Mi gato le manda a decir que tal vez... quizás..., es probable..., y de seguro se deba...
a que no se a sumado al team de los gatos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tenga Ud. unas felices fiestas.

Mis mejores deseos.

Hola

Está muy confundido y desinformado con el proceso, aunque su idea tenga cierta lógica para el que desconoce como suplantar a un cliente con su info.

El proceso de intercambio de la clave entre el cliente y el router está cifrado. Esto responde a un proceso que es al momento del intercambio de paquetes en los cuales de manera gradual se intercambia la info, pero con un proceso de cifrado que es único y de ese momento, pues no se vuelve a repetir, sino que cada vez que se realiza el cifrado emplea diferente info en su proceso.

Esto es explicado de manera muy sencilla para que entienda.

Dicho de otro modo:

Tiene la llave de una puerta, pero esa puerta cuando Ud., se acerca a ella establece un proceso de cifrado único para corroborar que realmente tiene la llave y asegurarse que nadie de una ojeada y pueda robársela. Pasado ese proceso si es exitoso o no, el próximo intento que haga, vuelve a establecer ese "ambiente" pero con características únicas e irrepetibles.

Por ello el sistema de cifrado WPA2 ha durado tantos largos años hasta que se detectó el bug en el proceso de asociación que es el que explota el ataque KRACK, pero que no está asociado al proceso de cifrado del WPA2 sino que es un error en el proceso de asociación. Por ello el KRACK no ofrece la clave sino solo permite la asociación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores aprovecharon una vulnerabilidad en la popular prueba casera Ellume COVID-19 para obtener una prueba positiva.

Dado que el mundo es incapaz de aliviar las garras de la pandemia, las pruebas siguen siendo un hecho desagradable, aunque es un hecho importante de la vida. Sin embargo, los investigadores de F-Secure demostraron que era posible diseñar una prueba positiva.

La prueba en cuestión fue la prueba casera Ellume COVID-19, una prueba de antígeno autoadministrada que permite a los usuarios ver si han sido infectados con el virus.

La prueba funciona con un analizador Bluetooth que permite eludir las instalaciones de prueba y proporciona al usuario y a las autoridades sanitarias el resultado a través de la aplicación móvil de Ellume.

Para engañar a la prueba, el investigador de F-Secure, Ken Gannon, logró engañar al analizador antes de que los datos se transmitieran a la aplicación. Desde entonces, el fabricante de la prueba corrigió la vulnerabilidad.

    "Nuestra investigación implicó cambiar un resultado negativo a positivo, pero el proceso funciona en ambos sentidos".
    -Ken Gannon, consultor de seguridad de F-Secure.

Para que el truco funcionara, el investigador utilizó un dispositivo Android rooteado. Al lanzar un proceso en la aplicación destinado a la depuración de actividades, Gannon pudo interactuar con el analizador de pruebas a través de Bluetooth.

Dado que dos tipos de tráfico de Bluetooth de la prueba al dispositivo son responsables de si la prueba fue positiva, los investigadores escribieron scripts específicos de tráfico que cambiaban un resultado negativo en uno positivo.

Según la investigación, en el momento del experimento, la prueba de Ellume era una opción legítima para proporcionar un resultado de prueba negativo en los Estados Unidos. Una empresa de terceros, Azova, observaría si la prueba se realiza correctamente y proporcionaría un certificado de los resultados.

"Para demostrar que F-Secure podía falsificar una prueba COVID positiva y obtener un certificado de Azova, la gerente de marketing de F-Secure, Alexandra Rinehimer, tomó la prueba COVID mientras estaba siendo supervisada", escribe Gannon.

A pesar de que la prueba fue negativa, el guión que escribieron los investigadores cambió el resultado a positivo, lo que llevó a Azova a proporcionar el certificado con una indicación "positivo" en la columna de resultados.

En la práctica, esto significa que los piratas informáticos podrían haberse creado un certificado necesario para participar en determinadas actividades en los EE. UU. Y entrar en el país.

F-Secure informó a Ellume sobre el problema y, desde entonces, la empresa ha solucionado la falla. Según Alan Fox, jefe de sistemas de información de Ellume, la compañía confirmó que no se vieron afectados otros resultados.

"También entregaremos un portal de verificación para permitir que las autoridades, incluidos los departamentos de salud, empleadores, escuelas, organizadores de eventos y otros, verifiquen la autenticidad de la prueba casera Ellume COVID-19", dijo Fox.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Depende mucho del modelo de móvil y su generación. Hay que estar en ese mundillo y negocio de los móviles.
Según he leído ya cambiar el IMEI a los modelos modernos es un incordio por ser un identificador de seguridad y los fabricantes se aseguran que no sea posible.

