You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

LONDRES, 12 de agosto (Reuters) - Los piratas informáticos detrás de uno de los robos de monedas digitales más grandes de la historia han devuelto más de la mitad de los más de $ 610 millones que robaron, dijo el jueves la plataforma de criptomonedas a la que se dirigió el ataque.

Poly Network, una plataforma que facilita las transacciones entre pares, dijo en Twitter que, a las 0818 GMT, los piratas informáticos habían devuelto 342 millones de dólares de las monedas robadas.

"Aún quedan pendientes unos $ 268 millones en tokens", dijo.

Poly Network, que permite a los usuarios transferir o intercambiar tokens a través de diferentes cadenas de bloques, dijo el martes que había sido atacada por los ciber-atracos, instando a los culpables a devolver los fondos robados.

El robo ilustró los riesgos del sector de las finanzas descentralizadas (DeFi), en su mayoría no regulado. Las plataformas DeFi permiten a los usuarios realizar transacciones, generalmente en criptomonedas, sin guardianes tradicionales como bancos o casas de cambio.

El hacker o hackers de Poly Network, que no han sido identificados, comenzaron a devolver las monedas robadas el miércoles. Los analistas de Blockchain dijeron que les podría haber resultado demasiado difícil blanquear criptomonedas robadas a tal escala.

Poly Network, una plataforma de finanzas descentralizadas (DeFi) entre cadenas con sede en China para intercambiar tokens en múltiples cadenas de bloques como Bitcoin y Ethereum, reveló el martes que actores no identificados habían explotado una vulnerabilidad en su sistema para saquear miles de tokens digitales como Ether.

Los piratas informáticos habían desviado $ 611 millones en criptomonedas de una red financiera basada en blockchain en lo que se cree que es uno de los atracos más grandes dirigidos a la industria de activos digitales, colocándolo por delante de las infracciones dirigidas a los intercambios Coincheck y Mt. Gox en los últimos años.

"El pirata informático aprovechó una vulnerabilidad entre llamadas de contrato", dijo Poly Network.

Se dice que los activos robados de Binance Chain, Ethereum y Polygon se transfirieron a tres billeteras diferentes.
En una carta abierta, los mantenedores del protocolo instaron a los ladrones a "establecer comunicación y devolver los activos pirateados".

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub ha anunciado hoy que las contraseñas de las cuentas ya no se aceptarán para autenticar las operaciones de Git a partir de mañana.

Este cambio se anunció por primera vez el año pasado, en julio, cuando GitHub dijo que las operaciones de Git autenticadas requerirían el uso de una clave SSH o autenticación basada en token.

GitHub también desaprobó la autenticación basada en contraseña para la autenticación a través de la API REST a partir del 13 de noviembre de 2020.

"A partir del 13 de agosto de 2021, a las 09:00 PST, ya no aceptaremos contraseñas de cuentas al autenticar las operaciones de Git en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", dijo la compañía.

"En su lugar, se requerirá la autenticación basada en token (por ejemplo, acceso personal, OAuth, clave SSH o token de instalación de la aplicación GitHub) para todas las operaciones de Git autenticadas".

Si todavía usa un nombre de usuario y una contraseña para autenticar las operaciones de Git, debe seguir los siguientes pasos para evitar interrupciones cuando se promulguen los nuevos requisitos mañana:

    Para los desarrolladores, si está usando una contraseña para autenticar las operaciones de Git con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login hoy, debe comenzar a usar un token de acceso personal a través de HTTPS (recomendado) o clave SSH antes del 13 de agosto de 2021, para evitar interrupciones. Si recibe una advertencia de que está utilizando una integración de terceros desactualizada, debe actualizar su cliente a la última versión.

    Para los integradores, debe autenticar las integraciones mediante la web o los flujos de autorización del dispositivo antes del 13 de agosto de 2021 para evitar interrupciones. Para obtener más información, consulte Autorización de aplicaciones OAuth y el anuncio en el blog del desarrollador.

Si desea asegurarse de que ya no está utilizando la autenticación basada en contraseña, puede habilitar la autenticación de dos factores, que requiere OAuth o tokens de acceso personal para todas las operaciones autenticadas a través de Git y las integraciones de terceros.

Si ya tiene habilitada la autenticación de dos factores para su cuenta de GitHub, este cambio de autenticación no le afectará de ninguna manera, ya que está utilizando la autenticación basada en token o SSH.

GitHub ha mejorado la seguridad de la cuenta a lo largo de los años al agregar autenticación de dos factores, alertas de inicio de sesión, dispositivos verificados, bloqueo del uso de contraseñas comprometidas y compatibilidad con WebAuthn.

La autenticación forzada basada en tokens para autenticar las operaciones de Git aumenta la resistencia de las cuentas de GitHub contra los intentos de toma de control al evitar que los atacantes usen credenciales robadas o contraseñas reutilizadas para secuestrar cuentas.

En mayo, GitHub también agregó soporte para asegurar las operaciones SSH Git usando claves de seguridad FIDO2 para mayor protección contra intentos de adquisición.

