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2053
Noticias Informáticas / Hacen un ataque DDoS con cepillos de dientes inteligentes
Febrero 06, 2024, 05:38:20 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Sucedió un escenario increíble: cepillos de dientes controlados remotamente participaron en un ataque distribuido de denegación de servicio (DDoS) para acceder y desactivar simultáneamente el sitio web de una empresa en Suiza, según informa Aargauer Zeitung.
Algunos cepillos de dientes inteligentes utilizan la conectividad para rastrear y mejorar los hábitos de higiene del usuario. Por ejemplo, las aplicaciones pueden determinar qué tan bien se cepillan los dientes los usuarios.
Los ciberdelincuentes aprovecharon las lagunas del lenguaje de programación Java para infectar en secreto cepillos de dientes inteligentes. Luego se utilizó un único comando para dirigir sus solicitudes a un servidor de destino.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
"Cada dispositivo conectado a Internet es un objetivo potencial o puede ser utilizado indebidamente para un ataque", advirtió Züger.
Los profesionales de la ciberseguridad evitan los dispositivos inteligentes por una buena razón: son fáciles de piratear debido a prácticas de actualización cuestionables y falta de soporte.
El informe de Aargauer Zeitung compartió que Züger y su equipo demostraron recientemente un experimento sobre cuánto tiempo tardaría una computadora conectada a Internet "sin ninguna protección" en infectarse. Supuestamente, el sistema quedó comprometido después de solo 20 minutos.
El año pasado se presentaron casi 50.000 incidentes cibernéticos ante la Oficina Federal Suiza de Ciberseguridad (BACS), un 43% más que el año anterior.
Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Sucedió un escenario increíble: cepillos de dientes controlados remotamente participaron en un ataque distribuido de denegación de servicio (DDoS) para acceder y desactivar simultáneamente el sitio web de una empresa en Suiza, según informa Aargauer Zeitung.
Algunos cepillos de dientes inteligentes utilizan la conectividad para rastrear y mejorar los hábitos de higiene del usuario. Por ejemplo, las aplicaciones pueden determinar qué tan bien se cepillan los dientes los usuarios.
Los ciberdelincuentes aprovecharon las lagunas del lenguaje de programación Java para infectar en secreto cepillos de dientes inteligentes. Luego se utilizó un único comando para dirigir sus solicitudes a un servidor de destino.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
"Cada dispositivo conectado a Internet es un objetivo potencial o puede ser utilizado indebidamente para un ataque", advirtió Züger.
Los profesionales de la ciberseguridad evitan los dispositivos inteligentes por una buena razón: son fáciles de piratear debido a prácticas de actualización cuestionables y falta de soporte.
El informe de Aargauer Zeitung compartió que Züger y su equipo demostraron recientemente un experimento sobre cuánto tiempo tardaría una computadora conectada a Internet "sin ninguna protección" en infectarse. Supuestamente, el sistema quedó comprometido después de solo 20 minutos.
El año pasado se presentaron casi 50.000 incidentes cibernéticos ante la Oficina Federal Suiza de Ciberseguridad (BACS), un 43% más que el año anterior.
Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2054
Noticias Informáticas / FlipperZero para robar un Mercedes vía wireless?
Febrero 06, 2024, 05:34:14 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
FlipperZero ha sido descrito como una "navaja suiza digital". Los ladrones se dirigen cada vez más a los coches sin llave aprovechando las vulnerabilidades del sistema de entrada.
"Anoche me robaron el coche en la entrada de mi casa", escribió la periodista tecnológica Eleanor Dallaway en una publicación de X el 6 de febrero.
"Aún conservo ambas llaves (estaban guardadas en un lugar seguro, lejos del coche), sin cristales rotos. La alarma no sonó (estábamos durmiendo con la ventana de arriba abierta y no escuchamos nada)", añade Dallaway.
Rik Ferguson, investigador de ciberseguridad y asesor especial de la unidad de delitos cibernéticos de Europol, respondió al tweet de Dallaway, diciendo que sospecha que FlipperZero podría haber sido utilizado para robar su Mercedes.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
FlipperZero, un pequeño dispositivo que comenzó como un proyecto de Kickstarter, puede leer, grabar y manipular señales inalámbricas como radiofrecuencia (RF), comunicación de campo cercano (NFC), infrarrojos e identificación por radiofrecuencia ( RFID).