Recuerdo que para los Samsung se usaba un conjunto de herramientas.
Creo que aquí en el Foro hay un post en que está en las respuestas y uno con experiencia compartió las herramientas:

"Cambiarle el IMEI a dispositivo Samsung J1 Ace"  >> buscar

De cualquier modo, busque en Internet criterios y experiencias con su modelo de móvil.

Cuidadito con las herramientas que si no es versado o le vuelve inservible el móvil, o pudiera inyectarle un malware.

Bueno, me he quedado un tanto intrigado con su caso.

En el sitio oficial de Sandisk y su Foro en el apartado que nos corresponde

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

encontré un caso como el suyo y sin respuesta.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dice que la capacidad de ella dado el formato que se le pone y el tamaño del cluster es de 14,5 gb.

"my SDCZ50C-016G (Cruzer Blade USB 2.0 16GB) after various formatting (& various installing USB bootable OS), total capacity decreased from 14.5GB to 14.3GB"

traducción:

"mi SDCZ50C-016G (Cruzer Blade USB 2.0 16GB) después de varios formateados (y varios sistemas operativos de arranque USB instalados), la capacidad total disminuyó de 14.5GB a 14.3GB."

En realidad su problema radica en esa pequeña disminución que desea restaurarla.

Otros similares pero de 64 GB o 128 GB, pero con reducciones drásticas,  refieren herramientas que básicamente realizan las funciones de la que le recomendé con las partición, sector de arranque (sobre todo esto), etc.

No me imagino que pueda ser... y estoy confundido con lo del tamaño real asignado por el fabricante, y el del formato, asignación del tamaño del cluster, y el sistema operativo. Hay un tema que se aclara eso en que siempre es menor.

Si me topo con algo le aviso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un mercado de la dark web llamado '2easy' se está convirtiendo en un actor importante en la venta de "Registros" (Logs) de datos robados recolectados de aproximadamente 600.000 dispositivos infectados con malware que roba información.

Los "registros" son archivos de datos robados de navegadores web comprometidos o sistemas que usan malware, y su aspecto más importante es que comúnmente incluyen credenciales de cuenta, cookies y tarjetas de crédito guardadas.

2easy se lanzó en 2018 y ha experimentado un rápido crecimiento desde el año pasado, cuando solo vendió datos de 28,000 dispositivos infectados y se consideró un jugador menor.

Según un análisis realizado por investigadores de la firma israelí de inteligencia de la dark web KELA, el crecimiento repentino se atribuye al desarrollo de la plataforma del mercado y a la calidad constante de las ofertas que han dado lugar a críticas favorables en la comunidad de delitos cibernéticos.

Registros baratos y válidos

El mercado está completamente automatizado, lo que significa que alguien puede crear una cuenta, agregar dinero a sus billeteras y realizar compras sin interactuar directamente con los vendedores.

Los registros están disponibles para su compra por tan solo $ 5 por artículo, aproximadamente cinco veces menos que los precios promedio de Genesis y tres veces menos que el costo promedio de los registros de bots en el mercado ruso.

Además, según el análisis de los comentarios de los actores de varios foros de la dark web, los registros de 2easy ofrecen constantemente credenciales válidas que brindan acceso a la red a muchas organizaciones.

Además del costo y la validez, la GUI de 2easy es fácil de usar y poderosa al mismo tiempo, lo que permite a los actores realizar las siguientes funciones en el sitio:

    - ver todas las URL en las que iniciaron sesión las máquinas infectadas
    - buscar URL de interés
    - naveguar a través de una lista de máquinas infectadas de las que se robaron las credenciales de dicho sitio web.
    - comprobar la calificación del vendedor
    - revisar las etiquetas asignadas por los vendedores, que la mayoría de las veces incluyen la fecha en que se infectó la máquina y, a veces, notas adicionales del vendedor.
    - adquirir credenciales para objetivos seleccionados

El único inconveniente en comparación con otras plataformas es que 2easy no ofrece a los posibles compradores una vista previa de un artículo vendido, como la dirección IP censurada o la versión del sistema operativo del dispositivo donde se robaron los datos.

La plaga de RedLine

Cada artículo comprado en 2easy viene en un archivo que contiene los registros robados del bot seleccionado.

El tipo de contenido depende del malware de robo de información utilizado para el trabajo y sus capacidades, ya que cada cepa tiene un conjunto de enfoques diferente.

