You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este es un compendio del código fuente del célebre Spyware Pegasus.

Ha sido obtenido a través de filtraciones y sobre todo por ingeniería inversa (el código fuente original es propiedad de una compañía).
Contiene ejemplos de archivos para su análisis y para trabajo como spyware.

Código fuente

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Información sobre el spyware

Pegasus fue un notorio spyware creado para el espionaje de móviles y perteneciente a la compañía NSO. Es capaz de leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono y recopilar información de las aplicaciones tanto para Android como para IOS.

Dadas sus capacidades fue denominado como el ataque hacia los teléfonos inteligentes más "sofisticado" de la historia. Y el primero de su tipo en realizar un jailbreak remoto a un dispositivo Iphone.

Detalles de su funcionamiento

No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono, así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.

Vulnerabilidades que explota

•   CVE-2016-4655: Fuga de información en el kernel: una vulnerabilidad de mapeo de la base del kernel que filtra información al atacante y le permite calcular la ubicación del kernel en la memoria.

•   CVE-2016-4656: La corrupción de la memoria del núcleo lleva a Jailbreak: vulnerabilidades a nivel de kernel de iOS de 32 y 64 bits que permiten al atacante liberar en secreto el dispositivo e instalar un software de vigilancia.

•   CVE-2016-4657: Corrupción de la memoria en Webkit: una vulnerabilidad en Safari WebKit que permite al atacante poner en peligro el dispositivo cuando el usuario hace clic en un enlace.

Parche

Apple lanzó la versión 9.3.5 de iOS para teléfonos inteligentes iPhone en agosto de 2016.

Necesita un software para gestionar la interfaz de la cámara.

Puede usar los siguientes (de los muchos que hay):

ArcSoft WebCam Companion (le puedo ofrecer el crack para la versión 4)
Webcam 7 Pro (también tengo el crack y pluging)
Video Booth   (tengo el crack de la versión 2.6.6.2 Final)

Los anteriores programas es probable que esten mucho más actualizados. Siéndole sincero hace mucho tiempo que no los uso. Pero estos eran los más atractivos para mí en su tiempo.

Si decide decantarse por alguno y necesitar el crack y pluging (traen funciones agregadas para edición y capturas) hágamelo saber para subírselos.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los detractores o la competencia pueden pagar una tarifa (la cantidad depende del vendedor, o incluso de la cantidad de seguidores) para que bloqueen tu perfil.

Dichos ataques comenzaron el pasado otoño, pero últimamente han adquirido un alto perfil.  Recientemente, la revista en línea Motherboard se conectó con un grupo de cibercriminales y aprendieron cómo se aprovechan de la política de Instagram para hacer dinero mediante ofertas de inhabilitación como servicio.

La táctica favorita del grupo es la queja falsa de suplantación de identidad, la cual involucra cuentas verificadas, identificables por la marca azul junto al nombre de usuario. Los atacantes utilizan cuentas verificadas para crear una copia íntegra del perfil de la víctima, hasta el avatar y la descripción. Entonces presentan una queja contra la cuenta original en donde acusan al propietario de suplantación de identidad. Si la cuenta de la víctima no está verificada, el servicio de soporte inhabilita a la víctima.

El segundo método de bloqueo es inundar el soporte técnico con mensajes que alegan que el perfil de la víctima contiene imágenes de suicidio o automutilación. En muchos casos, Instagram toma el camino fácil, bloquea las cuentas con fundamento en estas quejas sin antes verificar su contenido real.

A diferencia del phishing y otras estratagemas similares que todavía requieren la acción de la víctima (hacer clic en un enlace peligroso, por ejemplo) un ataque de inhabilitación funciona sin ninguna participación de la víctima. El objetivo, quien ni siquiera soñaría con violar los términos de uso, solo se encuentra con su cuenta bloqueada.

De acuerdo con los reporteros de Motherboard, el servicio no es costoso, oscila entre 5 y 60 dólares, por lo que los cibercriminales tienen un buen flujo de clientes.

Sin embargo, no todos los usuarios que abusan de las prácticas de moderación de Instagram lo hacen por dinero. Hay scripts maliciosos disponibles sin costo, y cualquier vándalo en línea puede utilizarlos para saldar una cuenta personal o silenciar a un blogger que le parezca molesto.

