You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya es oficial: Elon Musk compra Twitter tras abonar 44.000 millones de dólares y solo unas horas antes de que terminara el plazo concedido por la resolución de la jueza Kathaleen McCormick, que tuvo que emitirse para poner fin a una operación de compra convertida en 'culebrón'.

Y es que la operación ha sido caótica. Twitter demandó judicialmente a Musk en julio después de que el líder de Tesla y SpaceX dijera que quería retractarse de la compra de la compañía por 54,20 dólares por acción. Musk alegó que Twitter tergiversó la información sobre la cantidad de cuentas falsas y de spam en su plataforma. Twitter, por otro lado, acusó a Musk de intentar desmontar el trato previo porque su riqueza personal había caído y la adquisición era más costosa.

No sabemos cómo acabará Twitter, pero no cabe duda de que Elon Musk va a dar juego mediático como dueño de la plataforma de microblogging y una de las principales redes sociales mundiales.

Elon Musk compra Twitter y ya manda

Para empezar y no sin antes «tranquilizar» a los anunciantes que siguen siendo la principal vía de financiación de la compañía, Elon Musk se presentó ayer en la sede central de Twitter con un lavabo, anunciando sin decirlo cuáles serían sus primeras decisiones.

Dicho y hecho: la primera decisión ha sido el despido fulminante de los principales ejecutivos. El CEO de Twitter, Parag Agrawal, su CFO, Ned Segal, la directora legal, Vijaya Gadde y el asesor general Sean Edgett, ya no forman parte de Twitter. Normal después de una guerra de meses donde Musk llegó a tuitear públicamente emojis de caca al CEO, quien reemplazó al fundador Jack Dorsey a finales del año pasado. Tampoco fue mejor en privado. Los dos intercambiaron mensajes de texto de batalla, según los registros de chat revelados en la batalla legal entre el multimillonario y la red social.

Y no serán los únicos despidos, ya que Musk anunció en su momento un recorte de plantilla de hasta 5.000, el 75%. En las últimas horas se ha retractado de esa afirmación, pero tendremos que esperar.

¿Qué cambiará en Twitter?

El multimillonario ha sugerido en los últimos meses varios cambios en Twitter. Los dos primeros nos gustan: liberar los algoritmos del servicio como código abierto y comenzar una guerra contra el spam y las cuentas falsas, cuyo alto número fue la causa de que Musk intentara retractarse de la compra.

También anunció otros cambios más controvertidos al entender que la plataforma «no cumple con los principios de la libertad de expresión» y por ello quiere revertir la prohibición permanente de acceso a la plataforma del expresidente de los Estados Unidos, Donald Trump, emitida al entender que sus comentarios incitaron a más violencia en los disturbios del 6 de enero en Capitol Hill, y que estuviera detrás de un golpe de estado en el principal país de la Tierra.

Sobre la cuestión política, Musk tuiteó que creía que existe el peligro de que las redes sociales «se dividan en cámaras que amplifiquen mensajes de extrema derecha y de extrema izquierda» y no quiere que Twitter se convierta en un «infierno donde todos pueden decir cualquier cosa con ¡Sin consecuencias!"

Sin embargo, grupos de defensa de derechos y una parte de empleados de Twitter expresaron su preocupación de que la moderación del contenido fuera más laxa bajo el liderazgo de Musk, lo que permitiría que el discurso de odio y el acoso se propague (aún más) en la plataforma.

«El pájaro está libre» tuitea Musk. Veremos por dónde va y dónde acaba Twitter... Para empezar, la compañía saldrá hoy de la cotización de la bolsa de Nueva York para convertirse en propiedad privada. No se sabe si el mismo Elon Musk, el «tuitero en jefe», se hará cargo de la dirección ejecutiva de Twitter o la cederá a un tercero teniendo en cuenta que ya es CEO de SpaceX y Tesla, además de tener otros cargos y estar en los consejos de administración de sus otras empresas.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las acciones de Meta se desplomaban anoche un 19% en las operaciones posteriores al cierre del mercado bursátil, después de que Meta presentara débiles resultados financieros con beneficios por debajo de lo esperado por los analistas y previsiones de futuro nada convincentes.

Las pérdidas operativas llegaron principalmente de los departamentos relacionados con el Metaverso. Las divisiones de realidad virtual y realidad aumentada de la compañía registraron pérdidas por 3.670 millones de dólares. Y lo peor está por llegar: «las pérdidas crecerán significativamente en 2023».

«Anticipamos que las pérdidas operativas de Reality Labs en 2023 crecerán significativamente», reconocen desde Meta. Reality Labs se refiere al segmento comercial de Facebook que incluye hardware, software y contenido relacionados con la realidad virtual y aumentada. «Más allá de 2023, esperamos acelerar las inversiones de tal manera que podamos lograr nuestro objetivo de aumentar los ingresos operativos generales de la empresa a largo plazo».

Meta apunta a la enorme inversión realizada en el Metaverso con cambio de nombre desde Facebook incluido para intentar dejar atrás los escándalos de la red social en materia de privacidad y por los gastos generados en el desarrollo de los cascos Meta Quest Pro VR dirigido a empresas y profesionales. A este respecto, la compañía ha confirmado que su variante de consumo estará disponible en 2023 como una actualización mejorada del actual Quest 2.

El Metaverso y las acciones de Meta

Marc Zuckerberg quiere convertirse en el «rey del metaverso«. Y quizá dentro de unos años/décadas millones de usuarios accedan a estos mundos virtuales y Meta pueda recuperar la inversión.

Grandes actores de la industria se muestran escépticos no ya de su tirón mediático, si no de que vaya a «acabar con Internet» tal y como la conocemos para convertirse en la próxima gran plataforma de comunicación a escala. Los inversores no se lo creen y el derrumbe de las acciones de Meta ha sido monumental. Algunos grandes fondos de inversión ya recomendaron a Zuckerberg que redujera la inversión en el Metaverso y los resultados parecen darles la razón.

El dinero es miedoso y quiere resultados a corto plazo. Y no es posible. Desde Intel ya salieron a relajar el hype indicando que para desarrollar los mundos virtuales descritos por Zuckerberg necesitaríamos multiplicar por mil la potencia informática actual. Y, bueno, la muestra más cercana es que la Realidad Virtual en consumo ha sido un fiasco y de la realidad aumentada lo más noticiable ha sido Pokemon en móviles... Bien es cierto que Meta, tras la compra de Oculus, domina un 90% del mercado de dispositivos VR. Si un día se vende como se esperaba...

Y no solo Metaverso. «La decisión de Mark Zuckerberg de enfocar su compañía en la futura promesa del metaverso desvió su atención de las desafortunadas realidades de hoy», han explicado los analistas de Insider Intelligence. «Meta está bajo una presión increíble por el debilitamiento de las condiciones económicas mundiales, los desafíos con la política AppTrackingTransparency de Apple y la competencia de otras compañías, incluida TikTok, por usuarios e ingresos».