Sin embargo, en el 50% de los casos, los vendedores usan RedLine como su malware preferido, que puede robar contraseñas, cookies, tarjetas de crédito almacenadas en navegadores web, credenciales de FTP y más.
Cinco de los 18 vendedores activos en 2easy usan RedLine exclusivamente, mientras que otros cuatro lo usan junto con otras cepas de malware como Raccoon Stealer, Vidar y AZORult.

Por qué esto es importante

Los registros que contienen credenciales son esencialmente llaves de puertas, ya sea que esas puertas conduzcan a sus cuentas en línea, información financiera o incluso acceso a redes corporativas.

Los actores de amenazas venden esta información por tan solo $ 5 por pieza, pero el daño incurrido a las entidades comprometidas podría contarse en millones.

"Un ejemplo así se puede observar a través del ataque de Electronic Arts que se reveló en junio de 2021", explica el informe de KELA.

"Según los informes, el ataque comenzó con los piratas informáticos que compraron cookies robadas que se vendieron en línea por solo $ 10 y continuó con los piratas informáticos que usaban esas credenciales para obtener acceso a un canal de Slack utilizado por EA".

"Una vez en el canal de Slack, esos piratas informáticos engañaron con éxito a uno de los empleados de EA para que proporcionara un token de autenticación multifactor, lo que les permitió robar varios códigos fuente para los juegos de EA".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El mercado de corredores de acceso inicial está en aumento y está directamente relacionado con infecciones catastróficas de ransomware, mientras que los mercados de registros como 2easy son parte del mismo ecosistema.

Se ofrecen millones de credenciales de cuentas para su compra en la dark web, por lo que se necesitan medidas de seguridad adecuadas que traten las cuentas como potencialmente comprometidas.

Ejemplos de esas medidas incluyen pasos de autenticación de múltiples factores, rotación frecuente de contraseñas y aplicación del principio de privilegio mínimo para todos los usuarios.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El equipo del navegador Opera está trabajando en un nuevo sistema de protección y monitoreo del portapapeles llamado Paste Protection, que tiene como objetivo evitar el secuestro y el espionaje de contenido.

Bloqueo y seguimiento

Paste Protection funciona automáticamente, monitorea el portapapeles en busca de datos confidenciales y lo bloquea una vez que se agrega.

Cuando el usuario copia una información confidencial, aparece una ventana emergente en la esquina derecha para advertirle que el contenido ha sido protegido.

Según los pocos detalles que los desarrolladores compartieron en esta fase inicial, el navegador mostrará una nueva advertencia si una aplicación externa logra cambiar el contenido del portapapeles.

En este punto, Opera no ha revelado con precisión qué datos y de qué forma se identifican como sensibles.

Las direcciones de billetera IBAN y Bitcoin califican como datos confidenciales que requieren protección, pero extrañamente, los números de tarjetas de crédito, direcciones de correo electrónico, contraseñas largas y SSN no se tratan como tales.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es probable que se agreguen más tipos de datos al esquema de monitoreo de Protección contra pegado cuando la función esté lista para implementarse en futuras versiones estables de Opera.

La última versión estable de Opera disponible es 82, por lo que la nueva función de seguridad puede aterrizar en la próxima versión, programada para enero de 2022.

Por qué es importante la protección del portapapeles

La protección del portapapeles es una característica de seguridad importante que todos los navegadores web deben copiar, ya que protege a los usuarios de varias infecciones de malware que intentan secuestrar un portapapeles.

Los secuestradores del portapapeles son malware que reemplaza una dirección de billetera de criptomonedas copiada, que es el destino de pago previsto, por una controlada por el actor de la amenaza. La mayoría de las personas no memorizan las direcciones de las criptomonedas, por lo que las monedas o tokens se enviarán a las billeteras de los actores de amenazas. Los usuarios solo se dan cuenta del error cuando los activos no aparecen en la dirección prevista.

Sin embargo, para entonces ya es demasiado tarde y no hay forma de recuperar los fondos.

En segundo lugar, la divulgación de información a través de la captura de datos del portapapeles es una característica común en muchos ladrones de información, por lo que el canal de exfiltración de datos también está cerrado.

Incluso si la nueva función de Opera encuentra una adopción generalizada entre otros navegadores, es recomendable validar manualmente el contenido de los datos pegados, especialmente al realizar transacciones financieras.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ve bien. E imagino que cuando la conecta a Windows la reconozca y acceda a lectura /escritura.
A veces las memorias se desconfiguran en su firmware y hay que buscar en la página del fabricante el software para restituirlas en su funcionalidad. Yo Ud., buscaba según el modelo a ver que le ofrece el fabricante que es SanDisk.