Pago por desbloqueo de Instagram

De hecho, el bloqueo de cuentas de Instagram abre otra ventana de capitalización: restaurar las cuentas. Desbloquearlas tiene una tarifa mucho más alta que bloquearlas; se dice que de hasta 3,500-4,000 dólares.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque por ahora no queda claro si son las mismas personas detrás de los servicios de inhabilitación y de desbloqueo, o si es una simbiosis accidental. Sin embargo, algunos usuarios sí reciben una oferta para restaurar sus cuentas solo unos minutos después del bloqueo, y dichas ofertas, con frecuencia, vienen de los seguidores de las cuentas de donde se derivó la queja original.

Hasta el momento no hay solución: "Business on The Rise"

Fuente:
Blog de kaspersky
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Consorcio de Sistemas de Internet (ISC) abordó una falla de denegación de servicio (DoS) de alta gravedad (CVE-2021-25218) que afecta al software BIND DNS.

La vulnerabilidad afecta solo a las versiones 9.16.19, 9.17.16 y 9.16.19-S1 de BIND 9 de BIND Supported Preview Edition. ISC también proporcionó soluciones para esta vulnerabilidad.

Un atacante podría aprovechar la falla, en circunstancias específicas, para desencadenar una condición DoS al hacer que el proceso del servidor de nombres BIND (named) se bloquee.

"Si named intenta responder a través de UDP con una respuesta que es mayor que la unidad de transmisión máxima de interfaz efectiva (MTU) actual, y si la limitación de la tasa de respuesta (RRL) está activa, se activa una falla de aserción (lo que da como resultado la terminación de la proceso del servidor).

Hay dos formas de que named supere la MTU de la interfaz:

    - Configuración directa en named.conf estableciendo max-udp-size en un valor mayor que la MTU de la interfaz, o
    - Detección de ruta MTU (PMTUD) que informa a la pila de IP que debe usar una MTU más pequeña para la interfaz y el destino que el valor predeterminado de tamaño máximo de udp de 1232. Algunos sistemas operativos permiten que los paquetes recibidos a través de otros protocolos afecten los valores de PMTUD para DNS sobre UDP ".

ICS señaló que la falla puede desencadenarse por una configuración incorrecta o por explotación deliberada, también puede desencadenarse durante las condiciones normales de funcionamiento,

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado un aviso de seguridad para advertir de esta vulnerabilidad.

"El Consorcio de Sistemas de Internet (ISC) ha publicado un aviso de seguridad que aborda una vulnerabilidad que afecta a múltiples versiones del dominio de nombres de Internet de ISC Berkeley (BIND).
Un atacante remoto podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio ".

"CISA anima a los usuarios y administradores a revisar el aviso de ISC CVE-2021-25218 y aplicar las actualizaciones o soluciones necesarias".

En el momento de escribir este artículo, ICS no tiene conocimiento de ataques en la naturaleza que explote el defecto anterior.

Fuente:
Security Affairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Solo unos días después de la filtración de datos de T-Mobile, el mismo actor de amenazas está vendiendo 70 millones de registros de usuarios de AT&T.

El proveedor de servicios móviles negó el reclamo de fuga de datos, diciendo que los datos no provenían de ninguno de sus sistemas.

ShinyHunters, el mismo grupo de actores de amenazas que puso a la venta los datos de los usuarios de T-Mobile hace apenas unos días, ahora vende 70 millones de registros que supuestamente pertenecen a otro proveedor de servicios móviles: AT&T.

La muestra de datos a la venta incluye los nombres completos, números de seguro social, direcciones de correo electrónico y fechas de nacimiento de los usuarios de AT&T.

ShinyHunters está vendiendo la base de datos por un precio inicial de 200.000 dólares.

AT&T negó la afirmación de que los datos se filtraron, lo que sugiere que no son auténticos o que se obtuvieron de otras fuentes.

"Según nuestra investigación de hoy, la información que apareció en una sala de chat de Internet no parece provenir de nuestros sistemas", citó MarketWatch al operador de telefonía celular.

AT&T ha sufrido una violación de datos antes.

En 2015, la compañía acordó pagar una multa de $ 25 millones por una violación de información privilegiada. De hecho, en mayo, un actor de amenazas estaba buscando contratar a un empleado de T-Mobile y / o AT&T, presumiblemente para ayudarlos a organizar un ataque interno contra su empleador.

El reclamo de otra enorme base de datos de usuarios se produce solo unos días después de que otro proveedor de servicios móviles, T-Mobile, confirmara una violación de datos. Según su última declaración, un atacante accedió ilegalmente a una base de datos que contiene información sobre más de 40 millones de usuarios pasados, actuales y potenciales de T-Mobile US.

