Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - AXCESS

Páginas: 1 2 [3] 4 5 ... 28
41
You are not allowed to view links. Register or Login

WASHINGTON, 4 oct (Reuters) - William Shatner, el actor de "Star Trek" que se hizo famoso al fingir que el escenario sonoro de Hollywood era una nave espacial que exploraba la galaxia, será lanzado al borde del espacio de verdad la próxima semana en un cohete construido por Blue Origen, la empresa espacial del multimillonario Jeff Bezos.

Shatner, mejor conocido como el Capitán Kirk en la serie de televisión original "Star Trek", será parte de una tripulación de cuatro personas a bordo del vehículo de lanzamiento New Shepard de Blue Origin en el vuelo programado para la mañana del 12 de octubre, dijo la compañía el lunes.

You are not allowed to view links. Register or Login

"He oído hablar del espacio desde hace mucho tiempo", dijo Shatner, de 90 años, en un comunicado emitido por Blue Origin. "Aprovecho la oportunidad para verlo por mí mismo. Qué milagro".

En julio, Bezos, el fundador de Amazon, se elevó a unas 66,5 millas (107 km) sobre el desierto de Texas a bordo de un vehículo de lanzamiento New Shepard y regresó a salvo a la Tierra.

Blue Origin dijo que la pionera aviadora Wally Funk, de 82 años, fue la persona de mayor edad en llegar al espacio cuando se unió a Bezos en el vuelo de julio. Shatner está listo para romper ese récord.

El actor está volando como invitado de Blue Origin, pero la compañía dice que también ha vendido casi $ 100 millones en boletos a clientes que pagan, aunque no ha dicho cuántos.

Shatner estará acompañado por Chris Boshuizen, un ex ingeniero de la NASA; Glen de Vries, emprendedor de investigación clínica; y Audrey Powers, vicepresidenta e ingeniera de Blue Origin. No quedó claro de inmediato si eran fanáticos de "Star Trek".

Bezos fundó Blue Origin en 2000. New Shepard se lanzó a velocidades que alcanzaron las 2233 millas (3595 km) por hora, superando la KarmanLine - 62 millas (100 km) en línea recta - establecida por un organismo aeronáutico internacional para definir el límite entre la atmósfera y el espacio de la Tierra.

Shatner interpretó por primera vez el papel del Capitán James T. Kirk en 1966 en una franquicia de televisión a la que muchos astronautas de la NASA atribuyeron a encender su amor por el espacio. También interpretó el papel en siete largometrajes.

El jueves, la Administración Federal de Aviación dijo que revisaría las preocupaciones de seguridad planteadas por los empleados actuales y anteriores de Blue Origin, quienes dijeron que la compañía "a menudo prioriza la velocidad de ejecución y la reducción de costos sobre los recursos adecuados para garantizar la calidad".

Blue Origin dijo que investiga de inmediato cualquier inquietud de mala conducta planteada por los empleados y se mantiene fiel a su historial de seguridad.

Fuente:
Reuters
You are not allowed to view links. Register or Login

42
You are not allowed to view links. Register or Login

Un mecanismo de exfiltración de datos recientemente descubierto emplea cables Ethernet como una "antena de transmisión" para desviar sigilosamente datos altamente sensibles de sistemas con espacios de transmisión aéreos, según las últimas investigaciones.

"Es interesante que los cables que vinieron a proteger el espacio de aire se conviertan en la vulnerabilidad del espacio de aire en este ataque", dijo el Dr. Mordechai Guri, jefe de I + D en el Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion del Negev en Israel.

Apodada "LANtenna Attack", la técnica novedosa permite que el código malicioso en computadoras con espacio de aire acumule datos confidenciales y luego los codifique a través de ondas de radio que emanan de cables Ethernet como si fueran antenas. Las señales transmitidas pueden ser interceptadas por un receptor de radio definido por software (SDR) cercano de forma inalámbrica, decodificar los datos y enviarlos a un atacante que se encuentra en una habitación adyacente.

"En particular, el código malicioso puede ejecutarse en un proceso de modo de usuario ordinario y funcionar con éxito desde dentro de una máquina virtual", señalaron los investigadores en un documento adjunto titulado "LANTENNA: extracción de datos de redes con espacio de aire a través de cables Ethernet".