Esto sería lo ideal: la herramienta del fabricante para devolverle su configuración original.

Lo que le queda con la herramienta que le sugerí es "jugar" un poco para ver si hay suerte. No hará daño pues es por software.
El ej es con una memoria de 8 gigas que es la que tengo con prisas a mano.

Puede cambiarla a Fat32 y ver resultados.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Volverla a poner en NTFS si no hay resultados positivos.

Otra conversión: Busque: Convert MBR Disk to GPT Disk
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y pruebe a ver cómo la ve Windows. Realice la conversión a la inversa nuevamente que es como debe estar.

Básicamente con borrar la partición y volviéndola a crear, asignándole todo el espacio, debe funcionar.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya si es asunto del firmware desconfigurado debe ser el software del fabricante.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El investigador de seguridad de Nepal, Sudip Shah, ha compartido una publicación de blog que detalla una vulnerabilidad IDOR que afecta a Facebook.

Específicamente, detectó el error en la aplicación de Facebook para Android que potencialmente revelaba los nombres de los administradores de la página de Facebook mientras miraba videos en vivo.

Si bien no es del todo un secreto, la plataforma mantiene las identidades de los administradores de la página de Facebook ocultas a los seguidores y usuarios en general por motivos de privacidad.

Por lo tanto, este error de IDOR (Referencia de objeto directo inseguro) representaba un riesgo de privacidad significativo. El investigador encontró esta vulnerabilidad al analizar la aplicación de Facebook para Android después de múltiples intentos fallidos de encontrar errores notables en la plataforma web.

Al describir la vulnerabilidad, el investigador afirmó:

"Mientras interceptaba y navegaba a la sección de video en vivo de la otra página en FB android, encontré un extremo vulnerable en el doc_id = 4449530781773796, donde cuando el page_id en la solicitud se cambia a cualquier página, el administrador de la página se revela en la respuesta el parámetro broadcaster_id."



Meta parcheó la falla

Después de este descubrimiento, el investigador se comunicó con funcionarios de Facebook el 5 de octubre de 2021.

Luego recibió una respuesta de los proveedores, quienes reconocieron la vulnerabilidad y comenzaron las investigaciones. En consecuencia, el gigante tecnológico confirmó la implementación de la solución el 21 de octubre de 2021.

Además, el investigador ganó una recompensa de $ 4500 por este informe.

Dado que la solución está implementada, los usuarios de Android deben asegurarse de actualizar sus dispositivos con la última versión de la aplicación de Facebook por seguridad.

Fuente:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una comisión del gobierno federal de EE. UU., asociada con los derechos internacionales ha sido atacada por una puerta trasera (backdoor) que, según se informa, comprometió su red interna en lo que los investigadores describieron como una "operación clásica de tipo APT".

"Este ataque podría haber brindado visibilidad total de la red y control completo de un sistema y, por lo tanto, podría usarse como el primer paso en un ataque de múltiples etapas para penetrar esta u otras redes más profundamente", dijo la compañía de seguridad checa Avast en un informe publicado la semana pasada.

El nombre de la entidad federal no fue revelado, pero los informes de Ars Technica y The Record lo vincularon a la Comisión de los Estados Unidos sobre Libertad Religiosa Internacional (USCIRF). Avast dijo que estaba haciendo públicos sus hallazgos después de intentos infructuosos de notificar directamente a la agencia sobre la intrusión y a través de otros canales establecidos por el gobierno de Estados Unidos.

En esta etapa, solo se han descubierto "partes del rompecabezas del ataque", dejando la puerta abierta para muchas incógnitas con respecto a la naturaleza del vector de acceso inicial utilizado para violar la red, la secuencia de acciones posteriores a la explotación tomadas por el actor y el impacto general del compromiso en sí.

Lo que se sabe es que el ataque se llevó a cabo en dos etapas para implementar dos binarios maliciosos, la primera de las cuales potencialmente permitió al adversario no identificado interceptar el tráfico de Internet y ejecutar el código de su elección, permitiendo a los operadores tomar el control total sobre los sistemas infectados. Lo logra abusando de WinDivert, una utilidad de captura de paquetes legítima para Windows.

Curiosamente, no solo ambas muestras se hacen pasar por una biblioteca de Oracle llamada "oci.dll", se descubrió que el descifrador de segunda etapa implementado durante el ataque comparte similitudes con otro ejecutable detallado por los investigadores de Trend Micro en 2018, que profundizó en un robo de información ataque a la cadena de suministro impulsado por el nombre "Operación Red Signature" dirigido a organizaciones en Corea del Sur. Las superposiciones han llevado al Avast Threat Intelligence Team a sospechar que los atacantes han tenido acceso al código fuente de este último.