A fines de la semana pasada, se informó a T-Mobile sobre las afirmaciones en un foro en línea de que un actor de amenazas ha comprometido los sistemas de T-Mobile. La empresa anunció que había localizado y cerrado de inmediato el punto de acceso que podría haber sido utilizado para obtener acceso ilegal a los servidores de la organización.

"Nuestro análisis preliminar es que aproximadamente 7.8 millones de información actual de cuentas de clientes de pospago de T-Mobile parece estar contenida en los archivos robados, así como un poco más de 40 millones de registros de clientes anteriores o potenciales que previamente habían solicitado crédito con T-Mobile. Es importante destacar que ningún número de teléfono, número de cuenta, PIN, contraseñas o información financiera se vio comprometida en ninguno de estos archivos de clientes o posibles clientes", dijo la compañía en un comunicado de prensa.

Los expertos con los que hablamos insistieron en que estos datos podrían usarse para ingeniería social y robo de identidad.

ShinyHunters es un grupo de actores de amenazas notorio y es responsable de múltiples violaciones importantes de datos. Según HackRead, se han dirigido a empresas como Mashable, 123RF, Minted, Couchsurfing, Animal Jam y otras.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de infraestructura web y seguridad de sitios web Cloudflare reveló el jueves que mitigó el mayor ataque volumétrico distribuido de denegación de servicio (DDoS) registrado hasta la fecha.

Se dice que el ataque, lanzado a través de una botnet Mirai, tuvo como objetivo a un cliente anónimo en la industria financiera el mes pasado.

"En cuestión de segundos, la botnet bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque", señaló la compañía, que en un momento alcanzó un récord de 17.2 millones de solicitudes por segundo (rps), lo que la hace tres veces más grande que el HTTP de ataques DDoS reportado anteriormente.

Los ataques DDoS volumétricos están diseñados para apuntar a una red específica con la intención de abrumar su capacidad de ancho de banda y, a menudo, utilizan técnicas de amplificación reflectante para escalar su ataque y causar la mayor interrupción operativa posible.

Por lo general, también se originan en una red de sistemas infectados con malware, que consta de computadoras, servidores y dispositivos de IoT, lo que permite a los actores de amenazas tomar el control y co-operar las máquinas en una botnet capaz de generar una afluencia de tráfico basura dirigido contra la víctima.

En este incidente específico, el tráfico se originó en más de 20.000 bots en 125 países de todo el mundo, y casi el 15% del ataque se originó en Indonesia, seguido de India, Brasil, Vietnam y Ucrania.

Además, los 17,2 millones de rps por sí solos representaron el 68% de la tasa de rps promedio del tráfico HTTP legítimo procesado por Cloudflare en el segundo trimestre de 2021, que es de 25 millones de rps HTTP.

Esta está lejos de ser la primera vez que se detectan ataques similares en las últimas semanas.

Cloudflare señaló que la misma botnet Mirai se usó para atacar a un proveedor de alojamiento con un ataque HTTP DDoS que alcanzó un máximo un poco por debajo de los 8 millones de rps.

Por otra parte, se observó que una botnet variante de Mirai lanzaba más de una docena de ataques DDoS basados en UDP y TCP que alcanzaron su punto máximo varias veces por encima de 1 Tbps.

La compañía dijo que los ataques fallidos estaban dirigidos a una compañía de juegos y un importante proveedor de servicios de Internet, telecomunicaciones y hospedaje con sede en Asia Pacífico.

"Si bien la mayoría de los ataques son pequeños y breves, seguimos viendo que este tipo de ataques volumétricos surgen con mayor frecuencia", dijo Cloudflare.

"Es importante tener en cuenta que estos ataques volumétricos de ráfagas cortas pueden ser especialmente peligrosos para los sistemas de protección DDoS heredados u organizaciones sin una protección activa y permanente basada en la nube".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de investigación Qualys detectó una vulnerabilidad en el sistema de archivos de Linux que permite a los atacantes una elevación de privilegios. Ha sido denominada Sequoia.

La vulnerabilidad ha recibido este nombre debido a la forma en que se realiza la explotación del sistema de ficheros, creando una estructura de más de un millón de carpetas anidadas, haciendo la analogía al crecimiento de una secuoya.

Se ha verificado que esta vulnerabilidad afecta a las versiones 20.04, 20.10 y 21.04 de Ubuntu, Debian 11 y Fedora 34 Workstation. Otras distribuciones de Linux son vulnerables y probablemente explotables.