Fuente:
GitHub Blog
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cada nación tiene sus normas.

Busque en internet:
"buscar información privada sobre alguien en internet"
"look up private information about someone on the internet"

En este apartado se ha tratado mucho ese tema. Recomiendo buscar.
Incluso se refieren modelos, en base a los chipset que tengan.
Debe buscar el listado de chipset (puse los más esenciales) que sean compatibles para auditorías (escribir en el buscador del Foro:

"Antenas wifi para auditorías"
"Chipset de antenas wifi para auditorías"

Ver referencias:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por otro lado menciona que ya posee las antenas externas para agregarle. Esto es muy importante.

Hay detalles que muchos que desean adquirir wifi´s pasan por alto, y es la antena pero que esta sea adecuada para la vivienda (la locación donde se encuentra y sus características).

Si no se piensa y optimiza las compras de la antena + wifi + accesorios, adecuados para el entorno o vivienda, no se tendrá el éxito que se espera.

Existen muchos métodos y hasta herramientas (buscar en internet).

Contando con la información que brinda: nombre (+ apellidos) y número de móvil.
Siempre se comienza usando los buscadores tradicionales como el de Gmail. Dependiendo del usuario y su presencia sobre internet, pudiera aparecer reflejado en algún portal, web promocional o noticiosa, o en alguna web que cuya seguridad no sea muy demandante y se pudiera extraer. Esto es válido para ambas informaciones.

Con respecto al nombre (+ apellidos); se pueden hacer intentos de "adivinar" el de gmail por ingeniería social.

Con Gmail así como con las plataformas de Google, sucede algo curioso, y es que los usuarios tienden a personalizar de manera real las cuentas y correo, incorporando nombre, apellidos, siglas, o combinaciones de ellas:

Ej: El usuario se llama Manolo Rodríguez Cruz (mi gato odia a los manolos...)

Es probable o "pudiera ser" (corroborando previamente su perfil en youtube (suele ser el nombre del perfil [email protected]); etc.) que su email sea You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login; o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login; u variante similar incluyendo las siglas de nombres y apellidos.

Pudiera avalar la fecha de nacimiento en especial el año. Ej: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para corroborar esto se le envía un email con info que pudiera responder, previamente elaborada.
Esto es a través de ingeniería social.

Existen otras técnicas (herramientas para ello) que buscan sobre internet a partir de la info que se tenga: nombre, apellidos, número de móvil, dirección, fecha de nacimiento, etc.

Hay webs especializadas que se le incorpora ciertos datos (depende de la nación) y brinda un espectro de personas a localizar. Algunas son gratis y otras de pago.

Le sirve para auditorías

La cuestión de ella son los drivers, pues dependiendo de la distro hay que compilarlos.
Recién hubo un caso con problemas.

De cualquier modo, en lo personal las antenas duales "para auditorías" no me gustan pues he presenciado que en el de cursar del tiempo, generan problemas varios (software y hardware).

No recomiendo comprarla, sobre todo por ser un clon.

Pero de servir, sirve.

El Bios debe resetearse a por defecto de fábrica y después ver el apartado del boot para instalar el Win 10 que desee.

El format que debe darle al disco debe incluir eliminar y crear la partición primaria.
Esto "limpia" mucho el camino de errores. El propio booteable de Win 10 trae esa opción.

Recordar que Windows 10 viene con su sistema de seguridad que pudiera ser agresivo para la configuración que el usuario necesita de conectividad. Debe ver el Defender, Firewall y demás.

Por otro lado, debe instalar los drivers para ese sistema y versión (x64 si logra instalar la nueva). El DriverPacks es una fácil solución.
También debe instalar las dependencias de software que necesita el sistema y que en el propio DriverPack vienen.

Si la versión de Windows está obsoleta, necesitaría actualizaciones para funcionar como Service Pack, entre otras como los .Net Framework.
Si no tiene internet desde ese sistema recordar que existen sistemas lite y booteables por usb. No recuerdo dónde fue que ví un Win 10 Lite que era así. Otras distros de Linux son igual de fáciles como el WifiSlax que permite la conexión a internet, etc.

Son recomendaciones para que no esté atrapado y a grandes rasgos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo ITG18 patrocinado por Irán puede no ser el actor de amenazas más sofisticado que existe. Sin embargo, sus técnicas demuestran ser exitosas una y otra vez.

Durante la sesión de Black Hat USA 2021, un par de investigadores de IBM X-Force describieron los detalles del actor de amenazas patrocinado por el estado ITG18. Las tácticas, técnicas y procedimientos de este grupo se superponen con los grupos conocidos como Charming Kitten, Phosphorus y TA453.

El analista senior de caza de amenazas de IBM X-Force Richard Emerson explicó que ITG18 tiende a dejar directorios abiertos, lo que ayuda a los investigadores a aprender más sobre las herramientas y técnicas utilizadas por el grupo. Y a veces, resulta ser un tesoro.