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El dispositivo se ha utilizado con éxito para leer y clonar la tarjeta NFC, tarjetas de entrada, aire acondicionado, controles de TV o puertas. FlipperZero también puede leer y grabar señales de los llaveros del coche.
Sin embargo, los autos tienen un nivel adicional de característica de seguridad llamado "códigos rodantes" que cambia el código después de cada uso para evitar una forma simple de ataque de repetición. Desbloquear un automóvil con FlipperZero requeriría la explotación de vulnerabilidades adicionales.
Coches sin llave, el objetivo de los ladrones
Dado que los coches de lujo funcionan sin llave, los llamados robos de relés están aumentando. Los ladrones están explotando las vulnerabilidades de los sistemas de entrada sin llave para obtener acceso no autorizado a los vehículos.
Los sistemas de automóviles sin llave funcionan mediante un control remoto con el que el automóvil se comunica para bloquear y desbloquear, en lugar de una llave física. Los ladrones ya no necesitan robar una llave o irrumpir en una propiedad; en cambio, simplemente necesitan interceptar la señal del llavero.
Existe una amplia gama de dispositivos electrónicos, dispositivos de clonación de claves y otras herramientas que se pueden obtener fácilmente en Internet para apuntar al vehículo y robarlo en cuestión de minutos.
Reto de robar un auto
El año pasado, Hyundai y KIA lanzaron actualizaciones de software para millones de propietarios de automóviles en un esfuerzo por combatir un desafío viral en TikTok vinculado a una serie de autos robados, golpes en los guardabarros y más de una docena de muertes en los EE. UU.
El "desafío KIA", iniciado en Milwaukee, Wisconsin, por una pandilla de adolescentes conocida como "KIA Boyz", llamó la atención en 2021. Estos jóvenes ladrones comenzaron a compartir videos instructivos que demostraban cómo eludir los sistemas de seguridad de los vehículos y los autos con cables usando solo un destornillador. y un cable USB.
Este exploit afectó a todos los automóviles fabricados por Hyundai y KIA entre 2015 y 2019, que carecían de encendido por botón y de mecanismos antirrobo inmovilizadores, sumando un total de 8,3 millones de vehículos.
Los fabricantes de automóviles fueron demandados por no instalar dispositivos antirrobo en la mayoría de los modelos antes de 2021, creando un entorno propicio para los ladrones de automóviles.
Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
FlipperZero ha sido descrito como una "navaja suiza digital". Los ladrones se dirigen cada vez más a los coches sin llave aprovechando las vulnerabilidades del sistema de entrada.
"Anoche me robaron el coche en la entrada de mi casa", escribió la periodista tecnológica Eleanor Dallaway en una publicación de X el 6 de febrero.
"Aún conservo ambas llaves (estaban guardadas en un lugar seguro, lejos del coche), sin cristales rotos. La alarma no sonó (estábamos durmiendo con la ventana de arriba abierta y no escuchamos nada)", añade Dallaway.
Rik Ferguson, investigador de ciberseguridad y asesor especial de la unidad de delitos cibernéticos de Europol, respondió al tweet de Dallaway, diciendo que sospecha que FlipperZero podría haber sido utilizado para robar su Mercedes.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
FlipperZero, un pequeño dispositivo que comenzó como un proyecto de Kickstarter, puede leer, grabar y manipular señales inalámbricas como radiofrecuencia (RF), comunicación de campo cercano (NFC), infrarrojos e identificación por radiofrecuencia ( RFID).
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El dispositivo se ha utilizado con éxito para leer y clonar la tarjeta NFC, tarjetas de entrada, aire acondicionado, controles de TV o puertas. FlipperZero también puede leer y grabar señales de los llaveros del coche.
Sin embargo, los autos tienen un nivel adicional de característica de seguridad llamado "códigos rodantes" que cambia el código después de cada uso para evitar una forma simple de ataque de repetición. Desbloquear un automóvil con FlipperZero requeriría la explotación de vulnerabilidades adicionales.