La metodología de ataque requiere que un usuario sin privilegios cree una estructura profunda de alrededor de un millón de directorios anidados, y posteriormente montar y desmontar un dispositivo.

Para más información detallada de la explotación, consultar la seccción de Explotation overview explicada por el grupo de investigación Qualys.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El día 20 de Julio se lanzó un parche en la versión 5.13.4 del kernel de Linux que soluciona la vulnerabilidad.

Este grupo de investigación también ha detectado otra vulnerabilidad en los últimos días con el identificador CVE-2021-33910. Esta vulnerabilidad afecta a systemd que permite una denegación de servicio.

Fuentes:
Qualys
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

18 ago (Reuters) - Es posible que Facebook no levante su prohibición a los talibanes incluso si Estados Unidos deja de imponer sanciones al grupo, que rápidamente ha tomado el control de Afganistán, dijo el miércoles el jefe de políticas de la compañía de medios sociales.

El Departamento de Estado de Estados Unidos no incluye a los talibanes afganos como una organización terrorista extranjera como lo hace con los talibanes paquistaníes. Pero Washington sanciona al grupo como un grupo "terrorista global especialmente designado", lo que congela los activos estadounidenses de los que figuran en la lista negra y prohíbe a los estadounidenses trabajar con ellos.

"No se permitirán mientras estén prescritos por la ley de EE. UU. E incluso si no fueron prescritos por la ley de EE. UU., Tendríamos que hacer un análisis de política sobre si, no obstante, violan o no nuestra política de organizaciones peligrosas", dijo el vicepresidente de Facebook de política de contenido, dijo Monika Bickert en una llamada con los periodistas sobre el último informe de cumplimiento de los estándares comunitarios de la compañía.

Facebook dice que designa a los talibanes como un grupo terrorista y lo prohíbe en sus plataformas. Bickert dijo que la prohibición estaba vigente antes de que ella se uniera a la compañía en 2012.

Las principales empresas de tecnología se han enfrentado a un escrutinio sobre cómo manejarán al grupo que ha tomado el control en Afganistán tras la retirada de las tropas estadounidenses. YouTube de Alphabet Inc dijo que prohíbe al grupo debido a las sanciones de Estados Unidos, pero Twitter ha permitido que el grupo tenga presencia.

"En 2001, cuando Estados Unidos invadió Afganistán, estas empresas no existían", dijo Rose Jackson, directora de Democracy & Tech Initiative en el Laboratorio de Investigación Forense Digital del Atlantic Council, y ahora enfrentan decisiones consecuentes similares a las determinaciones estatales de los gobiernos.

Los talibanes se han vuelto expertos en tecnología digital y ahora utilizan una amplia gama de plataformas de redes sociales y servicios de mensajería como WhatsApp y Telegram de Facebook para comunicarse con los ciudadanos afganos y la comunidad internacional.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña de malware utiliza un indicador captcha inteligente para engañar a los usuarios para que eludan las advertencias de los navegadores y descarguen el troyano bancario Gozi (también conocido como Ursnif).

Ayer, el investigador de seguridad MalwareHunterTeam compartió una URL sospechosa que descarga un archivo cuando intenta ver un video incrustado en YouTube sobre una prisión de mujeres de Nueva Jersey.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al hacer clic en el botón de reproducción, el navegador descargará un archivo llamado  "console-play.exe" y el sitio mostrará una imagen falsa de reCaptcha en la pantalla.

Como este archivo es un ejecutable, Google Chrome advierte automáticamente que el archivo puede ser malicioso y le pregunta si desea 'Conservar' o 'Descartar' el archivo.

Para evitar esta advertencia, los actores de amenazas muestran una imagen de reCaptcha falsa que solicita al usuario que presione los botones B, S, Tab, A, F y Enter en su teclado, como se muestra a continuación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras presiona las teclas B, S, A y F no hace nada, presionar la tecla Tab hará que el botón 'Mantener' se enfoque, y luego presionar la tecla 'Enter' actuará como un clic en el botón, lo que hará que navegador para descargar y guardar el archivo en la computadora.

Como se puede ver, este mensaje de captcha falso es una forma inteligente de engañar a un usuario para que descargue un archivo malicioso que el navegador advierte que podría ser malicioso.

Después de un cierto período de tiempo, el video se reproducirá automáticamente, lo que podría hacer que los usuarios piensen que el 'captcha' exitoso lo permitió.