Los investigadores observaron más de cerca al actor de la amenaza cuando se dirigió a la compañía biofarmacéutica estadounidense Gilead Sciences en mayo de 2020. Irán, según Emerson, probablemente estaba interesado en obtener acceso a cualquier información sobre las posibles vacunas y tratamientos COVID-19.

"También sabíamos que para ITG18, si bien esta focalización puede haber parecido atípica, no era raro girar y enfocarse en objetivos de mayor prioridad a corto plazo. Comenzamos a verificar la infraestructura que ya habíamos asociado con este grupo cuando encontramos un directorio abierto ", dijo.

En el transcurso de una semana, los investigadores vieron varios archivos cargados en el servidor, incluida información filtrada relacionada con un miembro de la marina griega y un miembro de la marina estadounidense. También encontraron más de 4 horas de grabación de escritorio en un operador de ITG18 que validaba manualmente las credenciales de la víctima y varios archivos de video cortos, que luego determinaron que eran videos de capacitación.

Emerson destacó que el grupo de amenazas pone mucho esfuerzo y trabajo manual en el phishing de credenciales para respaldar sus objetivos de espionaje y vigilancia. Por ejemplo, según los informes, han enviado mensajes de texto y correos electrónicos a posibles víctimas antes de intentar que descarguen el malware o visiten una página de phishing.

ITG18 se destaca de otros grupos porque no le importa mucho la divulgación pública de sus métodos o herramientas. Por ejemplo, en marzo de 2019, Microsoft afirmó que interrumpió a Charming Kitten y se hizo cargo de 99 dominios asociados con el grupo. Un par de semanas después, ITG18 registró dominios similares y ha continuado con sus operaciones como de costumbre.

    "Este no es un grupo que está constantemente innovando y tratando de ocultar su actividad a la comunidad de seguridad. Tienen métodos para hacer las cosas e, independientemente de la divulgación pública, sigue funcionando para ellos en términos de comprometer y exfiltrar datos de sus objetivos ", dijo Emerson.

ITG18 busca las credenciales de Google, Yahoo y Microsoft de las víctimas. Son buenos en el uso de herramientas legítimas integradas, como Google Takeout, que recopila y exporta datos como un archivo.

"Estos datos suelen ser muy personales. Por ejemplo, para una persona comprometida, los datos de Google Takeout incluían información de ubicación, por lo que pudimos ver a esta persona de EE. UU. Visitando bases militares de EE. UU. Y posiblemente tomando unas vacaciones, como cuando esta persona visitó el parque temático de Disney. Esos datos incluían las consultas de la persona al asistente de voz de Google, por lo que también pudimos escuchar fragmentos de la voz de esta persona. Con toda esta información personal extraída de objetivos de interés, solo podemos adivinar cómo el gobierno iraní la está utilizando para sus objetivos ", explicó Emerson.

Desde 2018, ITG18 ha extraído cerca de 2 terabytes de datos de las víctimas. IBM recopiló 2000 indicadores únicos asociados con las actividades del grupo.

Los analistas de X-Force señalaron que los operadores de ITG18 son humanos, por lo que son propensos a cometer errores.

"Puede que no parezca una prioridad para el servidor que está utilizando para alojar sus páginas de phishing, mantener actualizado ese software y configurarlo para protegerlo de las amenazas cibernéticas. Pero también puede experimentar un supuesto incidente de ransomware de postura global como lo hizo el servidor ITG18 en 2019. El ransomware es un gran problema para muchas organizaciones, incluido ITG18. Los operadores son solo humanos, tan propensos a cometer errores y equivocaciones como nosotros ", dijo.

Pero, a pesar de errores y deslices ocasionales, ITG18 continúa sus operaciones con bastante éxito.

"Desde agosto de 2020 hasta mayo de 2021, X-Force observó que ITG18 comprometía con éxito a múltiples víctimas alineadas con el movimiento reformista iraní. Dado el momento y el enfoque de la actividad, esto puede haber sido en apoyo de los objetivos de vigilancia previos a las elecciones presidenciales de junio de 2021 en Irán. Finalmente, a pesar de los continuos errores de OPSEC, ITG18 parece llevar a cabo una operación considerable ya menudo exitosa que se enfoca principalmente en comprometer el correo web personal y las cuentas de redes sociales ", concluyó Allison Wikoff, analista senior de amenazas cibernéticas estratégicas en IBM X-Force.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 6 de julio de 2021 el Parlamento Europeo aprobó la Derogación de privacidad electrónica, que permite a los proveedores de servicios de correo electrónico y mensajería buscar automáticamente todos los mensajes personales de cada ciudadano en busca de contenido presuntamente sospechoso e informar los casos sospechosos a la policía.

En la votación 537 diputados al Parlamento Europeo aprobaron ChatControl, con 133 votos en contra y 20 abstenciones.
Según datos policiales, en la gran mayoría de los casos, ciudadanos inocentes son sospechosos de haber cometido un delito debido a procesos poco fiables. En una encuesta representativa reciente, el 72% de los ciudadanos de la UE se opuso al seguimiento general de sus mensajes.