"Es razonable suponer que ocurrió alguna forma de recopilación de datos y exfiltración del tráfico de la red, pero eso es una especulación informada", dijeron los investigadores. "Dicho esto, no tenemos forma de saber con certeza el tamaño y alcance de este ataque más allá de lo que hemos visto".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han revelado vulnerabilidades de seguridad en la transferencia, un mecanismo fundamental que sustenta las redes celulares modernas, que podrían ser explotadas por los adversarios para lanzar ataques de denegación de servicio (DoS) y man-in-the-middle (MitM) utilizando equipos de bajo costo.

Las "vulnerabilidades en el procedimiento de traspaso no se limitan a un solo caso de traspaso, sino que afectan a todos los diferentes casos y escenarios de traspaso que se basan en informes de medición no verificados y umbrales de intensidad de señal", los investigadores Evangelos Bitsikas y Christina Pöpper de la Universidad de Nueva York en Abu Dhabi., dijo en un nuevo periódico. "El problema afecta a todas las generaciones desde 2G (GSM), y sigue sin resolverse hasta ahora".

El traspaso, es un proceso en las telecomunicaciones en el que una llamada telefónica o una sesión de datos se transfiere desde un sitio celular (también conocido como estación base) a otra torre celular sin perder la conectividad durante la transmisión. Este método es crucial para establecer comunicaciones celulares, especialmente en escenarios en los que el usuario está en movimiento.

La rutina normalmente funciona de la siguiente manera: el equipo de usuario (UE) envía mediciones de la intensidad de la señal a la red para determinar si es necesario un traspaso y, de ser así, facilita el cambio cuando se descubre una estación objetivo más adecuada.

Si bien estas lecturas de señales están protegidas criptográficamente, el contenido de estos informes no se verifica en sí mismo, lo que permite que un atacante obligue al dispositivo a moverse a un sitio celular operado por el atacante. El quid del ataque radica en el hecho de que la estación base de origen es incapaz de manejar valores incorrectos en el informe de medición, lo que aumenta la posibilidad de un traspaso malicioso sin ser detectado.

Los nuevos ataques de estaciones base falsas, en pocas palabras, hacen vulnerables los procedimientos de traspaso, que se basan en los informes de medición encriptados y los umbrales de potencia de señal antes mencionados, lo que permite al adversario establecer un relé MitM e incluso escuchar a escondidas, eliminar, modificar y reenviar mensajes transmitidos entre el dispositivo y la red.

"Si un atacante manipula el contenido del [informe de medición] al incluir sus mediciones, entonces la red procesará las mediciones falsas", dijeron los investigadores. "Esto es posible imitando una estación base legítima y reproduciendo sus mensajes de transmisión".

"Atraer" el dispositivo a una estación base falsa

El punto de partida del ataque es una fase de reconocimiento inicial en la que el actor de la amenaza utiliza un teléfono inteligente para recopilar datos pertenecientes a estaciones legítimas cercanas y luego usa esta información para configurar una estación base no autorizada que se hace pasar por una estación celular genuina.

Posteriormente, el ataque implica forzar al dispositivo de la víctima a conectarse a la estación falsa mediante la transmisión de mensajes del bloque de información maestro (MIB) y del bloque de información del sistema (SIB), información necesaria para ayudar al teléfono a conectarse a la red, con una intensidad de señal más alta que la emulada por la estación base.

Al engañar a los UE para que se conecten a la estación impostora y obligar a los dispositivos a informar mediciones falsas a la red, el objetivo es desencadenar un evento de traspaso y aprovechar las fallas de seguridad en el proceso para dar lugar a ataques DoS, MitM y divulgación de información que afecten a la red tanto el usuario como el operador. Esto no solo compromete la privacidad de los usuarios, sino que también pone en riesgo la disponibilidad del servicio.

"Cuando el UE está en el área de cobertura del atacante, la estación base deshonesta tiene una potencia de señal lo suficientemente alta como para 'atraer' al UE y activar un [informe de medición], entonces el atacante tiene muy buenas posibilidades de obligar al UE víctima a conectarse a su estación base deshonesta [al] abusar del procedimiento de traspaso ", explicaron los investigadores.