El sitio distribuye el troyano de robo de información Ursnif

Si un usuario ejecuta el ejecutable, creará una carpeta en% AppData% \ Bouncy para .NET Helper e instalará numerosos archivos. Todos estos archivos son un señuelo, aparte del ejecutable BouncyDotNet.exe, que se inicia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras se ejecuta, BouncyDotNet.exe leerá varias cadenas del Registro de Windows que se utilizan para iniciar los comandos de PowerShell.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos comandos de PowerShell compilarán una aplicación .NET utilizando el compilador CSC.exe incorporado que lanza una DLL para el troyano bancario Ursnif.

Una vez que se ejecute, Gozi robará las credenciales de la cuenta, descargará más malware en la computadora y ejecutará los comandos emitidos de forma remota por los actores de la amenaza.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pruebe a ver qué dicen los expertos...

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aún le falta un mundo en perfeccionarse...

Mi gato opina que el principal gesto no se incorporó:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una pena.
Pero ya se verá.

El keygen hasta ahora que he visto y poseo es para Windows, no para MAC.

Sorry.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y, como los investigadores de Crowdstrike descubrieron el mes pasado, el magnífico Ransomware Gang ahora está utilizando PrintNightmare exploits para estos fines exactos en los ataques contra las víctimas de Corea del Sur.

"El 13 de julio, se detectó Crowdstrike con éxito y evitó los intentos de explotar la vulnerabilidad PrintNightmare, protegiendo a los clientes antes de que ocurra cualquier cifrado", dijo Liviu Arsene, director de investigación de amenazas e informes de Crowdstrike.

Después de comprometer los servidores sin parchear contra PrintNightmare, Magniber lanza un DLL ofuscado, que se inyecta por primera vez en un proceso y, posteriormente, desempaquetado para lanzarse localmente sobre archivos locales y cifrarlos en el dispositivo comprometido.

A principios de febrero, 2021, Crowdstrike observó que Magniber se entregó a través de Magnitude Exploit Kit (EK) en los dispositivos surcoreanos que ejecutan Internet Explorer sin parchear contra la vulnerabilidad CVE-2020-0968.

Magna Ransomware ha estado activo desde octubre de 2017, cuando se implementó a través de Malvertising utilizando Magnitude Exploit Kit (EK) como el sucesor de Cerber Ransomware.

Si bien inicialmente se centró en las víctimas de Corea del Sur, la pandilla de Magniber pronto amplió sus operaciones en todo el mundo, cambiando objetivos a otros países, incluidos China, Taiwán, Hong Kong, Singapur, Malasia y más.

Magniber ha sido sorprendentemente activo durante los últimos 30 días, con casi 600 presentaciones en la plataforma ID Ransomware.

Se espera que más grupos de amenazas agreguen PrintNightmare a sus arsenales

En este momento, solo tenemos evidencia de que la pandilla de Ransomware Magniber está utilizando Exploits PrintNightmare en la naturaleza para apuntar a las posibles víctimas.

Sin embargo, otros atacantes (incluidos los grupos de ransomware) probablemente se unirán a (si aún no lo han hecho), viendo que hay otros informes  "in-the-wild" sobre la explotación de PrintNightmare.

"Crowdstrike estima que la vulnerabilidad de PrintNightmare, junto con el despliegue del ransomware, probablemente seguirá siendo explotado por otros actores de amenaza", concluyó Arsene.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una lista de vigilancia secreta de terroristas con 1,9 millones de registros, incluidos registros clasificados como "no-fly", fue expuesta en Internet.

La lista se dejó accesible en un clúster de Elasticsearch que no tenía contraseña.

Millones de personas en listas de vigilancia de prohibición de vuelos y terror expuestas

En julio de este año, el investigador de Security Discovery Bob Diachenko se encontró con una gran cantidad de registros JSON en un clúster de Elasticsearch expuesto que despertó su interés.

El conjunto de registros de 1,9 millones contenía información confidencial sobre personas, incluidos sus nombres, ciudadanía del país, sexo, fecha de nacimiento, detalles del pasaporte y estado "no-fly".

El servidor expuesto fue indexado por los motores de búsqueda Censys y ZoomEye, lo que indica que Diachenko puede no haber sido la única persona que se encontró con la lista.

El investigador declaró que dada la naturaleza de los campos expuestos (por ejemplo, detalles del pasaporte y "no_fly_indicator") parecía ser una lista de vigilancia de terroristas prohibidos o similar.

Además, el investigador también notó algunos campos oblicuos como "etiqueta", "tipo de nominación" e "indicador de selección", que él no entendió de inmediato.