Si bien los proveedores inicialmente tendrán la opción de registrar o no las comunicaciones, la legislación de seguimiento, que se espera para el otoño, obligará a todos los proveedores de servicios de comunicaciones a realizar una selección indiscriminada.

La Comisión Europea ya ha anunciado un reglamento de seguimiento para que el Chat Control sea obligatorio para todos los proveedores de correo electrónico y mensajería.

Los servicios de mensajería cifrados de extremo a extremo que antes eran "seguros", como Whatsapp o Signal, se verían obligados a instalar una puerta trasera.

¿Pero qué es ChatControl?

La UE quiere que todos los chats, mensajes y correos electrónicos privados se busquen automáticamente en busca de contenido sospechoso, de manera general e indiscriminada.

El objetivo declarado: perseguir la pornografía infantil.
El resultado: vigilancia masiva a través de mensajería en tiempo real totalmente automatizada y control de chat y el fin del secreto de la correspondencia digital.

En 2020, la Comisión Europea propuso una legislación "temporal" destinada a permitir la búsqueda de todos los chats privados, mensajes y correos electrónicos en busca de representaciones ilegales de menores y el intento de inicio de contactos con menores.

Esto es para permitir a los proveedores de Facebook, Messenger, Gmail, etc., escanear cada mensaje en busca de texto e imágenes sospechosas. Esto se lleva a cabo en un proceso totalmente automatizado y utilizando una "inteligencia artificial" propensa a errores.

Si un algoritmo considera que un mensaje es sospechoso, su contenido y metadatos se divulgan automáticamente y sin verificación humana a una organización privada con sede en EE.UU. Y de allí a las autoridades policiales nacionales de todo el mundo.
No se notifica a los usuarios implicados.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad encontraron una nueva clase de vulnerabilidades de DNS que afectan a los principales proveedores de DNS como servicio (DNSaaS) y que podrían permitir a los atacantes acceder a información confidencial de las redes corporativas.

Los proveedores de DNSaaS (también conocidos como proveedores de DNS administrados) brindan servicios de alquiler de DNS a otras organizaciones que no desean administrar y asegurar otro activo de red por su cuenta.

Como se reveló en la conferencia de seguridad Black Hat por los investigadores de la firma de seguridad en la nube Wiz, Shir Tamari y Ami Luttwak, estas fallas de DNS brindan a los actores de amenazas capacidades de recolección de inteligencia de estado-nación con un simple registro de dominio.

Desde el registro de nombres de dominio hasta el tráfico de escuchas telefónicas indiscriminadamente

El proceso de explotación es bastante simple, como explicaron: registraron un dominio y lo usaron para secuestrar el servidor de nombres de un proveedor de DNSaaS (en su caso, Amazon Route 53), lo que les permitió realizar escuchas telefónicas en el tráfico de DNS dinámico que fluye desde las redes de los clientes de Route 53.

"Encontramos una laguna simple que nos permitió interceptar una parte del tráfico DNS dinámico mundial que pasa por proveedores de DNS administrados como Amazon y Google", dijeron los investigadores de Wiz.

"El tráfico de DNS dinámico que 'interceptamos' provino de más de 15.000 organizaciones, incluidas empresas Fortune 500, 45 agencias gubernamentales de EE. UU. Y 85 agencias gubernamentales internacionales".

Los datos que recopilaron de esta manera variaron desde nombres y ubicaciones de empleados / computadoras hasta detalles altamente confidenciales sobre la infraestructura de las organizaciones, incluidos los dispositivos de red expuestos a Internet.

En un caso, los investigadores mapearon las ubicaciones de las oficinas de una de las empresas de servicios más grandes del mundo utilizando el tráfico de red recibido de 40.000 terminales corporativos.

La información recopilada de esta manera facilitaría mucho el trabajo de los actores de amenazas de violar la red de una organización, ya que les dará "una vista panorámica de lo que está sucediendo dentro de las empresas y los gobiernos" y les proporcionará "capacidad de espionaje a nivel de estado-nación".

Los investigadores no han encontrado evidencia de que la vulnerabilidad de DNS que descubrieron fuera explotada previamente en la naturaleza, pero, como explican, cualquier persona con conocimiento de los problemas y las habilidades para abusar de ella "podría haber recopilado datos sin ser detectados durante más de una década. "

"El impacto es enorme. De los seis principales proveedores de DNSaaS que examinamos, tres eran vulnerables al registro del servidor de nombres", agregaron en Black Hat.

"Cualquier proveedor de nube, registrador de dominios y host de sitios web que proporcione DNSaaS podría ser vulnerable".

Fijado por algunos, probablemente plagando a otros

Lo que empeora las cosas, si bien dos de los principales proveedores de DNS (Google y Amazon) ya han solucionado estas fallas de DNS, es probable que otros sigan siendo vulnerables, exponiendo millones de dispositivos a ataques.