Con la situación económica y geopolítica actual el Metaverso puede ser el futuro de Facebook o la tumba de Zuckerberg.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sí funciona.

Ya Microsoft lanzó un parche no oficial:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Durante el fin de semana el Ministerio de Salud de la Nación Argentina lanzó un comunicado confirmando que está investigando un incidente de seguridad que afectó a sus sistemas.

Según explicaron fuentes oficiales a los medios, el incidente comenzó por el compromiso de la cuenta de una trabajadora del Ministerio.

Por el momento se está investigando la situación. Igualmente, desde la cuenta oficial del Ministerio recomiendan desestimar cualquier correo electrónico oficial (@msal.gov.ar) y sobre todo no abrir ningún enlace ni archivo adjunto que pueda incluir.

Mientras tanto, se solicita desestimar todas las comunicaciones provenientes de correos electrónicos @msal.gov.ar y, en particular, no abrir ningún link ni documento adjunto ni proveer ningún dato personal. Se actualizará la información de manera permanente.

— Ministerio de Salud de la Nación (@msalnacion) October 23, 2022

Según reveló Infobae, el domingo recibieron un correo desde una cuenta del Ministerio que contenía un listado de supuestos pacientes de Argentina portadores de HIV y luego recibieron decenas de mensajes que informaban sobre supuestas cuentas comprometidas. Además, durante el fin de semana estuvieron circulando noticias falsas que hacía referencia a información extraída de una plataforma del Gobierno, más específicamente del Registro de Audiencias (RUA), que daba cuenta de reuniones que habían tenido funcionarios del organismo con famosos. Según explicaron, desde la cuenta comprometida fue que se subieron los registros de la supuestas reuniones.

La semana pasada investigadores habían reportado que en foros estaban comercializando accesos al Ministerio de Salud que incluían credenciales de acceso al Sistema Integrado de Información Sanitaria Argentina que contiene información de pacientes.

🇦🇷 Un actor de amenazas vende accesos al Ministerio de Salud en un foro especializado.

🏥 Serían credenciales del Sistema Integrado de Información Sanitaria Argentina, que permiten acceder a información sensible de pacientes.

🤝 Créditos: @santiago_pe1.#Argentina #Cibercrimen You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

— Mauro Eldritch 🏴‍☠️ (@MauroEldritch) October 17, 2022

Este incidente se suma a una larga lista de incidentes de seguridad que han afectado a organismos gubernamentales de América Latina en lo que va de 2022. En Argentina, por ejemplo, durante los últimos meses se han reportado varios casos de filtraciones de datos relacionadas con organismos gubernamentales.

En Agosto, por ejemplo, el Poder Judicial de Córdoba confirmó que fue víctima de un ataque con una variante del ransomware Play. Ese mismo mes se conoció que en foros clandestinos habían filtrado información del Poder Judicial de Neuquén con información de los funcionarios, mientras que en septiembre ocurrió algo similar pero con el Poder Judicial de Santa Cruz. En este caso los cibercriminales ofrecían credenciales de acceso vía RDP. Un mes después, investigadores reportaban que actores de amenazas estaban comercializando accesos al Instituto Provincial de Vivienda de Neuquén y que esos mismos actores en abril habían filtrado información personal y fiscal de ciudadanos que fue extraída de los sistemas de la Municipalidad de Posadas, en Misiones. Por otra parte, en septiembre la Legislatura de la Ciudad de Buenos Aires confirmaba que había sufrido un ciberataque que comprometió su funcionamiento interno.

Como podemos apreciar, los organismos gubernamentales son un blanco muy atractivo para los cibercriminales, que continúan aprovechando las debilidades que pueden tener los sistemas públicos para acceder a información sensible, tanto de funcionarios como de los ciudadanos.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El final de temporada de "House of the Dragon" de HBO se filtró en línea, dos días antes de su estreno oficial. La popular precuela de Game of Thrones ya era bastante popular entre los piratas y este lanzamiento está llamando aún más la atención. La fuente de la filtración no está clara, pero los subtítulos en hebreo podrían ser una pista.

El debut de "House of the Dragon" de HBO en agosto no decepcionó. Desde entonces ha promediado decenas de millones de visitas por episodio.

El programa también fue un éxito instantáneo en los sitios piratas donde, en el verdadero espíritu de Game of Thrones, se filtró antes del estreno oficial.

En las semanas que siguieron, "House of The Dragon" aplastó a "The Lord of the Rings: The Rings of Power" en la clasificación no oficial de descargas piratas. A este ritmo, va camino de convertirse en el programa de televisión más pirateado del año. Y la noticia de hoy ciertamente no hace daño a esa 'aspiración'.

Hace unas horas aparecieron copias del décimo episodio en Usenet y sitios piratas, dos días antes de que el público en general tenga acceso a él en plataformas legales. La noticia de la filtración se está difundiendo rápidamente y decenas de miles de personas ya se han apoderado de una copia ilícita.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No sería una gran sorpresa ver que estas estadísticas de descarga superan más de un millón de copias antes del domingo. Un número significativo de personas también verá el episodio a través de sitios de transmisión piratas, lo que aumentará aún más los números.

La fuente de la fuga sigue siendo desconocida en el momento de escribir este artículo, pero hay algunos puntos de datos que pueden ayudar a reducir las cosas. El video viene en 25 fps, lo que elimina países como EE. UU., Japón y Brasil.

Además, una fuente confiable nos informa que el lanzamiento original vino con subtítulos en hebreo en un archivo .srt separado. Estos lanzamientos originales generalmente se comparten en servidores privados, que actúan como puntos centrales antes de que los grupos de distribución comiencen a compartirlos en sitios piratas.

No pudimos verificar esta información de forma independiente, pero podría ser un indicio de que hay vínculos con Israel.

No importa cuál sea la fuente, será difícil hacer algo al respecto ahora. Es probable que la compañía y sus socios de licencias pasen gran parte del fin de semana enviando solicitudes de eliminación, pero para HBO, la mayor parte del daño ya está hecho.

Actualización:

un portavoz de HBO envió la siguiente declaración después de la publicación.

"Somos conscientes de que el décimo episodio de House of the Dragon se ha publicado en sitios de torrents ilegales. Parece haberse originado en un socio de distribución en la región EMEA".

"HBO está monitoreando y sacando agresivamente estas copias de Internet. Estamos decepcionados de que esta acción ilegal haya interrumpido la experiencia de visualización de los fanáticos leales del programa, quienes podrán ver una versión impecable del episodio cuando se estrene el domingo en HBO y HBO Max, donde se transmitirá exclusivamente en 4K".

Fuente:
TorrentFreak
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ciudadano ucraniano de 26 años ha sido acusado en los EE. UU. por su presunto papel en la operación de malware como servicio (MaaS) de Raccoon Stealer.