Las redes con espacios abiertos están diseñadas como una medida de seguridad de la red para minimizar el riesgo de fuga de información y otras amenazas cibernéticas al garantizar que una o más computadoras estén físicamente aisladas de otras redes, como Internet o una red de área local. Por lo general, están cableados ya que las máquinas que forman parte de dichas redes tienen sus interfaces de red inalámbrica desactivadas permanentemente o eliminadas físicamente.

Esta está lejos de ser la primera vez que el Dr. Guri ha demostrado formas poco convencionales de filtrar datos confidenciales de computadoras con espacio de aire.

En febrero de 2020, el investigador de seguridad ideó un método que emplea pequeños cambios en el brillo de la pantalla LCD, que permanece invisible a simple vista, para modular la información binaria en patrones similares al código morse de forma encubierta.

Luego, en mayo de 2020, el Dr. Guri mostró cómo el malware podía explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos en un ataque llamado "POWER-SUPPLaY".

Por último, en diciembre de 2020, el investigador mostró "AIR-FI", un ataque que aprovecha las señales de Wi-Fi como un canal encubierto sin requerir la presencia de hardware de Wi-Fi en los sistemas objetivo.

El ataque LANtenna no es diferente en que funciona usando el malware en la estación de trabajo con espacio de aire para inducir al cable Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125 MHz que luego son moduladas e interceptadas por un receptor de radio cercano. En una demostración de prueba de concepto, los datos transmitidos desde una computadora con espacio de aire a través de su cable Ethernet se recibieron a una distancia de 200 cm.

Como contramedidas, los investigadores proponen prohibir el uso de receptores de radio en y alrededor de redes con espacio de aire y monitorear la actividad de la capa de enlace de la tarjeta de interfaz de red para cualquier canal encubierto, así como bloquear las señales y usar blindaje metálico para limitar la interferencia de los campos electromagnéticos conque emana de los cables blindados.

"Este documento muestra que los atacantes pueden explotar los cables Ethernet para filtrar datos de redes con espacios de aire", dijeron los investigadores en el documento. "El malware instalado en una estación de trabajo segura, computadora portátil o dispositivo integrado puede invocar varias actividades de red que generan emisiones electromagnéticas de los cables Ethernet".

"Las antenas dedicadas y costosas ofrecen una mejor distancia y podrían alcanzar decenas de metros con algunos cables", agregó el Dr. Guri.

Fuente:
The hacker News
You are not allowed to view links. Register or Login

43
You are not allowed to view links. Register or Login

Los usuarios de todo el mundo informan que no pueden acceder a Facebook, Instagram y WhatsApp, sino que ven errores de que no se puede acceder a los sitios.

Al intentar abrir cualquiera de los tres sitios, se les dan errores DNS_PROBE_FINISHED_NXDOMAIN y se les recomienda que verifiquen si hay un error tipográfico en el dominio ingresado en la barra de direcciones.

"No se puede acceder a este sitio. Compruebe si hay un error tipográfico en facebook.com. Si la ortografía es correcta, intente ejecutar Windows Network Diagnostics", dice el mensaje de error.

Los usuarios de dispositivos móviles también informan que las aplicaciones de la empresa no funcionan y ven "Verifique su conexión a Internet y vuelva a intentarlo más tarde".

Por el momento, el sitio .onion de Facebook también está inactivo, mostrando el mismo error DNS_PROBE_FINISHED_NXDOMAIN que el que muestran los sitios web claros de la compañía.

Se desconoce si se trata de una interrupción planificada, un problema con los servidores de las tres plataformas o los servicios que están siendo atacados.

Un portavoz de Facebook no estuvo disponible de inmediato para hacer comentarios.

Si bien la compañía aún no ha brindado una explicación para esta interrupción, en las pruebas, los servidores DNS de Facebook, Instagram y WhatsApp no responden, lo que sugeriría que se trata de una configuración de DNS o un problema del servidor.

You are not allowed to view links. Register or Login

Según los informes de usuarios disponibles en outage.report y las conversaciones con usuarios de todo el mundo, esta interrupción está afectando principalmente a los usuarios de EE. UU. y Europa.

Sin embargo, hasta que Facebook emita una explicación o actualización de estado, es probable que el resto de sus usuarios aún no lo hayan notado porque no están conectados.

Facebook, Instagram y WhatsApp han reconocido la interrupción en curso en Twitter y dijeron que están trabajando para volver a conectarse lo antes posible.