"Esa fue la única suposición válida dada la naturaleza de los datos, además de que había un campo específico llamado 'TSC_ID'", dijo Diachenko, que le insinuó que la fuente del conjunto de registros podría ser el Terrorist Screening Center (TSC).

El TSC del FBI es utilizado por varias agencias federales para administrar y compartir información consolidada con fines antiterroristas.

La agencia mantiene la lista de vigilancia clasificada llamada Base de datos de detección de terroristas, a veces también conocida como la "lista de exclusión aérea".

Estas bases de datos se consideran de naturaleza sumamente sensible, teniendo en cuenta el papel fundamental que desempeñan en la asistencia en las tareas de seguridad nacional y aplicación de la ley.

Los terroristas o sospechosos razonables que representan un riesgo para la seguridad nacional son "nominados" para ser incluidos en la lista de vigilancia secreta a discreción del gobierno.

Las aerolíneas y múltiples agencias como el Departamento de Estado, el Departamento de Defensa, la Autoridad de Seguridad del Transporte (TSA) y la Oficina de Aduanas y Protección Fronteriza (CBP) hacen referencia a la lista para verificar si un pasajero puede volar, si es inadmisible a los EE. UU. O evaluar su riesgo para otras actividades diversas.

Servidor desconectado 3 semanas después de la notificación al DHS

El investigador descubrió la base de datos expuesta el 19 de julio, curiosamente, en un servidor con una dirección IP de Bahrein, no una de EE. UU.

Sin embargo, el mismo día, se apresuró a reportar la filtración de datos al Departamento de Seguridad Nacional de los Estados Unidos (DHS).

"Descubrí los datos expuestos el mismo día y los informé al DHS".

"El servidor expuesto fue retirado unas tres semanas después, el 9 de agosto de 2021".

"No está claro por qué tomó tanto tiempo, y no sé con certeza si alguna parte no autorizada accedió", escribe Diachenko en su informe.

El investigador considera que esta filtración de datos es seria, considerando que las listas de vigilancia pueden incluir a personas sospechosas de una actividad ilícita pero que no necesariamente están acusadas de ningún delito.

También no se confirma si el servidor que filtró la lista pertenecía a una agencia del gobierno de los EE. UU. o una entidad de terceros.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

T-Mobile está investigando activamente una violación de datos después de que un actor de amenazas afirma haber pirateado los servidores de T-Mobile y robado bases de datos que contienen los datos personales de aproximadamente 100 millones de clientes.

La supuesta violación de datos apareció por primera vez en un foro de piratería ayer después de que el actor de la amenaza afirmó estar vendiendo una base de datos por seis bitcoins (~ $ 280K) que contiene fechas de nacimiento, números de licencia de conducir y números de seguro social para 30 millones de personas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien la publicación del foro no indica el origen de los datos, el actor de amenazas declaró que lo tomaron de T-Mobile en una violación masiva del servidor.

El actor de amenazas afirma haber pirateado los servidores de producción, preparación y desarrollo de T-Mobile hace dos semanas, incluido un servidor de base de datos Oracle que contiene datos de clientes.

Estos datos robados supuestamente contienen los datos de aproximadamente 100 millones de clientes de T-Mobile y pueden incluir IMSI, IMEI, números de teléfono, nombres de clientes, PIN de seguridad, números de seguro social, números de licencia de conducir y fecha de nacimiento de los clientes.

"Toda su base de datos de historial de IMEI que se remonta al 2004 fue robada", dijo el pirata informático.

Un IMEI (identidad internacional de equipo móvil) es un número único que se utiliza para identificar teléfonos móviles, mientras que un IMSI (identidad internacional de abonado móvil) es un número único asociado con un usuario en una red celular.

Como prueba de que violaron los servidores de T-Mobile, los actores de amenazas compartieron una captura de pantalla de una conexión SSH a un servidor de producción que ejecuta Oracle.

La firma de inteligencia de ciberseguridad Cyble también declaró ayer que el actor de amenazas afirma haber robado varias bases de datos por un total de aproximadamente 106 GB de datos, incluida la base de datos de gestión de relaciones con el cliente (CRM) de T-Mobile.

Motherboard, quien informó por primera vez sobre esta violación, dijo que podían verificar que las muestras de datos proporcionadas por el actor de amenazas pertenecían a clientes de T-Mobile.

Cuando se les preguntó si intentaron rescatar los datos robados a T-Mobile, los actores de amenazas dijeron que nunca contactaron a la compañía y decidieron venderlos en foros donde ya tenían compradores interesados.