Mark Sokolovsky, quien fue arrestado por la policía holandesa después de salir de Ucrania el 4 de marzo de 2022, en lo que se dice que es un Porsche Cayenne, se encuentra actualmente detenido en los Países Bajos y espera su extradición a los EE. UU.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Las personas que implementaron Raccoon Infostealer para robar datos de las víctimas arrendaron el acceso al malware por aproximadamente $ 200 por mes, pagados con criptomonedas", dijo el Departamento de Justicia de EE. UU. (DoJ). "Estas personas utilizaron varios trucos, como el phishing de correo electrónico, para instalar el malware en las computadoras de las víctimas desprevenidas".

Se dice que Sokolovsky utilizó varios apodos en línea como Photix, raccoonstealer y black21jack77777 en foros de ciberdelincuencia en línea para anunciar la venta del servicio.

Raccoon Stealer, distribuido principalmente bajo la apariencia de software descifrado, es conocido por ser uno de los ladrones de información más prolíficos, utilizado por múltiples ciberdelincuentes por sus amplias funciones y la personalización que ofrece el malware.

Activos desde abril de 2019, los actores de amenazas detrás de la operación detuvieron abruptamente el trabajo en el proyecto a principios de marzo, citando la pérdida de un miembro principal debido a una "operación especial".

Si bien esto se interpretó como la muerte de un desarrollador en la guerra ruso-ucraniana, los documentos judiciales muestran que, de hecho, fue el arresto de Sokolovsky y el posterior desmantelamiento de la infraestructura del malware por parte de las autoridades italianas y holandesas lo que condujo al cierre temporal.

Dicho esto, una segunda versión de Raccoon Stealer escrita en C/C++ comenzó a circular en foros clandestinos a partir de junio de 2022, y sus autores promocionan la facilidad de uso de la herramienta.

"Es tan rápido y simple que con su ayuda no será difícil para un niño aprender a procesar registros", publicó la banda de ciberdelincuentes en un mensaje compartido en su canal de Telegram en mayo.

Según la Oficina Federal de Investigaciones (FBI) de EE. UU., se estima que el malware facilitó el robo de 50 millones de credenciales únicas y formas de identificación (por ejemplo, direcciones de correo electrónico, cuentas bancarias, direcciones de criptomonedas y números de tarjetas de crédito) de millones de víctimas a nivel mundial.

Las credenciales supuestamente consisten en más de cuatro millones de direcciones de correo electrónico, lo que llevó al FBI a lanzar un sitio web raccoon.ic3[.]gov para ayudar a los usuarios a verificar si sus direcciones de correo electrónico aparecen en los datos de Raccoon Stealer.

Sokolovsky ha sido acusado de un cargo de conspiración para cometer fraude informático y actividad relacionada con las computadoras; un cargo de conspiración para cometer fraude electrónico; un cargo de conspiración para cometer lavado de dinero; y un cargo de robo de identidad agravado.

Si se prueba su culpabilidad, el acusado enfrenta una pena máxima de 20 años de prisión por los delitos de fraude electrónico y lavado de dinero, cinco años por el cargo de conspiración para cometer fraude informático y un período obligatorio consecutivo de dos años por el delito de robo de identidad agravado.

"Este tipo de malware alimenta el ecosistema del cibercrimen, recopila información valiosa y permite que los ciberdelincuentes roben a estadounidenses y ciudadanos inocentes de todo el mundo", dijo la fiscal federal Ashley C. Hoff.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco advirtió sobre intentos de explotación activos dirigidos a un par de fallas de seguridad de dos años en Cisco AnyConnect Secure Mobility Client para Windows.

Registradas como CVE-2020-3153 (puntuación CVSS: 6,5) y CVE-2020-3433 (puntuación CVSS: 7,8), las vulnerabilidades podrían permitir a los atacantes autenticados locales secuestrar DLL y copiar archivos arbitrarios en directorios del sistema con privilegios elevados.

Si bien Cisco abordó CVE-2020-3153 en febrero de 2020, se envió una solución para CVE-2020-3433 en agosto de 2020.

"En octubre de 2022, el equipo de respuesta a incidentes de seguridad de productos de Cisco se dio cuenta de un intento adicional de explotación de esta vulnerabilidad en la naturaleza", dijo el fabricante de equipos de red en un aviso actualizado.

"Cisco continúa recomendando encarecidamente que los clientes actualicen a una versión de software fija para remediar esta vulnerabilidad".

La alerta se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) se movió para agregar las dos fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), junto con cuatro errores en los controladores GIGABYTE, citando evidencia de abuso activo en la naturaleza.

El desarrollo también sigue a un informe completo publicado por Group-IB con sede en Singapur la semana pasada que detalla las tácticas adoptadas por un grupo de ransomware de habla rusa denominado OldGremlin en sus ataques dirigidos a entidades que operan en el país.

El principal de sus métodos para obtener acceso inicial es la explotación de las fallas de Cisco AnyConnect mencionadas anteriormente, con las debilidades del controlador GIGABYTE empleadas para desarmar el software de seguridad, el último de los cuales también ha sido utilizado por el grupo de ransomware BlackByte.

Las vulnerabilidades, a las que se les asignaron los identificadores CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 y CVE-2018-19323, y parcheadas en mayo de 2020, podrían permitir que un atacante aumente los privilegios y ejecute código malicioso, para tomar el control completo de un sistema afectado.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se agregó una actualización al final del artículo que explica que cualquier archivo firmado con Authenticode, incluidos los ejecutables, se puede modificar para evitar las advertencias.

Un nuevo día cero de Windows permite a los actores de amenazas usar archivos JavaScript independientes maliciosos para eludir las advertencias de seguridad de Mark-of-the-Web. Los actores de amenazas ya se ven usando el error de día cero en los ataques de ransomware.

Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que marca un archivo como descargado de Internet y, por lo tanto, debe tratarse con precaución ya que podría ser malicioso.

La bandera MoTW se agrega a un archivo descargado o adjunto de correo electrónico como un Flujo de datos alternativo especial llamado 'Zone.Identifier', que se puede ver usando el comando 'dir /R' y se abre directamente en el Bloc de notas, como se muestra a continuación.

El flujo de datos alternativo Mark-of-the-Web
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este flujo de datos alternativo 'Zone.Identifier' incluye de qué zona de seguridad URL proviene el archivo (tres equivale a Internet), la referencia y la URL del archivo.

Cuando un usuario intenta abrir un archivo con la marca Mark-of-the-Web, Windows mostrará una advertencia de que el archivo debe tratarse con precaución.

"Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente su computadora. Si no confía en la fuente, no abra este software", se lee en la advertencia de Windows.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft Office también utiliza el indicador MoTW para determinar si el archivo debe abrirse en Vista protegida, lo que hace que se deshabiliten las macros.

Windows MoTW pasa por alto la falla de día cero

El equipo de inteligencia de amenazas de HP informó recientemente que los actores de amenazas están infectando dispositivos con ransomware Magniber utilizando archivos JavaScript.