Coches sin llave, el objetivo de los ladrones
Dado que los coches de lujo funcionan sin llave, los llamados robos de relés están aumentando. Los ladrones están explotando las vulnerabilidades de los sistemas de entrada sin llave para obtener acceso no autorizado a los vehículos.
Los sistemas de automóviles sin llave funcionan mediante un control remoto con el que el automóvil se comunica para bloquear y desbloquear, en lugar de una llave física. Los ladrones ya no necesitan robar una llave o irrumpir en una propiedad; en cambio, simplemente necesitan interceptar la señal del llavero.
Existe una amplia gama de dispositivos electrónicos, dispositivos de clonación de claves y otras herramientas que se pueden obtener fácilmente en Internet para apuntar al vehículo y robarlo en cuestión de minutos.
Reto de robar un auto
El año pasado, Hyundai y KIA lanzaron actualizaciones de software para millones de propietarios de automóviles en un esfuerzo por combatir un desafío viral en TikTok vinculado a una serie de autos robados, golpes en los guardabarros y más de una docena de muertes en los EE. UU.
El "desafío KIA", iniciado en Milwaukee, Wisconsin, por una pandilla de adolescentes conocida como "KIA Boyz", llamó la atención en 2021. Estos jóvenes ladrones comenzaron a compartir videos instructivos que demostraban cómo eludir los sistemas de seguridad de los vehículos y los autos con cables usando solo un destornillador. y un cable USB.
Este exploit afectó a todos los automóviles fabricados por Hyundai y KIA entre 2015 y 2019, que carecían de encendido por botón y de mecanismos antirrobo inmovilizadores, sumando un total de 8,3 millones de vehículos.
Los fabricantes de automóviles fueron demandados por no instalar dispositivos antirrobo en la mayoría de los modelos antes de 2021, creando un entorno propicio para los ladrones de automóviles.
Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2055
Noticias Informáticas / Encuesta de hardware y software de Steam: enero de 2024
Febrero 06, 2024, 05:31:27 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Los últimos resultados de la encuesta de hardware y software de Steam confirman que Windows 11 está recibiendo más interés por parte de los usuarios, y es que dicho sistema operativo ha subido un 2,29% durante el mes de enero, lo que lo sitúa con una cuota total del 44,24%. Si lo comparamos con Windows 10 vemos que la diferencia a favor de este es de solo un 7,19%.
Esto representa un importante cambio de tendencia. Si Windows 11 mantiene su tendencia al alza y los valores de crecimiento son similares a los que registró en enero de este año podría acabar superando a Windows 10 antes del verano. Con con una media de crecimiento mensual del 2% en cuatro meses ya estaría por encima de dicho sistema operativo. Como dato anecdótico vemos que Windows 7 todavía tiene un 0,59% de cuota de usuarios, a pesar de que hace años que no tiene soporte oficial.
Saltando al hardware vemos que no hay cambios importantes.
NVIDIA sigue liderando en tarjetas gráficas y la familia GeForce X060 sigue siendo la más popular.
La GeForce RTX 3060 es la más utilizada con una cuota del 4,83%, seguida de la GeForce GTX 1650 y la GeForce RTX 3060 para portátil. El cuarto puesto es para la GeForce GTX 1060, quinta es la GeForce RTX 2060 y sexta la GeForce RTX 3060 Ti.
Dentro de la serie GeForce RTX 40 el modelo que más alto posiciona es la GeForce RTX 4060 para portátiles, con un 2,52%, y en escritorio la GeForce RTX 4070 con un 1,50%. Por el lado de AMD las mejor clasificadas son sus GPUs integradas, que suman un 2,11%, y en escritorio la Radeon RX 580 con un 0,92%. La mayoría de los usuarios de Steam tienen 8 GB de memoria gráfica (31,79%), un 15,04% tiene 12 GB de memoria gráfica y solo un 1,81% cuenta con 16 GB de memoria gráfica.
Por lo demás no hay sorpresas, los procesadores de 6 núcleos siguen siendo los más utilizados con una cuota del 31,64%, seguidos de los procesadores de 4 núcleos con un 22,49% y los de 8 núcleos con un 20,89%. La velocidad de trabajo más común es entre 2,3 GHz y 2,9 GHz, y la mayoría de los usuarios (un 49,60%) tiene 16 GB de memoria RAM.