Fuente:

Reuters
You are not allowed to view links. Register or Login

Security Affairs
You are not allowed to view links. Register or Login

BleepingComputer
You are not allowed to view links. Register or Login

44
You are not allowed to view links. Register or Login

Un actor de amenazas de habla china anteriormente desconocido ha sido vinculado a una operación evasiva de larga data dirigida a objetivos del sudeste asiático desde julio de 2020 para implementar un rootkit en modo kernel en sistemas Windows comprometidos.

También se dice que los ataques montados por el grupo de piratería, apodado GhostEmperor por Kaspersky, han utilizado un "marco sofisticado de malware de múltiples etapas" que permite proporcionar persistencia y control remoto sobre los hosts objetivo.

La firma rusa de ciberseguridad llamada rootkit Demodex, con infecciones reportadas en varias entidades de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de valores atípicos ubicados en Egipto, Etiopía y Afganistán.

"[Demodex] se usa para ocultar los artefactos del malware en modo de usuario de los investigadores y las soluciones de seguridad, mientras demuestra un interesante esquema de carga no documentado que involucra el componente de modo kernel de un proyecto de código abierto llamado Cheat Engine para eludir el mecanismo de ejecución de la firma del controlador de Windows". Dijeron los investigadores de Kaspersky.

Se ha descubierto que las infecciones de GhostEmperor aprovechan múltiples rutas de intrusión que culminan en la ejecución de malware en la memoria, siendo la principal de ellas la explotación de vulnerabilidades conocidas en servidores públicos como Apache, Window IIS, Oracle y Microsoft Exchange, incluidos los exploits ProxyLogon que salió a la luz en marzo de 2021, para ganar un punto de apoyo inicial y pivotar lateralmente a otras partes de la red de la víctima, incluso en máquinas que ejecutan versiones recientes del sistema operativo Windows 10.

You are not allowed to view links. Register or Login

Luego de una violación exitosa, las cadenas de infección seleccionadas que resultaron en la implementación del rootkit se llevaron a cabo de forma remota a través de otro sistema en la misma red utilizando software legítimo como WMI o PsExec, lo que llevó a la ejecución de un implante en memoria capaz de instalar más cargas útiles durante el tiempo de ejecución.

A pesar de su dependencia de la ofuscación y otros métodos de detección y evasión para eludir el descubrimiento y el análisis, Demodex evita el mecanismo de aplicación de la firma del controlador de Microsoft para permitir la ejecución de código arbitrario sin firmar en el espacio del kernel aprovechando un controlador firmado legítimo y de código abierto llamado (" dbk64.sys ") que se envía junto con Cheat Engine, una aplicación que se utiliza para introducir trampas en los videojuegos.

"Con una operación de larga data, víctimas de alto perfil, [y] conjunto de herramientas avanzadas […] el actor subyacente es altamente calificado y hábil en su oficio, los cuales son evidentes a través del uso de un amplio conjunto de anti-sofisticados e inusuales técnicas forenses y anti-análisis ", dijeron los investigadores.

La revelación se produce cuando se descubrió que un actor de amenazas vinculado a China con nombre en código TAG-28 está detrás de las intrusiones contra los medios de comunicación y agencias gubernamentales indias como The Times Group, la Autoridad de Identificación Única de la India (UIDAI) y el departamento de policía del estado de Madhya Pradesh.

Recorded Future, a principios de esta semana, también descubrió actividad maliciosa dirigida a un servidor de correo de Roshan, uno de los proveedores de telecomunicaciones más grandes de Afganistán, que atribuyó a cuatro actores distintos patrocinados por el estado chino: RedFoxtrot, Calypso APT, así como a dos grupos separados que utilizan puertas traseras asociado con los grupos Winnti y PlugX.

Fuente:
The Hacker News
You are not allowed to view links. Register or Login

45
You are not allowed to view links. Register or Login

El exchange de criptomonedas Coinbase reveló que un actor de amenazas robó criptomonedas a 6.000 clientes después de usar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la empresa.

Coinbase es el segundo intercambio de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.

En una notificación enviada a los clientes afectados esta semana, Coinbase explica que entre marzo y el 20 de mayo de 2021, un actor de amenazas llevó a cabo una campaña de piratería para violar las cuentas de los clientes de Coinbase y robar criptomonedas.

Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima.

Si bien se desconoce cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que fue a través de campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas, que se han vuelto comunes. Además, también se sabe que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase.

Error de MFA permitió el acceso a las cuentas

Incluso si un pirata informático tiene acceso a las credenciales y a la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación multifactor.