Para ser claros, no estamos hablando de archivos JavaScript que se usan comúnmente en casi todos los sitios web, sino de archivos .JS distribuidos por actores de amenazas como archivos adjuntos o descargas que pueden ejecutarse fuera de un navegador web.

Los archivos JavaScript vistos distribuidos por los actores de amenazas de Magniber se firman digitalmente mediante un bloque de firma codificado en base64 incorporado, como se describe en este artículo de soporte de Microsoft:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Archivo JavaScript utilizado para instalar Magniber Ransomware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de ser analizado por Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, descubrió que los atacantes firmaron estos archivos con una clave mal formada.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Firma mal formada en archivo JavaScript malicioso
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando se firmó de esta manera, aunque el archivo JS se descargó de Internet y recibió una marca de MoTW, Microsoft no mostraría la advertencia de seguridad y el script se ejecutaría automáticamente para instalar el ransomware Magniber.

Dormann probó aún más el uso de esta firma mal formada en archivos JavaScript y pudo crear archivos JavaScript de prueba de concepto que pasarían por alto la advertencia de MoTW.

Ambos archivos JavaScript (.JS) se compartieron, como se puede ver a continuación, y ambos recibieron una Marca de la Web, como lo indican los cuadros rojos, cuando se descargaron de un sitio web.

Mark-of-the-Web en la demostración PoC de Dormann
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La diferencia entre los dos archivos es que uno está firmado con la misma clave mal formada de los archivos de Magniber y el otro no contiene ninguna firma.

Dormann's PoC Exploits
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando se abre el archivo sin firmar en Windows 10, se muestra correctamente una advertencia de seguridad de MoTW.

Sin embargo, al hacer doble clic en 'calc-othersig.js', que está firmado con una clave mal formada, Windows no muestra una advertencia de seguridad y simplemente ejecuta el código JavaSript, como se muestra a continuación.

Demostración del día cero de Windows que pasa por alto las advertencias de seguridad
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con esta técnica, los actores de amenazas pueden eludir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.

Se pudo reproducir el error en Windows 10. Sin embargo, para Windows 11, el error solo se activaría al ejecutar el archivo JS directamente desde un archivo.

Dormann cree que este error se introdujo por primera vez con el lanzamiento de Windows 10, ya que un dispositivo con Windows 8.1 completamente parcheado muestra la advertencia de seguridad de MoTW como se esperaba.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según Dormann, el error proviene de la nueva función SmartScreen 'Comprobar aplicaciones y archivos' de Windows 10 en Seguridad de Windows> Control de aplicaciones y navegadores> Configuración de protección basada en la reputación.

"Este problema se encuentra en la nueva función SmartScreen de Win10. Y al deshabilitar "Comprobar aplicaciones y archivos", Windows vuelve al comportamiento heredado, donde las indicaciones de MotW no están relacionadas con las firmas de Authenticode", dijo Dormann.

"Desafortunadamente, toda esa configuración es actualmente una compensación. Por un lado, escanea los malos que se descargan".

"Por otro lado, los malos que se aprovechan de este error pueden obtener un comportamiento MENOS SEGURO de Windows en comparación con cuando la función está deshabilitada".


La vulnerabilidad de día cero es particularmente preocupante, ya que sabemos que los actores de amenazas la están explotando activamente en ataques de ransomware.

Dormann compartió la prueba de concepto con Microsoft, quien dijo que no podían reproducir la omisión de advertencia de seguridad de MoTW.

Sin embargo, Microsoft declaró que están al tanto del problema informado y lo están investigando.

Actualización 22/10/22

Después de la publicación de este artículo, Dormann dijo que los actores de amenazas podrían modificar cualquier archivo firmado con Authenticode, incluidos los ejecutables (.EXE), para eludir las advertencias de seguridad de MoTW.

Para hacer esto, Dormann dice que un ejecutable firmado puede modificarse usando un editor hexadecimal para cambiar algunos de los bytes en la parte de la firma del archivo y así corromper la firma.

Una vez que la firma está dañada, Windows no verificará el archivo con SmartScreen, como si no hubiera un indicador de MoTW, y permitirá que se ejecute.

"Los archivos que tienen un MotW se tratan como si no hubiera MotW si la firma está dañada. La diferencia en el mundo real depende del tipo de archivo que sea", explicó Dormann.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A lo largo de esta década, EE. UU. siguió siendo el país más violado. Sin embargo, a principios de 2022, Rusia sorprendentemente tomó la delantera. El número de cuentas rusas pirateadas había aumentado un 136 % mes tras mes desde finales de febrero, cuando el Kremlin decidió invadir Ucrania.

A Rusia, con 22,3 millones de cuentas filtradas, le siguen Francia (13,8 millones), Indonesia (13,3 millones) y Estados Unidos (8,5 millones).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las infracciones aumentaron un 70 % (44,5 millones) en el tercer trimestre en comparación con el segundo. Cada segundo en los últimos tres meses, se filtraron 14 cuentas, según indican los datos de Surfshark.

"Es preocupante ver que las violaciones de datos aumentan nuevamente después de una primera mitad del año comparativamente tímida, poniendo en riesgo a 108,9 millones de usuarios de Internet", dijo Agneska Sablovskaja, investigadora principal de Surfshark.

El aliado de Rusia, Bielorrusia, registró un crecimiento de 4x con respecto al trimestre anterior: 539,000 cuentas filtradas. Ucrania, por otro lado, experimentó una caída del 14%.

Un enorme aumento del 1370 % en las cuentas violadas en Indonesia surgió de varios ciberataques a gran escala, lo que obligó al parlamento del país a ratificar las leyes de protección de datos personales.

Fuente:
CyberNews.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El conflicto entre Rusia y Ucrania ha tenido un notable impacto en el sector tecnológico ruso desde que dieron inicio las hostilidades a comienzos de este año. Ahora, ha salido a la luz un nuevo dato que refuerza esta idea: en los últimos meses, cientos de los principales desarrolladores de software de Rusia parecen haber abandonado el país.

De hecho, casi uno de cada cuatro (el 23%) de los usuarios rusos con mayor número de contribuciones a proyectos de programación en GitHub han cambiado su ubicación fuera de Rusia, una cifra cuatro veces mayor que la que muestran los usuarios de países vecinos no involucrados en el conflicto. También es mucho mayor de lo esperable el dato de perfiles eliminados...

..aunque bien es cierto que este último dato puede verse distorsionado por el hecho de que en abril el propio GitHub comenzó a cerrar cuentas de desarrolladores empleados en empresas sometidas a sanciones occidentales.

Pero en cualquier caso, ya en marzo, datos de RAEK (un grupo comercial tecnológico ruso) situaban entre 50.000 y 70.000 los trabajadores tecnológicos que ya habían huido de Rusia, y especulaban que entre 70.000 y 100.000 más podrían hacer lo propio en abril.