"Una vez que el UE está conectado al atacante, podría entrar en modo acampado debido a un ataque de denegación de servicio (DoS) y dejar de responder, o el atacante podría establecer un intermediario (MitM) relé construyendo la base para otros exploits avanzados ".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Google estiman que el último software espía de NSO Group está a la altura de las capacidades de un Estado-nación. Los investigadores de Project Zero de Google, Ian Beer y Samuel Groß, han analizado FORCEDENTRY, el malware desarrollado por NSO Group que ha permitido a adversarios infectar dispositivos de Apple, sin que el propietario lo supiera, con el programa espía Pegasus de NSO Group.

En un artículo titulado "A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution" (Una mirada en profundidad a un exploit de tipo cero clic de NSO para iMessage: Ejecución remota de código), los investigadores concluyen que es "uno de los exploits más sofisticados técnicamente" que han visto, rivalizando con "los que antes se creía que sólo eran accesibles para un puñado de estados nacionales".

NSO Group es uno de los proveedores de más alto perfil de "acceso como servicio", que vende soluciones de hacking empaquetadas que permiten a los actores del estado nacional, sin una capacidad cibernética ofensiva local, ampliar enormemente sus capacidades ofensivas.

Durante años, grupos como Citizen Lab y Amnistía Internacional han estado rastreando el uso del paquete de software espía móvil de NSO "Pegasus". A pesar de las afirmaciones de NSO de que "[evalúan] el potencial de impactos adversos sobre los derechos humanos derivados del uso indebido de los productos de NSO", Pegasus se ha relacionado con el hackeo del periodista Ben Hubbard del New York Times por parte del régimen saudí, hacking de defensores de derechos humanos en Marruecos y Bahréin, personal de Amnistía Internacional y decenas de otros casos.

"Queremos agradecer a Citizen Lab por compartir con nosotros una muestra del exploit FORCEDENTRY, y al grupo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple por colaborar con nosotros en el análisis técnico. Las opiniones editoriales reflejadas a continuación son únicamente del Project Zero y no reflejan necesariamente las de las organizaciones con las que hemos colaborado durante esta investigación", escriben los investigadores.

A principios de este año, Citizen Lab logró detectar un exploit de iMessage de NSO que se utilizaba para atacar a un activista saudí. En el blog de Project Zero, Beer y Groß describen por primera vez cómo funciona un exploit de iMessage basado en cero clics: "Basándonos en nuestras investigaciones y descubrimientos, consideramos que se trata de uno de los exploits más sofisticados desde el punto de vista técnico que jamás hayamos visto, lo que demuestra que las capacidades que ofrece NSO rivalizan con las que hasta ahora se creía que sólo eran accesibles para un puñado de estados nacionales".

La vulnerabilidad de la que hablan los investigadores fue corregida el 13 de septiembre de 2021 en iOS 14.8 como CVE-2021-30860. Apple demandó a NSO por este tipo de comportamiento.

El mes pasado, Estados Unidos incluyó a NSO en la "Lista de Entidades", restringiendo severamente la capacidad de las empresas estadounidenses para hacer negocios con NSO y declarando en un comunicado de prensa que "[las herramientas de NSO] permitieron a los gobiernos extranjeros llevar a cabo la represión transnacional, que es la práctica de los gobiernos autoritarios de atacar a los disidentes, periodistas y activistas fuera de sus fronteras soberanas para silenciar la disidencia".

El usuario solamente era hackeado al hacer clic en el enlace, una técnica conocida como one-click exploit. Sin embargo, recientemente se ha documentado que NSO está ofreciendo a sus clientes una tecnología de explotación de cero clics, en la que incluso víctimas con grandes conocimientos técnicos, que podrían no hacer clic en un enlace de phishing, no son conscientes de que están siendo atacadas. En el escenario de clic cero no se requiere la interacción del usuario. Es decir, el atacante no necesita enviar mensajes de phishing; el exploit simplemente funciona de forma silenciosa en segundo plano. Si no se utiliza un dispositivo, no hay forma de evitar la explotación de un exploit de clic cero; es un arma contra la que no hay defensa.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft advirtió a sus clientes hoy que parcheen dos fallas de seguridad de escalada de privilegios del servicio de dominio de Active Directory que, cuando se combinan, permiten a los atacantes tomar fácilmente dominios de Windows.

La compañía lanzó actualizaciones de seguridad para abordar las dos vulnerabilidades de seguridad (rastreadas como CVE-2021-42287 y CVE-2021-42278 e informadas por Andrew Bartlett de Catalyst IT) durante el martes de parche de noviembre de 2021.