La resolución dominante a la hora de jugar en Steam no ha cambiado, ya que un 59,70% de los encuestados juega en 1080p, y un 51,98% tienen unidades de almacenamiento de más de 1 TB. El kit de realidad virtual más utilizado es el Oculus Quest 2, con un 40,64%, seguido del kit de Valve con un 15% y del Meta Quest 3 con un 14,05%.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Fuente:
Steam
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía (Compendio al español):
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Los últimos resultados de la encuesta de hardware y software de Steam confirman que Windows 11 está recibiendo más interés por parte de los usuarios, y es que dicho sistema operativo ha subido un 2,29% durante el mes de enero, lo que lo sitúa con una cuota total del 44,24%. Si lo comparamos con Windows 10 vemos que la diferencia a favor de este es de solo un 7,19%.
Esto representa un importante cambio de tendencia. Si Windows 11 mantiene su tendencia al alza y los valores de crecimiento son similares a los que registró en enero de este año podría acabar superando a Windows 10 antes del verano. Con con una media de crecimiento mensual del 2% en cuatro meses ya estaría por encima de dicho sistema operativo. Como dato anecdótico vemos que Windows 7 todavía tiene un 0,59% de cuota de usuarios, a pesar de que hace años que no tiene soporte oficial.
Saltando al hardware vemos que no hay cambios importantes.
NVIDIA sigue liderando en tarjetas gráficas y la familia GeForce X060 sigue siendo la más popular.
La GeForce RTX 3060 es la más utilizada con una cuota del 4,83%, seguida de la GeForce GTX 1650 y la GeForce RTX 3060 para portátil. El cuarto puesto es para la GeForce GTX 1060, quinta es la GeForce RTX 2060 y sexta la GeForce RTX 3060 Ti.
Dentro de la serie GeForce RTX 40 el modelo que más alto posiciona es la GeForce RTX 4060 para portátiles, con un 2,52%, y en escritorio la GeForce RTX 4070 con un 1,50%. Por el lado de AMD las mejor clasificadas son sus GPUs integradas, que suman un 2,11%, y en escritorio la Radeon RX 580 con un 0,92%. La mayoría de los usuarios de Steam tienen 8 GB de memoria gráfica (31,79%), un 15,04% tiene 12 GB de memoria gráfica y solo un 1,81% cuenta con 16 GB de memoria gráfica.
Por lo demás no hay sorpresas, los procesadores de 6 núcleos siguen siendo los más utilizados con una cuota del 31,64%, seguidos de los procesadores de 4 núcleos con un 22,49% y los de 8 núcleos con un 20,89%. La velocidad de trabajo más común es entre 2,3 GHz y 2,9 GHz, y la mayoría de los usuarios (un 49,60%) tiene 16 GB de memoria RAM.
La resolución dominante a la hora de jugar en Steam no ha cambiado, ya que un 59,70% de los encuestados juega en 1080p, y un 51,98% tienen unidades de almacenamiento de más de 1 TB. El kit de realidad virtual más utilizado es el Oculus Quest 2, con un 40,64%, seguido del kit de Valve con un 15% y del Meta Quest 3 con un 14,05%.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Fuente:
Steam
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía (Compendio al español):
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2056
Noticias Informáticas / Vulnerabilidad de Mastodon permite secuestrar cualquier cuenta descentralizada
Febrero 05, 2024, 11:24:36 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella.
"Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella", dijeron los responsables en un escueto aviso.
La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado.
Se ha descrito como un "error de validación de origen" (CWE-346), que normalmente puede permitir a un atacante "acceder a cualquier funcionalidad".
"Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit", decía.
La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones y estas se aplican localmente.
Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.
La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código.
Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.
Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella.
"Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella", dijeron los responsables en un escueto aviso.
La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado.
Se ha descrito como un "error de validación de origen" (CWE-346), que normalmente puede permitir a un atacante "acceder a cualquier funcionalidad".
"Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit", decía.
La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones y estas se aplican localmente.
Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.
La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código.
Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.
Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2057
Noticias Informáticas / AnyDesk es hackeado
Febrero 05, 2024, 11:21:22 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción.
La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes.
"Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario", dijo la compañía en un comunicado. "En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo".
Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas se han reutilizado en otros servicios en línea.
También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código.
AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado.
A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado bajo mantenimiento desde el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre "tiempos de espera intermitentes" y "degradación del servicio" con su Portal del Cliente.
AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales.
La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.
Actualización
La empresa de ciberseguridad Resecurity dijo que encontró dos actores de amenazas, uno de los cuales se conoce con el alias en línea "Jobaaaaa", anunciando un "número significativo de credenciales de clientes de AnyDesk a la venta en Exploit[.]in", señalando que podrían usarse para "soporte técnico, estafas y envíos postales (phishing)".
Se descubrió que el actor de amenazas ofrecía 18,317 cuentas por $15,000 en criptomonedas, además de aceptar un acuerdo a través de depósito en garantía en el foro sobre delitos cibernéticos.
"En particular, las marcas de tiempo visibles en las capturas de pantalla compartidas por el actor ilustran un acceso no autorizado exitoso con fecha del 3 de febrero de 2024 (divulgación posterior al incidente)", dijo la compañía. "Es posible que no todos los clientes hayan cambiado sus credenciales de acceso, o que este mecanismo aún estuviera en marcha por parte de los afectados".
No está claro cómo se obtuvieron las credenciales, pero Resecurity dijo que los ciberdelincuentes podrían apresurarse a monetizar las credenciales de los clientes disponibles a la luz del hecho de que las contraseñas podrían restablecerse.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción.
La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes.
"Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario", dijo la compañía en un comunicado. "En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo".
Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas se han reutilizado en otros servicios en línea.
También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código.
AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado.
A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado bajo mantenimiento desde el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre "tiempos de espera intermitentes" y "degradación del servicio" con su Portal del Cliente.
AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales.
La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.
Actualización
La empresa de ciberseguridad Resecurity dijo que encontró dos actores de amenazas, uno de los cuales se conoce con el alias en línea "Jobaaaaa", anunciando un "número significativo de credenciales de clientes de AnyDesk a la venta en Exploit[.]in", señalando que podrían usarse para "soporte técnico, estafas y envíos postales (phishing)".
Se descubrió que el actor de amenazas ofrecía 18,317 cuentas por $15,000 en criptomonedas, además de aceptar un acuerdo a través de depósito en garantía en el foro sobre delitos cibernéticos.
"En particular, las marcas de tiempo visibles en las capturas de pantalla compartidas por el actor ilustran un acceso no autorizado exitoso con fecha del 3 de febrero de 2024 (divulgación posterior al incidente)", dijo la compañía. "Es posible que no todos los clientes hayan cambiado sus credenciales de acceso, o que este mecanismo aún estuviera en marcha por parte de los afectados".
No está claro cómo se obtuvieron las credenciales, pero Resecurity dijo que los ciberdelincuentes podrían apresurarse a monetizar las credenciales de los clientes disponibles a la luz del hecho de que las contraseñas podrían restablecerse.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2058
Noticias Informáticas / Ex ingeniero de la CIA condenado a 40 años por filtrar documentos clasificados
Febrero 05, 2024, 11:18:28 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Un ex ingeniero de software de la Agencia Central de Inteligencia de Estados Unidos (CIA) ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por poseer material pornográfico infantil.
Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada.
"El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos", dijo el Departamento de Justicia de Estados Unidos.
La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses.
Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear "copias de archivos de desarrollo de herramientas de la CCI"en 2016.
Esta información incluía métodos para "recopilar inteligencia extranjera contra los adversarios de Estados Unidos", incluido un arsenal de armas cibernéticas y exploits de día cero que permitieron comprometer automóviles, televisores inteligentes, navegadores web y sistemas operativos móviles y de escritorio ampliamente utilizados.
La filtración, descrita como un "Pearl Harbor digital", le costó a la agencia "cientos de millones de dólares" y "perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente las vidas del personal de la CIA", dijeron los fiscales.
Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de "tejer narrativas falsas" sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas.
Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la dark web y sitios web rusos.
Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA.
El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era "romper relaciones diplomáticas, cerrar embajadas [y] poner fin a la ocupación estadounidense en todo el mundo".
"Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil", dijo el subdirector a cargo del FBI, James Smith. "La gravedad de sus acciones es evidente y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal".
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Un ex ingeniero de software de la Agencia Central de Inteligencia de Estados Unidos (CIA) ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por poseer material pornográfico infantil.
Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada.
"El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos", dijo el Departamento de Justicia de Estados Unidos.
La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses.
Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear "copias de archivos de desarrollo de herramientas de la CCI"en 2016.
Esta información incluía métodos para "recopilar inteligencia extranjera contra los adversarios de Estados Unidos", incluido un arsenal de armas cibernéticas y exploits de día cero que permitieron comprometer automóviles, televisores inteligentes, navegadores web y sistemas operativos móviles y de escritorio ampliamente utilizados.
La filtración, descrita como un "Pearl Harbor digital", le costó a la agencia "cientos de millones de dólares" y "perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente las vidas del personal de la CIA", dijeron los fiscales.
Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de "tejer narrativas falsas" sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas.
Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la dark web y sitios web rusos.
Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA.
El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era "romper relaciones diplomáticas, cerrar embajadas [y] poner fin a la ocupación estadounidense en todo el mundo".
"Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil", dijo el subdirector a cargo del FBI, James Smith. "La gravedad de sus acciones es evidente y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal".
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2059
Noticias Informáticas / Brecha de Cloudflare: hackers acceden al código fuente y a documentos internos
Febrero 05, 2024, 11:15:16 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-nación en el que el actor de la amenaza aprovechó las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.
La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo "con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare", dijo la empresa de infraestructura web, describiendo al actor como "sofisticado" y alguien que "operaba de manera reflexiva y metódica".
Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global.
El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso al sistema de gestión de código fuente de Bitbucket mediante el framework de simulación de adversario Sliver.
Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante.
"Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes", dijo Cloudflare.
"Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados".
Luego se dice que el actor de amenazas intentó sin éxito "acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil".
El ataque fue posible gracias al uso de un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados tras el hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta.
Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso.
La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2023. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.
"Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global", afirmó Cloudflare.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-nación en el que el actor de la amenaza aprovechó las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.
La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo "con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare", dijo la empresa de infraestructura web, describiendo al actor como "sofisticado" y alguien que "operaba de manera reflexiva y metódica".
Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global.
El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso al sistema de gestión de código fuente de Bitbucket mediante el framework de simulación de adversario Sliver.
Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante.
"Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes", dijo Cloudflare.
"Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados".
Luego se dice que el actor de amenazas intentó sin éxito "acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil".
El ataque fue posible gracias al uso de un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados tras el hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta.
Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso.
La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2023. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.
"Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global", afirmó Cloudflare.
Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#2060
Noticias Informáticas / Fallos de RunC permiten la fuga de contenedores y otorgan a los atacantes acceso
Febrero 05, 2024, 11:11:42 PM
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.
Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido denominadas colectivamente Leaky Vessels por el proveedor de ciberseguridad Snyk.
"Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario", dijo la compañía.
runC es una herramienta para generar y ejecutar contenedores en Linux. Originalmente se desarrolló como parte de Docker y luego se dividió en una biblioteca de código abierto separada en 2015.
A continuación, se incluye una breve descripción de cada uno de los defectos:
CVE-2024-21626 (puntuación CVSS: 8,6 ): runC Process.cwd y fuga del contenedor fds filtrado
CVE-2024-23651 (puntuación CVSS: 8,7 ): desglose del contenedor de condiciones de carrera en tiempo de construcción de Buildkit
CVE-2024-23652 (puntuación CVSS: 10.0 ) - Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit
CVE-2024-23653 (puntuación CVSS: 9,8 ) - Verificación de privilegios de Buildkit GRPC SecurityMode: ruptura del contenedor en tiempo de compilación
La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando "WORKDIR".
"Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)", dijo Snyk.
No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas se solucionaron en la versión 1.1.12 de runC lanzada hoy luego de la divulgación responsable en noviembre de 2023. Las otras tres fallas de Buildkit se solucionaron con la versión 0.12.5.
"Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de creación de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. " dijo la empresa.
Docker, en un aviso independiente, dijo que las vulnerabilidades solo pueden explotarse si un usuario interactúa activamente con contenido malicioso incorporándolo al proceso de construcción o ejecutando un contenedor desde una imagen no autorizada.