Cuando contactamos a T-Mobile sobre la venta de estos datos, dijeron que lo están investigando activamente.

"Estamos al tanto de las afirmaciones hechas en un foro clandestino y hemos estado investigando activamente su validez. No tenemos ninguna información adicional para compartir en este momento", dijo T-Mobile.

Fuentes:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de la Universidad Técnica de Berlín y el Instituto Fraunhofer, en Alemania, han descubierto una grave vulnerabilidad que afecta a todos los procesadores EPYC de AMD, y que tiene que ver con la seguridad de su sistema de virtualización. Todos los procesadores (Zen, Zen 2 y Zen 3) de la familia EPYC están afectados, y por el momento AMD no ha realizado ninguna comunicación al respecto para solucionar el problema.

En un artículo llamado "One glitch to rule them all" (algo así como "un fallo técnico para gobernarlos a todos"), los investigadores afirman que todos los procesadores para servidor AMD EPYC y de todas sus generaciones arquitectónicas son vulnerables. Pero, antes de que os alarméis (en el caso de que de la casualidad de que tengáis alguno de estos procesadores) debéis saber que solo afecta al sistema de seguridad de virtualización y que, además, es necesario tener acceso físico a la máquina.

¿Qué es esta vulnerabilidad de seguridad en las CPUs AMD EPYC?

Toda la familia de procesadores EPYC de AMD, sin importar su generación, utiliza lo que llaman virtualización cifrada segura de AMD (AMD Secure Encrypted Virtualization - SEV), que utiliza el procesador seguro PSP contenido en estos chips para cifrar las comunicaciones. Los investigadores citan que según AMD, el procesador seguro protege las máquinas virtuales de ataques externos, como de problemas de software de alojamiento y administradores maliciosos.

El error se denomina "ataque de inyección de falla de voltaje" y se basa en la capacidad de poder modificar el voltaje de entrada de la ROM (la memoria de solo lectura) en el cargador de arranque de este procesador seguro. Esto permite que un atacante con malas intenciones pueda hacerse con la propiedad de toda la raíz de confianza del procesador, dándole acceso a prácticamente todo el sistema.

A principios de año, AMD ya anunció que estaba al tanto de dos vulnerabilidades de seguridad relacionadas con la virtualización cifrada segura, y ambos tenían que ver con ataques de inyección de código, pero parece que ahora son tres los problemas a los que se tienen que enfrentar. Recordemos que una gran mayoría de los procesadores EPYC de AMD se venden para entornos de virtualización, lo que significa que podríamos estar ante miles y miles de servidores afectados.

Parece ser que en esta nueva vulnerabilidad descubierta, los ataques de hardware pueden eludir las capacidades de seguridad de este procesador seguro, a pesar de que las CPU Milan (EPYC 7003) reciben actualizaciones de seguridad contra este tipo de problemas constantemente. Eso sí, como hemos mencionado al principio, se requiere tener acceso físico al hardware para poder hacerse con el control, por lo que el fallo de seguridad no debería tener consecuencias en primera instancia.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se supone que las empresas tengan un ecosistema de seguridad que sea filtro,

De igual modo implemente una metodología, adaptada y actualizada para la eventualidad del flujo de información de us empleados desde fuentes no seguras.

Medio que es una observación de cómo funcionan las cosas con sensatez. Si se es una empresa o compañía seria en operaciones.

Aunque ... "cosas veredes Sancho, amigo, que no están escritas." 

Se nota que no hay experiencia... verdad @DtxdF?
Si nos sucede eso "lo matamos" con un remix de gatos con soul:







Con esta arma secreta despachamos a "la Caniche"
sobre todo con esta:



y a ese majadero de @F0M3T [que Dios nos libre y nos guarde...]

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

HONG KONG, 13 de agosto (Reuters) - Poly Network, la plataforma de criptomonedas que perdió 610 millones de dólares en un ataque a principios de esta semana, confirmó el viernes que había ofrecido al pirata informático o a los piratas informáticos una "recompensa por errores" ("bug bounty") de 500.000 dólares.

En un comunicado, agradeció al hacker, a quien denominó "sombrero blanco" ("white hat"), jerga del sector para un hacker ético que generalmente tiene como objetivo exponer las vulnerabilidades cibernéticas, que había devuelto la mayor parte de los fondos por "ayudarnos a mejorar la seguridad de Poly Network".

La red también dijo que esperaba que "Mr. White Hat" contribuyera al desarrollo continuo del sector blockchain al aceptar la recompensa de $ 500,000, que había ofrecido como parte de las negociaciones sobre la devolución de las monedas digitales.