Además, no está exactamente claro quién debería corregir este error crítico de DNS. Microsoft, que podría modificar el algoritmo de DNS dinámico que permite que los puntos finales de Windows filtren el tráfico de la red interna a servidores DNS maliciosos, ya le dijo a Wiz que esto no es una vulnerabilidad.

Como explicó Microsoft, esta falla es "una mala configuración conocida que ocurre cuando una organización trabaja con solucionadores de DNS externos".

Redmond aconseja el uso de zonas y nombres DNS separados para hosts internos y externos para evitar conflictos de DNS y problemas de red, y proporciona documentación detallada sobre cómo configurar correctamente las actualizaciones dinámicas de DNS en Windows.

Los proveedores de DNS administrados pueden solucionar el problema de secuestro del servidor de nombres siguiendo correctamente la especificación de "nombres reservados" de RFC, así como verificando la propiedad y validando los dominios antes de permitir que sus clientes los registren.

Las empresas que alquilan servidores DNS también pueden realizar cambios para evitar que el tráfico de su red interna se filtre a través de actualizaciones dinámicas de DNS modificando el registro de inicio de autoridad (SOA) predeterminado.

Información adicional y detalles técnicos están disponibles en el informe publicado por Wiz el miércoles, y las diapositivas de presentación de Black Hat están disponibles a continuación:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha lanzado un parche no oficial gratuito para proteger a los usuarios de Windows de todas las nuevas vulnerabilidades de día cero de PrintNightmare descubiertas desde junio.

Los detalles técnicos y un exploit de prueba de concepto (PoC) para una nueva vulnerabilidad de cola de impresión de Windows llamada 'PrintNightmare' (CVE-2021-34527) se revelaron accidentalmente en junio.

Esta vulnerabilidad permite la ejecución remota de código y la escalada local de privilegios mediante la instalación de controladores de impresora maliciosos.

Si bien Microsoft lanzó una actualización de seguridad para la parte de ejecución remota de código, los investigadores rápidamente pasaron por alto el componente de elevación de privilegios local. Desde entonces, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, ha estado ideando más vulnerabilidades dirigidas a la cola de impresión que permanecen sin parches.

Estas son vulnerabilidades críticas, ya que permiten que cualquier persona obtenga privilegios de SYSTEM en un dispositivo local, incluso un controlador de dominio, simplemente conectándose a un servidor de impresión remoto con acceso a Internet e instalando un controlador de impresión malicioso.

Una vez que un actor de amenazas obtiene los privilegios de SYSTEM, se termina el juego para el sistema. Si esto se hace en un controlador de dominio, entonces el actor de amenazas ahora controla efectivamente el dominio de Windows.

Lanzamiento del microparche PrintNightmare gratis

Las mitigaciones para las vulnerabilidades PrintNightmare de día cero ya están disponibles a través de la política de grupo 'PackagePointAndPrintServerList'**, que le permite especificar una lista blanca de servidores de impresión aprobados que se pueden usar para instalar un controlador de impresión.

Habilitar esta política, junto con un nombre de servidor falso, bloqueará efectivamente las vulnerabilidades de Delpy ya que el servidor de impresión se bloqueará.

Sin embargo, para aquellos que quieran instalar un parche y no intentar entender los avisos y jugar con las políticas de grupo, Mitja Kolsek, cofundadora del servicio de microparches 0patch, ha lanzado un microparche gratuito* que se puede utilizar para corregir todas las vulnerabilidades conocidas de PrintNightmare.

"Por lo tanto, decidimos implementar la solución alternativa basada en políticas de grupo como un microparche, que bloquea la instalación del controlador de impresora Point and Print desde servidores que no son de confianza. Esta solución emplea la configuración de la directiva de grupo:" Usar solo el paquete Point and Print "primero requiere que todos los controladores de impresora estén en forma de un paquete firmado, mientras que "Punto de paquete e impresión - Servidores aprobados" limita el conjunto de servidores desde los cuales se permite instalar los paquetes de controladores de impresora ". Kolsek explica en una publicación de blog.

"Estas configuraciones se pueden configurar a través del registro. Nuestro parche modifica la función DoesPolicyAllowPrinterConnectionsToServer en win32spl.dll de modo que crea que los valores PackagePointAndPrintOnly y PackagePointAndPrintServerList existen y se establecen en 1, lo que habilita ambas políticas y mantiene vacía la lista de servidores aprobados".

Debe registrar una cuenta de 0patch y luego instalar un agente en su dispositivo Windows para instalar el parche. Una vez instalado, 0patch lo protegerá automáticamente de la vulnerabilidad PrintNightmare y otros errores sin parche.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En una prueba, una vez instalado, si intenta instalar el controlador PrintNightmare malicioso de Delpy, aparecerá un mensaje que indica que una política ha bloqueado la conexión de la computadora a la cola de impresión, como se muestra a continuación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien 0patch es una herramienta esencial para bloquear vulnerabilidades sin parche, Delpy dice que, en este caso particular, habilitar las políticas de grupo que bloquean la explotación de todos los errores conocidos de PrintNightmare podría ser un mejor enfoque.