"Los posibles impactos incluyen el acceso no autorizado al sistema de archivos del host, comprometer la integridad de la caché de compilación y, en el caso de CVE-2024-21626, un escenario que podría conducir a un escape completo del contenedor", dijo Docker.
Amazon Web Services (AWS), Google Cloud y Ubuntu también han publicado sus propias alertas, instando a los clientes a tomar las medidas adecuadas cuando sea necesario.
En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6 ) que un atacante podría aprovechar para salir del contenedor y obtener acceso raíz en el host.
Las debilidades de seguridad de la nube y los contenedores siguen siendo un riesgo de ataque, ya que las organizaciones otorgan permisos y privilegios administrativos excesivos a las cuentas durante la configuración inicial, dejando atrás configuraciones incorrectas y oportunidades de escalada de privilegios para los atacantes.
"Esta práctica crea un riesgo indebido cuando la mayoría de los incidentes graves de seguridad en la nube con impacto material están vinculados a la gestión fallida de identidades, acceso y privilegios", señaló Sysdig en su Informe de uso y seguridad nativo de la nube de 2024. "A menudo es el vector de ataque inicial en una cadena de ataques, y este compromiso de identidad conduce inevitablemente al abuso de aplicaciones, compromiso del sistema o filtración de datos".
Fuente[/b]:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.
Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido denominadas colectivamente Leaky Vessels por el proveedor de ciberseguridad Snyk.
"Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario", dijo la compañía.
runC es una herramienta para generar y ejecutar contenedores en Linux. Originalmente se desarrolló como parte de Docker y luego se dividió en una biblioteca de código abierto separada en 2015.
A continuación, se incluye una breve descripción de cada uno de los defectos:
CVE-2024-21626 (puntuación CVSS: 8,6 ): runC Process.cwd y fuga del contenedor fds filtrado
CVE-2024-23651 (puntuación CVSS: 8,7 ): desglose del contenedor de condiciones de carrera en tiempo de construcción de Buildkit
CVE-2024-23652 (puntuación CVSS: 10.0 ) - Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit
CVE-2024-23653 (puntuación CVSS: 9,8 ) - Verificación de privilegios de Buildkit GRPC SecurityMode: ruptura del contenedor en tiempo de compilación
La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando "WORKDIR".
"Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)", dijo Snyk.
No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas se solucionaron en la versión 1.1.12 de runC lanzada hoy luego de la divulgación responsable en noviembre de 2023. Las otras tres fallas de Buildkit se solucionaron con la versión 0.12.5.
"Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de creación de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. " dijo la empresa.
Docker, en un aviso independiente, dijo que las vulnerabilidades solo pueden explotarse si un usuario interactúa activamente con contenido malicioso incorporándolo al proceso de construcción o ejecutando un contenedor desde una imagen no autorizada.
"Los posibles impactos incluyen el acceso no autorizado al sistema de archivos del host, comprometer la integridad de la caché de compilación y, en el caso de CVE-2024-21626, un escenario que podría conducir a un escape completo del contenedor", dijo Docker.
Amazon Web Services (AWS), Google Cloud y Ubuntu también han publicado sus propias alertas, instando a los clientes a tomar las medidas adecuadas cuando sea necesario.
En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6 ) que un atacante podría aprovechar para salir del contenedor y obtener acceso raíz en el host.
Las debilidades de seguridad de la nube y los contenedores siguen siendo un riesgo de ataque, ya que las organizaciones otorgan permisos y privilegios administrativos excesivos a las cuentas durante la configuración inicial, dejando atrás configuraciones incorrectas y oportunidades de escalada de privilegios para los atacantes.
"Esta práctica crea un riesgo indebido cuando la mayoría de los incidentes graves de seguridad en la nube con impacto material están vinculados a la gestión fallida de identidades, acceso y privilegios", señaló Sysdig en su Informe de uso y seguridad nativo de la nube de 2024. "A menudo es el vector de ataque inicial en una cadena de ataques, y este compromiso de identidad conduce inevitablemente al abuso de aplicaciones, compromiso del sistema o filtración de datos".
Fuente[/b]:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