Además, en estos meses un 11,3% de los desarrolladores rusos han comenzado a ocultar su localización en GitHub

Cerebros huidos para unos, cerebros captados para otros

El éxodo de programadores empezó mucho antes de que Moscú anunciara en septiembre la movilización militar parcial que se saldó en la atropellada huida de 200.000 varones entre los 18 y los 50 años para evitar ser enviados al frente.

En realidad, este hecho podría no tener mucha influencia en la decisión de abandonar Rusia, pues el Ministerio Digital del país aprobó hace un mes una lista de 195 profesiones científicas y tecnológicas cuyo ejercicio puede eximir de la movilización si el empleado ejerce funciones 'críticas'.

Estos datos de cambio de ubicación los conocemos gracias a una investigación llevada a cabo por una institución sin fines de lucro de Austria, el Complexity Science Hub Vienna. El responsable del estudio, Johannes Wachs, estuvo recopilando datos sobre las ubicaciones geográficas de los desarrolladores activos en GitHub en dos momentos: un año antes de que Rusia entrara en Ucrania en febrero de 2022, y varios meses después del inicio del conflicto.

Países vecinos de Rusia que no ponen impedimentos al paso de sus ciudadanos, sobre todo los emplazados en la región caucásica, como Armenia y Georgia, se sitúan entre los cuatro principales destinos para los desarrolladores rusos emigrados en estos meses, lo que les ha supuesto una significativa 'captación de cerebros'.

Eso, claro, a su vez puede tener un impacto muy negativo en las expectativas del sector tecnológico ruso a medio/largo plazo, si los desarrolladores logran obtener una situación laboral estable lejos de la Madre Rusia.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si la compañía no ha creado y destinado los driver para Linux (esto no significa que sea compatible para auditorías, y sí que tenga el funcionamiento para el cual se destinó el producto con garantías de seguridad):

Nada que hacer; debe buscar un hardware que sea compatible con auditorías

Hola

Lo que le sucede es sencillo, y en la imagen le dan un indicio:

Existen firmware libre o de código abierto (que es el que usa distros como el Kali Linux y otras de Linux en general; y existen firmware propietario, o como le dicen en la imagen "firmware no libre".

Esto último significa que el propietario de ese software que responde a un producto hardware, es una compañía que vende o comercializa sus productos bajo licencia y restricciones.

Dicho de otro modo, no ofrece abiertamente el código para modificar los parámetros que impuso a su producto, y por ende los desarrolladores no tienen y no pueden incorporarlos a las distros de código abierto como lo es Kali. En raras ocasiones existen diseñadores que modifican de manera ilegal o clandestina el firmware para que se pueda usar, dado la valía del producto, por ejemplo: un wifi. Son muy raras las ocasiones, pues hay que testear y casi siempre es trabajo de una comunidad que intercambian su trabajo. Otro tanto es que la compañía ofrezca el software para Linux, entonces debe buscarlo y compilarlo. En la imagen le dicen que si lo tiene que lo ofrezca para instalar.

Resumiendo:
Su hardware es propietario y no es compatible con Kali Linux, pues su firmware no es código abierto, si la compañía no los ha creado para Linux.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TOP 100 - Mejores Investigadores

Lista creada por CXSECURITY:
CXSECURITY (información independiente sobre seguridad) es una gran colección de información sobre la seguridad de las comunicaciones de datos. Su principal objetivo es informar sobre errores en diversas aplicaciones.

Ranking:

Nombre y ranking por errores informados (bugs)

1
KingSkrupellos (gb)
Score 968
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2
indoushka (dz)
Score 928
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3
Vulnerability Lab (de)
Score 647
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4
malvuln (us)
Score 620
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5
Ashiyane Digital Security Team (ir)
Score 609
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

6
Ihsan Sencan (tr)
Score 542
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

7
Gjoko 'LiquidWorm' Krstic (mk)
Score 424
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

8
High-Tech Bridge Security Research Lab (ch)
Score 347
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

9
hyp3rlinx (us)
Score 297
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

10
Google Security Research (us)
Score 262
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

11
LiquidWorm (mk)
Score 223
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

12
Bl4ck M4n (ir)
Score 216
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

13
behrouz mansoori (ir)
Score 205
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

14
MustLive (ua)
Score 194
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

15
Juan Vazquez (Anonymous)
Score 178
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

16
Persian Hack Team (ir)
Score 165
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

17
Maksymilian Arciemowicz (pl)
Score 148
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

18
Luigi Auriemma (it)
Score 140
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

19
ZDI (us)
Score 129
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

20
Secunia Research (dk)
Score 123
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

21
Am!r (ir)
Score 110
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

22
Todor Donev (Anonymous)
Score 105
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

23
Larry W. Cashdollar (us)
Score 102
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

24
KedAns-Dz (dz)
Score 97
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

25
CORE (Anonymous)
Score 97
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

26
AutoSec Tools (Anonymous)
Score 91
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

27
HP (us)
Score 88
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

28
Tim Coen (Anonymous)
Score 84
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

29
Moudi (Anonymous)
Score 82
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

30
rgod (Anonymous)
Score 79
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

31
v3n0m (Anonymous)
Score 79
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

32
John Leitch (Anonymous)
Score 78
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

33
TAURUS OMAR (Anonymous)
Score 78
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

34
Stefan Kanthak (de)
Score 77
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

35
sinn3r (Anonymous)
Score 77
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

36
Benjamin Kunz Mejri (de)
Score 73
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

37
ZoRLu (Anonymous)
Score 72
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

38
Ismail Tasdelen (tr)
Score 71
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

39
metasploit (Anonymous)
Score 70
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

40
Iran Cyber Security Group (ir)
Score 70
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

41
Yorick Koster (Anonymous)
Score 69
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

42
ZwX (fr)
Score 69
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

43
nu11secur1ty (bg)
Score 68
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

44
Anonymous (Anonymous)
Score 68
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

45
mr_me (mx)
Score 66
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

46
Brendan Coles (Anonymous)
Score 63
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

47
Mehmet EMIROGLU (tr)
Score 62
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

48
Stefan Esser (de)
Score 61
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

49
Multiple (Anonymous)
Score 59
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

50
SirGod (Anonymous)
Score 58
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

51
Wang Jing (Anonymous)
Score 58
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

52
Sammy FORGIT (Anonymous)
Score 57
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

53
Francis Provencher (Anonymous)
Score 57
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

54
Crim3R (Anonymous)
Score 57
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

55
cr4wl3r (Anonymous)
Score 56
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

56
alex evuln com (Anonymous)
Score 56
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

57
RedTeam (Anonymous)
Score 56
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

58
eidelweiss (Anonymous)
Score 55
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

59
luny youfucktard com (Anonymous)
Score 55
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

60
Mr.T959 (id)
Score 55
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

61
AntiSecurity (Anonymous)
Score 54
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

62
Sony (Anonymous)
Score 53
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

63
TheCyberNuxbie (Anonymous)
Score 53
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

64
3spi0n (Anonymous)
Score 53
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