"Si empuja binarios a una computadora para empujar la configuración ... también puede empujar la configuración", declaró Delpy.

"Hacerlo evita alterar el proceso en la memoria, siempre un material peligroso que no gusta al producto de seguridad (y MS no es compatible ...)".

*
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
**
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Alguna vez se detuvo a pensar que el Smart TV de oficina que se usa para presentaciones de la empresa, reuniones de Zoom y otras actividades relacionadas con el trabajo puede no ser tan confiable?

En el siguiente video, se demuestra un escenario de ataque que puede ocurrir dentro de cualquier organización: piratear un Smart TV.

El video muestra a un informante conectando un USB Rubber Ducky a un Smart TV en una sala de reuniones de la empresa. En menos de un minuto, se ejecuta una carga útil (payload) para configurar una red Wi-Fi para la exfiltración de datos (llamada kitty3) y le indica al televisor que se conecte a ella. El payload luego carga una utilidad que captura la pantalla antes de que la información privilegiada elimine el dispositivo malicioso.



Más tarde ese mismo día, se lleva a cabo una reunión de la empresa en esa misma sala de reuniones, y el Smart TV muestra una presentación que contiene datos confidenciales. La pantalla de la utilidad de captura de pantalla graba toda la presentación y guarda la grabación como un archivo en el televisor. A través de la red Wi-Fi preestablecida (kitty3), el atacante se conecta de forma remota al televisor y ve y descarga la grabación de pantalla guardada. Ahora, el mal actor tiene acceso completo a todos los datos.

En este escenario, el tipo de ataque al Smart TV fue un ataque basado en hardware.

Estos ataques requieren acceso físico, ya que alguien debe insertar físicamente el dispositivo malicioso y, en este caso, ese "alguien" era un infiltrado; más específicamente, un trabajador subcontratado.

Según el Informe de amenazas internas de 2020, los contratistas, proveedores de servicios y trabajadores temporales representan el mayor riesgo para el 50% de las organizaciones. Como trabajador subcontratado, el limpiador tiene acceso interno pero menos lealtad a la organización que un empleado directo. Estas características significan que el personal subcontratado es un objetivo ideal para los atacantes. El acceso interno del limpiador se encarga del desafío del acceso físico, mientras que el desapego a la organización hace que el individuo sea más susceptible a la ingeniería social. Existe una gran cantidad de técnicas de ingeniería social, muchas de las cuales son siniestras, como el chantaje. En este caso, sin embargo, la técnica de ingeniería social fue el soborno en forma de pago financiero.

Aparte de una crisis de salud global, COVID-19 trajo nuevas oportunidades a los malos actores. Antes de la pandemia, usar una mascarilla quirúrgica levantaba sospechas a menos que fuera cirujano o trabajador de la salud. Sin embargo, como usar una máscara ahora no es solo una segunda naturaleza, sino que en la mayoría de los países es obligatorio, los atacantes están usando esto en su beneficio para ocultar su identidad y obtener acceso físico a ubicaciones seguras.

El uso de máscaras para ayudar en la actividad delictiva es de tal valor que las máscaras faciales se venden en el mercado negro con primas de hasta el 1.500%. Entonces, si bien este ataque demostró manipular a una persona con información privilegiada, siempre que las máscaras faciales sean una norma, esa persona con información privilegiada podría haber sido cualquiera.

El USB Rubber Ducky es un dispositivo pícaro que falsifica un HID legítimo. Las lagunas en la visibilidad del dispositivo significan que el dispositivo no autorizado no se detecta, sino que el dispositivo legítimo al que se hace pasar sí lo es. Como resultado, Rogue Device no emite alarmas de seguridad y, en segundos, piratea de forma encubierta al Smart TV para proporcionar al atacante acceso remoto a la información confidencial de la empresa, incluso después de eliminar la herramienta de ataque.

Entonces, aunque no lo vea, ellos le ven a Ud.; todo lo que necesitan es un Rubber Ducky, una conexión Wi-Fi y un Smart TV que sea más inteligente de lo que se cree.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

AT&T Alien Labs ha publicado un informe que brinda detalles del nuevo troyano FatalRAT que circula en línea y cuyo objetivo es distribuir enlaces comprometidos en los canales de Telegram.

Un RAT es un troyano que obtiene acceso remoto y generalmente irrestricto sobre un objetivo. El objetivo principal de este tipo de malware es la exfiltración de datos.

Este nuevo malware, denominado FatalRAT, se puede ejecutar de forma remota, utiliza técnicas de evasión de defensa, obtiene persistencia del sistema, registra las pulsaciones de teclas del usuario, recopila información del sistema y exfiltra datos a través de un canal de comando y control cifrado de Telegram. FatalRAT realiza las siguientes acciones:

•   En la etapa inicial del ataque, FatalRAT realiza varias pruebas para determinar si se está ejecutando sobre una máquina virtual o no, cantidad de procesadores físicos y verificar el espacio en disco.