En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación de múltiples factores (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.

Sin embargo, Coinbase afirma que existía una vulnerabilidad en el proceso de recuperación de su cuenta de SMS, lo que permite a los piratas informáticos obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.

"Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase", explicó una notificación de Coinbase a los clientes.

"Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta por SMS de Coinbase para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta. "

Una vez que se enteraron del ataque, Coinbase afirma que arreglaron los "protocolos de recuperación de cuentas de SMS" para evitar eludir la autenticación multifactor de SMS.

Como el actor de la amenaza también tenía acceso completo a una cuenta, también se expuso la información personal de los clientes, incluido su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencias de cuentas y saldos.

Como el error de Coinbase permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, el intercambio está depositando fondos en las cuentas afectadas iguales a la cantidad robada.

"Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados; nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdió.Debería ver esto reflejado en su cuenta a más tardar hoy ", prometió Coinbase.

No está claro si Coinbase acreditará a los clientes pirateados la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.

Los clientes que se vieron afectados por este ataque pueden comunicarse con Coinbase para obtener más información sobre lo que se está haciendo.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

46
You are not allowed to view links. Register or Login

La Comisión Federal de Comunicaciones de los EE. UU. anunció esta semana que comenzó a trabajar en reglas que frenarían los ataques de intercambio de SIM.

La decisión se produce después de que la agencia "recibió numerosas quejas de consumidores que han sufrido angustia significativa, inconvenientes y daños económicos como resultado del fraude de intercambio y transferencia de SIM".

Dar los primeros pasos


La FCC dijo en un comunicado de prensa el jueves que "comenzaron un proceso formal de reglamentación" diseñado para combatir las estafas que permiten a los estafadores tomar el control de las cuentas de teléfonos celulares de los consumidores.

Junto con el fraude de transferencia, los estafadores utilizan el intercambio de SIM (también llamado "jacking de SIM") para secuestrar el número de teléfono de alguien y obtener acceso a códigos de autenticación de dos factores para servicios financieros en particular.

En un Aviso de propuesta de reglamentación, la agencia tiene como objetivo introducir reglas para que los operadores móviles adopten métodos seguros para autenticar a los suscriptores antes de redirigir el número de teléfono de un cliente a un nuevo dispositivo o operador.

Esto significa que abordar el problema llevará algún tiempo, ya que un Aviso de propuesta de reglamentación es solo el primer paso para lograr el objetivo expresado. Antes de la regla final, se debe informar al público de la regla propuesta y se le debe dar la oportunidad de presentar comentarios, un período que varía entre 30 y 60 días.

El fraude de intercambio de SIM y de transferencia son tipos similares de estafas que involucran habilidades de ingeniería social del actor de amenazas.

Por lo general, un estafador con detalles personales sobre su objetivo llama al operador de telefonía celular de la víctima para pedirle que transfiera el servicio a un dispositivo diferente o a otro operador.

Si tiene éxito, toda la comunicación se dirige al atacante, incluidos los códigos de autenticación de dos factores, necesarios para la verificación de identidad al iniciar sesión en una cuenta o para los procedimientos de restablecimiento de contraseña.

Intercambio de SIM detrás de grandes pérdidas

Los intercambiadores de SIM generalmente están motivados financieramente y buscan cuentas de banca en línea y de intercambio de criptomonedas. También hay actores de amenazas que usan este método para robar cuentas de redes sociales con identificadores especiales y luego venderlas: en 2019, la cuenta de Twitter de Jack Dorsey, CEO de Twitter, fue secuestrada mediante el intercambio de SIM.

El mes pasado, un cliente de AT&T presentó una queja contra la empresa por no proteger adecuadamente su cuenta contra un ataque de intercambio de SIM. Como resultado, el cliente perdió alrededor de $ 650,000 en tokens de criptomonedas.

En febrero de 2021, T-Mobile se enteró de una violación de datos después de descubrir que varios clientes se habían convertido en víctimas de ataques de intercambio de SIM.

Se cree que una red de intercambiadores de SIM desmantelada a principios de año ha robado más de $ 100 millones en criptomonedas de miles de víctimas, incluidas celebridades en los EE. UU.