65
IRANIAN ETHICAL HACKERS (ir)
Score 52
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

66
AkaStep (Anonymous)
Score 52
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

67
Stefan Schurtz (de)
Score 52
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

68
Hussin X (Anonymous)
Score 51
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

69
Mahdi Karimi (ir)
Score 51
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

70
EMC (Anonymous)
Score 51
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

71
Pedro Ribeiro (Anonymous)
Score 49
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

72
MrHoudini (ir)
Score 49
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

73
Ehsan_Hp200 (Anonymous)
Score 48
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

74
KnocKout (Anonymous)
Score 47
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

75
TUNISIAN CYBER (tn)
Score 47
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

76
kaMtiEz (Anonymous)
Score 46
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

77
null (Anonymous)
Score 46
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

78
Th4 MasK (Anonymous)
Score 45
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

79
Aria-Security Team (Anonymous)
Score 45
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

80
Tavis Ormandy (us)
Score 45
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

81
NoGe (Anonymous)
Score 44
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

82
Juan Carlos Garcia (es)
Score 44
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

83
metacom (Anonymous)
Score 44
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

84
Kacper Szurek (pl)
Score 44
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

85
CISCO (us)
Score 44
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

86
Net.Edit0r (Anonymous)
Score 43
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

87
None (Anonymous)
Score 43
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

88
Inj3ct0r (Anonymous)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

89
laurent gaffie (it)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

90
dun (Anonymous)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

91
QUIXSS (ru)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

92
Juan Sacco (Anonymous)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

93
Jeremy Brown (Anonymous)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

94
m0ze (ru)
Score 42
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

95
jos_ali_joe (Anonymous)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

96
waraxe (ee)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

97
Karn Ganeshen (Anonymous)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

98
0N3R1D3R (id)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

99
Achilles (se)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

100
JosS (Anonymous)
Score 41
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
CXSECURITY
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores del Leiden Institute of Advanced Computer Science encontraron miles de repositorios en GitHub que ofrecen exploits de prueba de concepto (PoC) falsos para varias vulnerabilidades, algunas de las cuales incluyen malware.

GitHub es una de las plataformas de alojamiento de código más grandes, y los investigadores la usan para publicar vulnerabilidades de PoC para ayudar a la comunidad de seguridad a verificar soluciones para vulnerabilidades o determinar el impacto y el alcance de una falla.

Según el documento técnico de los investigadores del Leiden Institute of Advanced Computer Science, la posibilidad de infectarse con malware en lugar de obtener un PoC podría llegar al 10,3 %, excluyendo las falsificaciones comprobadas y el software de broma.

Recogida y análisis de datos

Los investigadores analizaron un poco más de 47 300 repositorios que anuncian un exploit para una vulnerabilidad revelada entre 2017 y 2021 utilizando los siguientes tres mecanismos:

    Análisis de direcciones IP: comparación de la IP del editor de PoC con listas de bloqueo públicas y VT y AbuseIPDB.
    Análisis binario: ejecute comprobaciones de VirusTotal en los ejecutables proporcionados y sus hashes.
    Análisis hexadecimal y Base64: decodifique archivos ofuscados antes de realizar comprobaciones binarias y de IP.

Método de análisis de datos
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De las 150 734 direcciones IP únicas extraídas, 2864 entradas de la lista de bloqueo coincidieron, 1522 se detectaron como maliciosas en los análisis antivirus en Virus Total y 1069 de ellas estaban presentes en la base de datos AbuseIPDB.

Direcciones IP encontradas en varias listas de bloqueo
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El análisis binario examinó un conjunto de 6160 ejecutables y reveló un total de 2164 muestras maliciosas alojadas en 1398 repositorios.

En total, 4.893 repositorios de los 47.313 probados se consideraron maliciosos, y la mayoría de ellos se referían a vulnerabilidades de 2020.

Repositorios maliciosos por año
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El informe contiene un pequeño conjunto de repositorios con PoC falsos que entregaron malware. Sin embargo, los investigadores compartieron con BleepingComputer al menos otros 60 ejemplos que aún están activos y en proceso de ser eliminados por GitHub.

Malware en el PoC

Al observar más de cerca algunos de esos casos, los investigadores encontraron una gran cantidad de diferentes malware y scripts dañinos, que van desde troyanos de acceso remoto hasta Cobalt Strike.

Un caso interesante es el de un PoC para CVE-2019-0708, comúnmente conocido como "BlueKeep", que contiene un script de Python ofuscado en base64 que obtiene un VBScript de Pastebin.

El script es Houdini RAT, un antiguo troyano basado en JavaScript que admite la ejecución remota de comandos a través de Windows CMD.

Script ofuscado y Houdini desofuscado
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En otro caso, los investigadores detectaron un PoC falso que era un ladrón de información (stealer) que recopilaba información del sistema, dirección IP y agente de usuario.

Esto fue creado anteriormente como un experimento de seguridad por otro investigador, por lo que encontrarlo con la herramienta automatizada fue una confirmación para los investigadores de que su enfoque funcionó.

Ejemplo de exfiltración de PoC falso
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Uno de los investigadores, El Yadmani Soufian, que también es investigador de seguridad en Darktrace, tuvo la amabilidad de proporcionar ejemplos adicionales no incluidos en el informe técnico, que se detallan a continuación:

PowerShell PoC que contiene un binario codificado en base64 marcado como malicioso en Virus Total.

PoC falso de PowerShell
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Python PoC que contiene una sola línea que decodifica una carga útil codificada en base64 marcada como maliciosa en Virus Total.

Carga útil malintencionada de una sola línea que se hace pasar por un PoC
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Falso exploit de BlueKeep que contiene un ejecutable que la mayoría de los motores antivirus marcan como malicioso e identifican como Cobalt Strike.

Cobalt Strike lanzado a través de PoC falso
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un script que se esconde dentro de un PoC falso con componentes maliciosos inactivos que podrían causar daños si su autor así lo desea.

PoC inofensivo pero falso
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cómo mantenerse a salvo

Confiar ciegamente en un repositorio en GitHub de una fuente no verificada sería una mala idea ya que el contenido no está moderado, por lo que corresponde a los usuarios revisarlo antes de usarlo.

Se recomienda a los probadores de software que analicen cuidadosamente los PoC que descargan y ejecuten tantas verificaciones como sea posible antes de ejecutarlos.

Soufian cree que todos los evaluadores deben seguir estos tres pasos:

    Lea atentamente el código que está a punto de ejecutar en su red o la de su cliente.
    Si el código está demasiado ofuscado y necesita demasiado tiempo para analizarlo manualmente, guárdelo en un entorno (por ejemplo, una máquina virtual aislada) y verifique su red en busca de tráfico sospechoso.
    Utilice herramientas de inteligencia de código abierto como VirusTotal para analizar archivos binarios.

Los investigadores informaron todos los repositorios maliciosos que descubrieron a GitHub, pero pasará algún tiempo hasta que todos sean revisados y eliminados, por lo que muchos aún permanecen disponibles para el público.