•   El punto en el que inicializa su tarea maliciosa es cuando la máquina pasa las pruebas de AntiVM.

•   Las cadenas de configuración que contienen la dirección C2, el nuevo malware y el nombre del servicio se descifran por separado.

•   Si un usuario quiere usar la clave de registro DisableLockWorkstation para bloquear el dispositivo a través de CTRL + ALT + DELETE, no puede hacerlo. En este momento, FatalRAT activa un keylogger.

•   La información de la víctima se envía al servidor C2, pero antes de llegar a los servidores, utiliza una técnica de evasión de defensa para identificar los productos de seguridad del sistema.

•   Los datos enviados al C2 se cifran y se distribuyen a través del puerto 8081.

•   Los canales de Telegram se utilizan para transmitir mensajes a una gran audiencia. Pero a diferencia de los grupos de Telegram, solo los administradores pueden enviar mensajes a través del canal.

Como técnica de evasión de defensa, el malware identifica todos los productos de seguridad que se ejecutan en la máquina iterando a través de todos los procesos en ejecución y buscando la existencia de una lista predefinida de productos de seguridad. Para comunicarse de nuevo con el C2, el malware utiliza una rutina para cifrar los datos enviados entre la víctima y el atacante. Este cifrado incluye una clave XOR de un byte y la adición de una constante al valor obtenido.

El malware también se propaga en la red de la víctima mediante la fuerza bruta de contraseñas débiles. Luego se copia a sí mismo en la carpeta dedicada %Folder%hackshen.exe y ejecuta el archivo copiado de forma remota. Los comandos de FatalRAT incluyen funciones como keylogger, cambiar resolución, desinstalar UltraViewer, descargar e instalar AnyDesk, ejecutar comandos, modificar las claves de registro y descargar y ejecutar un archivo.

En otro ejemplo reciente de atacantes que aprovechan Telegram, la empresa de seguridad Cofense descubrió en febrero una campaña de phishing que intentaba robar las credenciales de las víctimas abusando de la API de Telegram.

En septiembre de 2020, la empresa de seguridad Malwarebytes descubrió que los estafadores estaban usando Telegram para barrer los datos de las tarjetas de pago de las víctimas usando cadenas de codificación Base64 junto con un bot.

FatalRAT, Toxic Eye, macOS y tal vez muchos más malware aprovechan la aplicación Telegram.

Fuente:
AT&T Alien Labs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Zoom ha acordado pagar 85 millones de dólares para resolver las reclamaciones de que mintió sobre ofrecer cifrado de extremo a extremo y dio datos de usuario a Facebook y Google sin el consentimiento de los usuarios.

El acuerdo entre Zoom y los declarantes de una demanda colectiva también cubre los problemas de seguridad que llevaron a "Zoombombings" desenfrenados.

El acordado propuesto de indemnización  generalmente daría a los usuarios de Zoom $ 15 o $ 25 cada uno y fue presentado el sábado en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California. Se produjo nueve meses después de que Zoom aceptara mejoras de seguridad y una "prohibición de tergiversaciones de privacidad y seguridad" en un acuerdo con la Comisión Federal de Comercio, pero el acuerdo de la FTC no incluyó una compensación para los usuarios.

La FTC dijo queZoom afirmaba que ofrecía cifrado de extremo a extremo en sus guías de cumplimiento de HIPAA de junio de 2016 y julio de 2017, en un documento técnico de enero de 2019, en una publicación de blog de abril de 2017 y en respuestas directas a consultas de clientes y clientes potenciales.

En realidad, "Zoom no proporcionó cifrado de extremo a extremo para ninguna reunión de Zoom que se llevara a cabo fuera del producto 'Connecter' de Zoom (que están alojados en los propios servidores de un cliente), porque los servidores de Zoom, incluidos algunos ubicados en China, mantienen las claves criptográficas que permitirían a Zoom acceder al contenido de las reuniones de Zoom de sus clientes", dijo la FTC.

En el cifrado real de extremo a extremo, solo los propios usuarios tienen acceso a las claves necesarias para descifrar el contenido.
El nuevo acuerdo de demanda colectiva se aplica a los usuarios de Zoom en todo el país, independientemente de si usaron Zoom de forma gratuita o pagaron por una cuenta.

Si el acuerdo es aprobado por el tribunal, "los miembros de la clase que pagaron por una cuenta serán elegibles para recibir el 15 por ciento del dinero que pagaron a Zoom por su suscripción principal a Zoom Meetings durante ese tiempo [del 30 de marzo de 2016 al 30 de julio de 2021] o $ 25, lo que sea mayor", dijo el acuerdo.

"Los miembros del grupo que no son elegibles para presentar un reclamo de suscripción pagada pueden hacer un reclamo por $ 15.
Estos montos pueden ajustarse, proporcionalmente, hacia arriba o hacia abajo, dependiendo del volumen de reclamos, el monto de cualquier premio de honorarios y gastos, los pagos de servicios a los representantes de la clase, los impuestos y los gastos de impuestos, y los gastos de administración de la liquidación".