No se especificó la forma en que pagaría los $ 500.000. Dijo que el pirata informático había respondido a la oferta, pero no dijo si fue aceptada.

El jueves, los mensajes digitales compartidos en Twitter por Tom Robinson, científico jefe y cofundador de la empresa de seguimiento de criptografía Elliptic, mostraban que una persona que afirmaba haber perpetrado el hack había dicho que Poly Network le ofreció la recompensa para devolver los activos robados.

Un nombre menos conocido en el mundo de las criptomonedas, Poly Network es una plataforma de finanzas descentralizadas (DeFi) que facilita las transacciones de igual a igual con un enfoque en permitir a los usuarios transferir o intercambiar tokens entre diferentes cadenas de bloques.

El pirata informático o los piratas informáticos aún no identificados parecen haber explotado una vulnerabilidad en los contratos digitales que utiliza Poly Network para mover activos entre diferentes cadenas de bloques, según la empresa de análisis forense de cadenas de bloques Chainalysis.

Según el comunicado del viernes, el hacker devolvió activos por valor de 340 millones de dólares y transfirió la mayor parte del resto a una billetera digital controlada conjuntamente por ellos y Poly Network.

El resto, retenido, fue congelado por la empresa de criptomonedas detrás de la moneda estable.

"Después de comunicarnos con el Sr. White Hat, también hemos llegado a un entendimiento más completo sobre cómo se desarrolló la situación, así como la intención original del Sr. White Hat", dijo el comunicado, sin dar más detalles.

Poly Network anunció el hackeo el martes, pero al día siguiente dijo que los hackers habían comenzado a devolver las monedas digitales que habían tomado.

Los piratas informáticos dijeron en mensajes digitales compartidos por Elliptic que habían perpetrado el ataque por diversión y que siempre fue el plan devolver los tokens.

Algunos analistas de blockchain han especulado, sin embargo, es posible que les haya resultado demasiado difícil lavar criptomonedas robadas a tal escala.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un investigador de seguridad hackeó un hotel para darle una lección a su ruidoso vecino: pudo controlar las luces, la cama y el ventilador. Es otro ejemplo más de la falta de protección adecuada para los dispositivos inteligentes.

"Todo sucedió cuando viajaba a un país extranjero de vacaciones. Reservé algunas noches en lo que llamamos un hotel cápsula y noté que estaban usando varias tecnologías diferentes ", dijo Kya Supa, consultor de seguridad de LEXFO, al comienzo de su presentación en la conferencia Black Hat USA 2021.

El hotel cápsula se refiere a habitaciones diminutas apiladas una al lado de la otra, sin nada más que una cama. La habitación suele estar separada solo por la cortina, y el baño y la sala de estar se encuentran en el área común.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Generalmente, este alojamiento es barato y los huéspedes, tranquilos y respetuosos entre sí. Pero Manolo no lo estaba. El vecino de Supa, a quien se refería como Manolo, hablaba constantemente por teléfono después de la medianoche.

"Me despertó porque estaba haciendo llamadas telefónicas a las 2 de la mañana y estaba hablando muy alto", recordó Supa.

Como perturbó a Supa, pidió amablemente que bajara el tono. Cuando Manolo no tomó eso en consideración, Supa decidió darle una lección.

    "Me tomo muy en serio el sueño. Pensé que sería bueno tomar el control de su habitación y hacerle pasar una hermosa noche ", dijo.

Supa descubrió que necesita una placa NFC para acceder al piso, y la habitación está controlada por un iPod touch mediante Bluetooth y WiFi. Después de buscar un poco, descubrió que cada habitación tenía un par de dispositivos de Internet de las cosas (IoT) del proveedor de Nasnos. El iPod estaba bajo el control de lo que se llama Acceso Guiado: bloquea el dispositivo para ejecutar una sola aplicación. Supa tomó el control del dispositivo, lo dejó quedarse sin energía y reiniciarlo, y descubrió que la red Nasnos usaba un protocolo WEP desactualizado. Al final, se necesitaron seis vulnerabilidades para tomar el control de la habitación de su ruidoso vecino y de todo el hotel.

Supa jugó con encender y apagar las luces en la habitación de Manolo cada dos horas por la noche, haciendo que su cama se derrumbara. Posteriormente, el consultor de seguridad se puso en contacto con el hotel y sus gerentes cambiaron a una arquitectura más segura.

Y qué fue de Manolo...?
Pues ya es otra historia.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login