Como explicó Soufian, su estudio tiene como objetivo no solo servir como una acción de limpieza única en GitHub, sino actuar como un disparador para desarrollar una solución automatizada que podría usarse para marcar instrucciones maliciosas en el código cargado.

Esta es la primera versión de la investigación del equipo y están trabajando para mejorar su detector. Actualmente, la herramienta de detección pierde el código con una ofuscación más fuerte.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Gracias por la estima y apreciación; no siempre es así y entristece o desanima mucho; a veces...

Con esos modelos de wifi no tengo experiencia, pues nunca he poseído uno de ellos. Debe informarse en internet; en especial sobre el chipset que poseen.

Hay ciertos wifi que no son compatibles con ataques Evil Twin (sus scripts). No obstante, sí son compatibles para realizar auditorías informáticas de manera general. Los ataques Evil Twin son trascendentales para auditar WPA2.

El ser dual band 2.4 / 5 ghz es un punto a su favor; siempre el detalle estará en el chipset que posea el wifi, no lo olvide.

Con respecto a la antena: que el wifi tenga conector SMA permite ponerle una de mayor ganancia.

Un ejemplo de adaptación que realicé:

Adquirí una antena de panel Leguang: 5 watt reales con 5 dbi de ganacia en su panel. Recién le puse la foto a otro usuario y es la que ve al lado de la Alfa de panel.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es una antena china de calidad / prestaciones bastante decentes.

Lo que hice:

Le deshabilité la antena interna del panel (desoldar)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En ese terminal coaxial, le soldé un conector SMA macho para antena externa y se lo adapté a la carcasa trasera

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Volví a ensamblarla con su base

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con un pigtail adaptado de SMA a N (es el cable gris fino que se ve en la foto), la destiné a una parabólica direccional grillada de 24 dbi que es asunto serio; y la puse en la parte trasera de la propiedad con un brazo articulado como base cubriendo 180 º.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este ejemplo le ilustra como un wifi que solo tiene de alcance efectivo pocos metros (300 o 500 según altura/exterior) y debido a su antena de panel, puede convertirse en uno potente, cuyo alcance son más de 10 millas conservadoramente, debido a la parabólica direccional.

Tenga esto en cuenta a la hora de realizar su compra e inversión.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Intel ha publicado las primeras pinceladas de la próxima generación de Thunderbolt, la nueva generación de la interfaz de alta velocidad desarrollada conjuntamente por Intel y Apple y que desde 2018 puede implementarse por cualquier fabricante sin pago de regalías.

VESA lanzó DisplayPort 2.1 el lunes y USB-IF ayer hizo lo propio con las especificaciones de USB4 2.0. Estos anuncios han puesto de relieve los importantes esfuerzos de ingeniería realizados por la industria para crear un protocolo unificado capaz de manejar los enormes requisitos de ancho de banda de E/S externo de los sistemas informáticos del futuro.

La próxima generación de Thunderbolt

La nueva interfaz de Intel tiene mucho que ver con las otras dos presentadas esta semana. Si la actualización de DisplayPort está dirigida a mejorar la integración con USB4, el conector de Intel está basado directamente en USB4 v2. Como ella, trabaja con la arquitectura de tunelización multiprotocolo introducida en USB4, que permite duplicar el ancho de banda disponible hasta 80 Gbps mientras se mantiene el mismo diseño de puerto, de pines y de estructura de cable.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para entender los 120 Gbps citados por Intel (y que también obtendremos en USB4 V2) hay que explicar que un enlace USB4 utiliza dos pares de señalización diferencial de alta velocidad unidos para transmitir y recibir datos, lo que permite una operación dúplex de 40 Gbps (transmisión de 40 Gbps y recepción de 40 Gbps) en el caso simétrico. Sin embargo, el proceso de inicialización de carril puede configurar opcionalmente el enlace para tener 3 transmisores y un receptor en un lado, y 3 receptores y un transmisor en el otro.

Combinado con las velocidades de datos más altas gracias a PAM3, esto puede permitir que el host envíe hasta 120 Gbps. Aunque se reduce el ancho de banda de recepción a 40 Gbps, hay periféricos que podrán utilizarlo como las pantallas de alta resolución que pueden sacrificar el ancho de banda disponible en el lado de la transmisión para otros fines (como el almacenamiento de alta velocidad).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El próximo Thunderbolt toma las especificaciones USB4 2.0 como base y convierte todas las características opcionales en obligatorias. Además de esto, la integración de Intel de Thunderbolt en los procesadores de las computadoras portátiles garantiza que la implementación sea eficiente desde el punto de vista energético en el lado del host. Hacer que Thunderbolt sea obligatorio para las computadoras portátiles Intel Evo y vPro consolidará el liderazgo de Intel en interfaces de USB.

La función de reequilibrio dinámico del ancho de banda que permite la tunelización de los flujos DisplayPort 2.1 y al mismo tiempo permite el uso de periféricos de gran ancho de banda es una de las características más interesantes de USB4 v2. Y seguramente estará disponible en los sistemas equipados con los puertos Thunderbolt de próxima generación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En la demostración, Intel no ha citado los límites del suministro de energía (Thunderbolt 3/4 admite hasta 15 W de forma predeterminada) para los puertos Thunderbolt de próxima generación. Tampoco ha proporcionado ninguna información relacionada con la disponibilidad en el mercado, seguramente en 2023. Pantallas, bases de expansión, gráficas externas... Hay un amplio campo de uso por explorar. Y esperemos que, por fin, una interfaz/conector que con un solo cable proporcione el enorme rendimiento prometido.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El USB Promoter Group ha publicado las especificaciones finales de USB4 2.0 y los logotipos que la representarán. Como se esperaba, la principal novedad es el aumento de rendimiento en transferencia de datos hasta los 80 Gbps, un ancho de banda en la que está trabajando Intel para Thunderbolt 5.

El nuevo estándar será retrocompatible con la versión inicial de USB4 y también con las anteriores, USB 3.2, USB 2.0 y Thunderbolt 3. Debido a problemas de licencias, USB4 2.0 no será compatible inicialmente con Thunderbolt 4.

Otra de sus grandes ventajas es que podrá usarse con los mismos cables actuales, si bien también se comercializarán otros nuevos específicos. De esta manera, usando la codificación de señal PAM3, las conexiones de 80 Gbps serán posibles a través de cables activos USB-C de 80 Gbps recién definidos o cables pasivos de 40 Gbps existentes.

Las especificaciones se han actualizado para soportar USB Tipo-C (el conector más moderno del estándar) y el USB Power Delivery (USB PD), el protocolo para carga rápida de energía que permite usar cables y conectores USB-C para recargar dispositivos con una potencia de hasta 100 vatios.

La actualización de la arquitectura también permite mejorar versiones anteriores como USB 3.2 que ahora superará los 20 Gbps. Además, aprovecharán mejor el aumento del ancho de banda disponible y se integrarán mejor con interfaces internas PCIe Gen 4 y también la última versión DisplayPort 2.1 que se ha presentado esta misma semana.