Los abogados de la clase recibirían honorarios de abogados de hasta el 25 por ciento de los U$S 85 millones y hasta U$S 200,000 para el reembolso de los gastos.

Alrededor de una docena de demandantes nombrados están buscando la aprobación de los pagos de U$S5.000 cada uno.
Una audiencia sobre la moción de los demandantes para la aprobación preliminar del acuerdo está programada para el 21 de octubre de 2021.
Además de los pagos, Zoom "acordó más de una docena de cambios importantes en sus prácticas, diseñados para mejorar la seguridad de las reuniones, reforzar las divulgaciones de privacidad y salvaguardar los datos de los consumidores", dijo el acuerdo.

Con la pandemia impulsando su negocio de videoconferencias, Zoom cuadruplicó con creces sus ingresos anuales de 622.7 millones de dólares a 2.7 mil millones de dólares en los 12 meses que terminaron el 31 de enero de 2021. Zoom también reportó $ 672 millones en ingresos netos para el período de 12 meses, en lugar de $ 25.3 millones el año anterior.

Zoom está en camino de obtener resultados aún mejores este año, después de haber reportado ingresos del 1T (febrero-abril) de $ 956.2 millones e ingresos neto$ de $ 227.5 millones.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Siéndole sincero y hablándole con el marcapasos en la mano...

Jamás pudiera pegar un ojo con un bicho de esos suelto por la casa.
No es por miedo, sino por la obsesión del "search and destroy".

En mis viajes turísticos en varias ocasiones han servido de alimento exótico: iguanas, cocodrilos, cangrejos, etc.
Si desea adjunto fotos.
Bajan bien con ron y los cangrejos al curry con cerveza. Le hago un bicho de esos en enchilada con queso, o al grillé que se chupa los dedos.

Por aquí somos más de gatos.

Y sin ofender pero... esos bichos solo existen para merienda de los gatos.
Cada cual a lo suyo imagino.

Por ahí debe de andar el problema de seguro: "los drivers"

Pues mire aquí un caso (similar) de lo que pudiera ser (explicación) y también está relacionado con los drivers:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

También fíjese en los comentarios que se ponen en el link que puso y cuyos pasos le ayudaron.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Varios refieren el problema que plantea de que no les funciona el modo monitor, etc.

Ese tipo de wifi dual nunca me ha gustado.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El presidente Joe Biden advirtió que si Estados Unidos terminaba en una "verdadera guerra de disparos" con una "gran potencia", podría ser el resultado de un ciberataque significativo en el país.

La ciberseguridad se ha elevado a la cima de la agenda de la administración Biden después de que una serie de ataques de alto perfil a entidades como la empresa de gestión de redes SolarWinds, la empresa Colonial Pipeline, la empresa de procesamiento de carne JBS y la empresa de software Kaseya dañaron a los EE. UU.

Los analistas y las fuerzas del orden afirman que las bandas cibernéticas de habla rusa y vinculadas a Rusia estuvieron detrás de varios ataques importantes recientemente con la banda REvil detrás de los ataques de JBS y Kaseya, DarkSide detrás de la brecha del Colonial Pipeline y un grupo de piratas informáticos respaldados por el gobierno ruso detrás del ataque Solarwinds.

"Creo que es más que probable que terminemos, si terminamos en una guerra, una verdadera guerra de disparos con una potencia importante, será como consecuencia de una infracción cibernética de grandes consecuencias y está aumentando exponencialmente las capacidades ", dijo Biden durante un discurso de media hora mientras visitaba la Oficina del Director de Inteligencia Nacional (ODNI).

Durante una cumbre del 16 de junio en Ginebra entre Biden y el presidente ruso Vladimir Putin, Biden compartió una lista de infraestructura crítica que Estados Unidos considera prohibida para los actores estatales. Desde entonces, miembros de alto rango del equipo de seguridad nacional de la administración Biden han estado en contacto constante con miembros de alto rango del Kremlin por ataques cibernéticos en Estados Unidos, dijo la Casa Blanca.

Biden también destacó las amenazas planteadas por China, refiriéndose al presidente Xi Jinping como "mortalmente serio en convertirse en la fuerza militar más poderosa del mundo, así como en la economía más grande y prominente del mundo a mediados del 2040".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una cerveza para ese hombre!!!

Que diga gato..

Las monedas virtuales son muy volátiles para inversiones perecederas y voluminosas. De hecho muchos se han arruinado invirtiéndolo todo en ellas y la burbuja les ha sorprendido en la devaluación.

Siempre las he visto como una moneda especulativa de alto riesgo.

Aquí hay que invertir en el efectivo (Dólares u Euros) y agarrarse a él.



Es lo que recomienda mi gato y otros.... que no mencionaré nombres para preservar privacidad y que no se pongan

[@DtxdF, @Alex, @noxonsoftwares, la Srta. @Gabriela (y su @Caniche), @blackdrake, @79137913, @Lautaro Villareal Culic, y algún otro por ahí escondido...]