La advertencia de Redmond de corregir inmediatamente los dos errores, que permiten a los atacantes hacerse pasar por controladores de dominio, se produce después de que una herramienta de prueba de concepto (PoC) que puede aprovechar estas vulnerabilidades se compartiera en Twitter y GitHub el 11 de diciembre.

"Al combinar estas dos vulnerabilidades, un atacante puede crear una ruta directa a un usuario administrador de dominio en un entorno de Active Directory que no ha aplicado estas nuevas actualizaciones", explica Microsoft en un aviso publicado hoy.

"Este ataque de escalada permite a los atacantes elevar fácilmente sus privilegios a los de un administrador de dominio una vez que comprometen a un usuario habitual en el dominio."

"Como siempre, recomendamos encarecidamente implementar los últimos parches en los controladores de dominio lo antes posible".

Se insta a los administradores de Windows a actualizar los dispositivos expuestos a ataques.

Los investigadores que probaron el PoC declararon que pudieron usar fácilmente la herramienta para escalar privilegios de un usuario estándar de Active Directory a un administrador de dominio en configuraciones predeterminadas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Póngame una imagen de la memoria dentro del programa que le recomendé.

Esto remacha el clavo...

Sí que está dando uña en esta navidad.

Ave María Purísima @DtxdF... le ha maleado el cine a medio país.
Esto es gravísimo dado lo popular del servicio. Y se puede crear hasta una base de datos.

Por qué lo puso en Noticias si esto es Hacking puro?

Muy bueno.

Tiene desconfigurada la memoria flash y es común ese accidente.

Yo lo arreglo por la siguiente vía:

Uso el MiniTool Partition Wizard:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Le borro la partición que posee, y le creo una nueva en la cual le añado toda la capacidad. Aplico cambios.

Esto depende de la gravedad de la desconfiguración. Hay software que están especializados en memorias flash (debo buscar en mi base de software), pero con el MiniTool Partition Wizard siempre he resuelto "los problemitas" que he tenido.

Me da la impresión que no es grave en su caso.

Suerte

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Me topé en un Foro de Hacking que recomendaban a esta nube para almacenar datos. Y me pareció espectacular la generosidad de oferta de un tera en capacidad. No obstante raro el no haber sabido de ella antes, pues dada esa característica, fuera muy popular su uso.

Comencé a indagar.

Aquí en el Foro se ha hablado mucho de las mejores nubes para compartir y almacenar archivos, según las experiencias de cada cual. También se ha destacado en interesantísimos post, los aspectos de seguridad que hay que observar y tener en cuenta para escoger y hacer uso de estos servicios y sus gratuidades.

Pues volviendo a TeraBox, topé disimiles criterios y referencias en internet, en el cual muchos eran poco profesionales e incluso infantiles, o con trazado perfil de marketing promocional.

Hasta que di con la review de un indio* (de la India), en que realiza el análisis detallado y acertado de los principales aspectos que realmente son trascendentales y que a continuación destaco:

La compañía lleva ya un tiempo en el mercado, y su antiguo nombre era Dubox.
Su principal fortaleza se caracteriza por el ofrecimiento de 1TB de espacio gratuito en la nube, respaldado por una muy decente y aceptable velocidad de subida y bajada en el servicio (velocidad). Esas son las mieles para atraer a muchos, pero...

Los aspectos negativos son demasiados y muy graves:

-   La validación del link para compartir la info es perecedero por 1 día, 7 días, o 30 días. Pasado ese tiempo el link se pierde. Lo peor no es eso y sí el historial de la compañía propietaria como se verá a continuación.

-   La compañía de TeraBox (antigua DuBox) pertenece a PopIn, cuya compañía propietaria es Baidu. Baidu para los que no saben, es un poderoso motor de búsqueda chino. Por ende TeraBox es una compañía china y opera bajo la égida de su nación, leyes y política, que tiene una reputación negativa en aspectos como la privacidad, el espionaje, y etc.

-   Como se es de esperar, la política de privacidad de TeraBox recopila información de sus usuarios por todas las vías: tanto legales y declaradas, como... sabrá Dios. Y se reserva el derecho de compartir toda la información almacenada del usuario, con terceras partes: como gobierno u otras compañías.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-   El Centro de Datos (Data Center) o servidores de alojamiento se encuentran en Hong Kong y en China. Ya a día de hoy hay una fusión y Hong Kong está bajo el dominio jurídico y político de la China Continental. Como tiene conciencia de la reputación respaldada con la experiencia que poseen, recién han cambiado la declaración de alojamiento que sus servidores están en... Japón.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y por si alguien aún está deslumbrado por el Tera que ofrecen, vea la historia y estrategia de Baidu:

Baidu se remonta a aquella compañía llamada Baidu Netdisk, que era una nube de almacenamiento lanzada en 2012 por usuarios chinos.