Nuevos logotipos para USB4 2.0
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como la denominación USB4 2.0 puede confundirse con USB 2.0 de 20 años de antiguedad y que alcanza un máximo de 480 Mbps, la organización responsable del estándar ha publicado una serie de logotipos que tendrán que llevar todos los productos certificados para esta norma. El nuevo estándar del puerto de interconexión de periféricos se estrenará en 2023.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La situación de Rusia en su intento por conquistar al menos parte de Ucrania parece estar lejos de cumplir con las previsiones del Kremlin. Aparte de su aparente retroceso en la zona de conflicto, parece que el país euroasiático está teniendo problemas con el suministro de chips o al menos eso es lo publicado por Kommersant, un periódico ruso dedicado a temas políticos y económicos con una línea editorial presuntamente favorable a Vladimir Putin.

Según han recogido diversos medios en inglés que han mencionado a Kommersant, la proporción de chips defectuosos que Rusia importaba antes de la guerra era del 2%. Dicho porcentaje no puede ser considerado como bueno viendo que en la actualidad muchos componentes de gama baja ofrecen bastante calidad dentro sus limitaciones, pero tras la aplicación de las sanciones de occidente, este ha aumentado hasta el 40% del total. Esto quiere decir que casi uno de cada dos chips de los importados por Rusia están defectuosos.

Las sanciones han limitado mucho las posibilidades de Rusia de adquirir chips de manera legal, así que el país se ha visto forzado a tener que tratar con empresas chinas a través del mercado gris. El problema del mercado gris es que está lleno de oportunistas que están a la espera de colar material defectuoso o de mala calidad, además de ser más lento a la hora de suministrar las mercancías.

Los problemas con la importación de chips han forzado a Rusia a tener que tomar semiconductores de electrodomésticos como neveras y lavadoras para implementarlos en sus tanques, lo que delata una situación de precariedad tecnológica que probablemente tenga algo que ver con los resultados que ha obtenido hasta ahora en su invasión de Ucrania.

China, de manera oficial, ha mantenido cierta equidistancia en torno a la guerra derivada de la invasión de Ucrania por parte de Rusia. A pesar de ser considerado como un aliado del régimen de Vladimir Putin, no es menos cierto que China tiene la capacidad de poder jugar con su propia baraja y anteponer sus intereses. Esto se suma, paradójicamente, a las sanciones impuestas a algunas empresas como Huawei y ZTE.

Veremos cómo se las apaña Rusia viendo sus aparentes problemas con el suministro de chips, porque con un porcentaje tan alto de unidades defectuosas es obvio que le están dando "gato por liebre".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por otro lado, el gobierno del país anunció hace tiempo sus intenciones de fabricar chips usando un proceso de 28nm para 2030. Si vemos que la microarquitectura Ivy Bridge de Intel empleó un proceso de fabricación de 22nm y fue comercializada en 2012, es evidente que Rusia no tiene grandes capacidades para fabricar chips.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

 Tiene sentido su observación: Lo que me pareció entender:

El macro ejecuta un script que se cuela como una tarea de rutina:
"El documento contiene macros maliciosas que colocan y ejecutan un script 'updater.vbs' que crea una tarea programada para hacerse pasar por una actualización de rutina de Windows."

Esta es la parte que está nebulosa para mi y es que "dentro del documento" hay otra carga que es la de PowerShell? O sea todo viene en el word con ofuscación, o no?

"El script VBS luego ejecuta dos scripts de PowerShell, "Script.ps1" y "Temp.ps1", los cuales se almacenan dentro del documento malicioso en forma ofuscada."

Tampoco entendí muy bien lo de novedoso...

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un importante cable de Internet en el sur de Francia se cortó ayer a las 20:30 UTC, lo que afectó la conectividad del cable submarino a Europa, Asia y los Estados Unidos y provocó pérdidas de paquetes de datos y un aumento de la latencia de respuesta del sitio web.

La empresa de seguridad en la nube Zscaler informa que realizaron ajustes de enrutamiento para mitigar el impacto. Sin embargo, los usuarios aún enfrentan problemas debido a que los proveedores de aplicaciones y contenido enrutan el tráfico a través de las rutas afectadas.

"Zscaler está trabajando con los proveedores de contenido para que influyan en su parte del camino", se lee en un aviso de Zscaler.

"Si experimenta lentitud con aplicaciones específicas, especialmente aplicaciones alojadas en el extranjero, comuníquese con el proveedor de la aplicación y remítalo a esta publicación de confianza".

Los equipos de reparación se trasladaron rápidamente a la escena, pero tuvieron que esperar a que la policía recopilara pruebas antes de que se les permitiera trabajar en la restauración del daño.

A las 23:00 UTC se confirmó que el incidente había afectado a tres enlaces: Marsella-Lyon, Marsella-Milano y Marsella-Barcelona.

A las 01:00 UTC de hoy, cuando los equipos de reparación de Zscaler restauraron uno de los enlaces, pero los técnicos continuaron observando pérdidas de paquetes y latencia para algunos destinos.

A las 18:58:01 UTC, Zscaler publicó una actualización final que indica que el problema se resolvió.

"Este incidente se ha resuelto. Póngase en contacto con el soporte de Zscaler si tiene preguntas adicionales". - Escalador Z.

Daños en los cables también en el Reino Unido

Al mismo tiempo, BCC informa que un cable submarino que une las Islas Shetland con el continente escocés también resultó dañado, dejando a los internautas en la isla aislados del resto del mundo.

No solo eso, sino que también ha reducido la capacidad de la población de Shetland de 23,000 para llamar a los servicios de emergencia, ya que la comunicación se ha visto afectada en general.

La policía de Escocia emitió hoy un aviso instando a las personas a no hacer llamadas innecesarias, ya que las pocas líneas disponibles deben permanecer abiertas para emergencias.

Este incidente se produce cuando los técnicos ya estaban trabajando para reparar el enlace entre las Islas Feroe y Shetland, que también se cortó la semana pasada.

Los dos cables submarinos dañados (submarinecablemap.com)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El jefe de infraestructura de Faroese Telecom, Páll Vesturbú, le dijo a la BBC que se cree que los cortes de cable fueron hechos por barcos pesqueros, aunque es inusual tener dos incidentes simultáneamente.

"Esperamos que sean barcos pesqueros los que dañen el cable, pero es muy raro que tengamos dos problemas al mismo tiempo", dijo Vesturbú a la BBC.

Las investigaciones sobre estos incidentes recientes aún están en curso y no hay nada en este momento que indique que se trata de actos de sabotaje.

Actualización 20/10/22: La historia y el título se actualizaron para reflejar que se cortó un cable de fibra terrestre que impactó en los cables submarinos.
Actualización 20/10/22: este artículo originalmente contenía una sección sobre un posible sabotaje. Como esta posibilidad es especulación en este momento y no hay pruebas de sabotaje, la eliminamos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login