Su estrategia era atraer a los usuarios con ofertas de 1 tera o 2 tera de almacenamiento gratuito sin límites en su carga o descarga.

Pasado unos años, y sin previo aviso, lanzaron un plan de pagos, y condicionando la previa oferta gratuita a la reducción de velocidad de la descarga a 50 kbp/s.

Los usuarios quedaron atrapados en que su información estaba secuestrada literalmente, pues el servicio en principio era gratuito, y condicionado a pago sin previo aviso.

En el mundo de los negocios digitales esta técnica se le conoce como "Ventas de Secuestro" (Kidnapping Sales).

Así que, sirva la experiencia de escarmiento, para este caso u otro por venir. Y mucho cuidado con las ofertas de gratuidades que:

"El que alaba así la rodilla... cortar la cabeza quiere"

Fuentes Consultadas:

TeraBox
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Service Agreement
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Privacy Policy
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Blog de Kripesh Adwani*
Dubox Cloud Storage Review – 1 TB Free Cloud Storage Reality
Last Updated on: July 30, 2021

El listado es grande y está en el Foro: Use el buscador del Foro: chipset y modelos de wifi para auditorías wireless.

En particular le recomendaría todos aquellos que tengan chipset Ralink 3070 o Realtek 8187L.

El fabricante es irrelevante aunque se debe buscar en internet que ofrezcan de manera real el wattaje (potencia que declara su producto wifi). Hay mucho marketing y estafa con ese asunto.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De la grave vulnerabilidad Log4Shell (que afecta a la librería open source Log4J permitiendo ataques de ejecución de código remoto) se ha hablado mucho en esta última semana: desde las condiciones en que trabajan los desarrolladores encargados de parchearla, hasta la presencia de la vulnerabilidad en uno de los vehículos de la NASA que está explorando ahora mismo marte.

El problema al que se enfrenta Internet con Log4Shell es que al contrario que otros ciberataques relevantes de los últimos tiempos, que afectaban a un número limitado de productos de software (en muchos casos sólo a uno), Log4j está integrado en prácticamente cada servicio web basado en Java.

Todos los ciberdelincuentes del mundo, a la caza de exploits

El pasado lunes los expertos ya hablaban de un "potencial daño incalculable", y Adam Meyers, vicepresidente de la compañía de ciberseguridad Crowdstrike, declaraba que

"Internet está en llamas en este momento. Hay gente que está luchando para parchear [la vulnerabilidad] y aún más gente que está luchando para explotarla".

De modo que, una vez se hizo pública la vulnerabilidad (por cortesía de un ingeniero de Alibaba), comenzaron los escaneos masivos en Internet (sobre todo procedentes de la red Tor), con el objetivo de encontrar plataformas vulnerables. Prácticamente todos los grupos de cibercriminales y de hackers al servicio de estados han estado ocupados en ello durante esta última semana.

El pasado viernes —el día siguiente a la difusión de la existencia de Log4Shell—, Cloudflare ya estaba detectando una media de 5.483 escaneos por minuto es busca de servicios web vulnerables. La cifra fue creciendo progresivamente hasta este lunes, cuando ya se superaban los 24.600 por minuto (casi 35.500.000 al día).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En resumen: lo más probable es que todas aquellas plataformas vulnerables que no hayan implementado medidas de protección, a estas alturas ya habrán sido detectadas y atacadas.

Y lo peor no es que estén haciendo uso del primer exploit difundido por Chen Zhaojun, sino que en las primeras horas de difusión se crearon más de 60 nuevos exploits que utilizan las vulnerabilidades de Log4J con el fin de extraer datos.

Según explicaba a comienzos de esta semana la empresa de ciberseguridad Check Point Software,

"El gran número de combinaciones disponibles para explotar Log4Shell proporciona al atacante muchas alternativas para eludir las últimas protecciones introducidas".

"Esto significa que una capa de protección no es suficiente, y solo una estrategia basada en el uso de varias capas de seguridad proporcionaría una protección resistente. Tres días después del brote, lo que estamos viendo es claramente una ciberpandemia del que aún no hemos visto su punto máximo".

De hecho, según los datos que maneja la compañía el 48,1% de todas las redes corporativas del mundo se habían visto afectadas durante los primeros días tras salir a la luz la vulnerabilidad (el 51,2% en el caso de Europa).

Fuentes:
Cloudflare
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CheckPoint
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sky News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (traducción al español y recopilación):
Genbeta.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login