Más recientemente, Europol anunció que los ciberdelincuentes con vínculos con la mafia italiana participaron en ataques de intercambio de SIM y otras actividades ciberdelincuentes que les reportaron más de 10 millones de euros.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

47
You are not allowed to view links. Register or Login

El presidente de EE. UU., Joe Biden, dijo que EE. UU. reunirá a 30 países para tomar medidas enérgicas contra las bandas de ransomware detrás de una serie de ataques que afectan a organizaciones de todo el mundo.

"Este mes, Estados Unidos reunirá a 30 países para acelerar nuestra cooperación en la lucha contra el delito cibernético, mejorando la colaboración entre las fuerzas del orden, deteniendo el uso ilícito de criptomonedas y comprometiéndose diplomáticamente en estos temas", declaró este viernes el presidente Biden.

"También nos estamos asociando estrechamente con naciones de todo el mundo en estas amenazas compartidas, incluidos nuestros aliados de la OTAN y socios del G7."

"Estoy comprometido a fortalecer nuestra ciberseguridad reforzando nuestra infraestructura crítica contra ataques cibernéticos, interrumpiendo las redes de ransomware, trabajando para establecer y promover reglas claras para todas las naciones en el ciberespacio y dejando en claro que responsabilizaremos a aquellos que amenazan nuestra seguridad".

Batalla en curso contra la amenaza del ransomware

Este anuncio es una respuesta a los ataques recientes, incluidos los ataques de ransomware en Colonial Pipeline, JBS Foods y Kaseya en los Estados Unidos, que han revelado vulnerabilidades importantes en la infraestructura crítica en todo el mundo.

El presidente Biden también emitió un memorando de seguridad de EE. UU. para reforzar la ciberseguridad de la infraestructura crítica de la nación, al establecer objetivos y guías de referencia para los propietarios y operadores de infraestructuras críticas.

La asesora adjunta de seguridad nacional, Anne Neuberger, instó a las empresas estadounidenses a tomarse en serio al ransomware el mismo mes, luego de los ataques de ransomware Colonial Pipeline y JBS.

La secretaria de prensa de la Casa Blanca, Jen Psaki, agregó que Estados Unidos tomará medidas contra los grupos de ransomware que operan dentro de las fronteras de Rusia si "el gobierno ruso no puede o no quiere".

Desde entonces, Moscú y Washington han logrado reanudar la cooperación en múltiples áreas, con varios golpes en las bandas Evil Corp., TrickBot y REvil como resultado directo, según Kommersant.

Coalición contra el ciberdelito

En julio, Interpol también instó a los socios de la industria y a las agencias policiales de todo el mundo a trabajar juntos para interrumpir la pandemia del ransomware después de que los líderes del G7 pidieran a Rusia que interrumpiera las bandas de ransomware con sede en Rusia.

"Las amenazas cibernéticas pueden afectar a todos los estadounidenses, a todas las empresas, independientemente de su tamaño, y a todas las comunidades. Por eso mi administración está organizando un esfuerzo de toda la nación para enfrentar las amenazas cibernéticas", agregó hoy el presidente Biden.

"Estamos formando una coalición de naciones para defender e invertir en tecnología 5G confiable y para asegurar mejor nuestras cadenas de suministro".

"Y estamos aportando toda la fuerza de nuestras capacidades para interrumpir la actividad cibernética maliciosa, incluida la gestión de los riesgos y las oportunidades de las tecnologías emergentes como la computación cuántica y la inteligencia artificial".

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

48
You are not allowed to view links. Register or Login

Los investigadores de seguridad de CyberNews encontraron que las 14 principales aplicaciones de Android, descargadas por más de 140 millones de personas en total, están filtrando datos de usuario debido a configuraciones incorrectas de Firebase. Los datos expuestos potencialmente incluyen nombres de usuarios, correos electrónicos, nombres de usuario y más.

Si tiene una aplicación de Android instalada en su teléfono inteligente, es muy probable que esté usando Firebase. Con una base mensual activa de más de 2,5 millones de aplicaciones, Firebase es una plataforma de desarrollo de aplicaciones móviles que ofrece una multitud de funciones útiles, que incluyen análisis, alojamiento y almacenamiento en la nube en tiempo real.

En 2014, la plataforma fue adquirida por Google y desde entonces se ha convertido en una de las soluciones de almacenamiento de datos en tiempo real más populares del mercado para aplicaciones de Android. Con Firebase, los desarrolladores pueden almacenar convenientemente tokens de autenticación, credenciales de usuario, datos personales y otros tipos de información relacionada con la aplicación en la nube.

A la luz de esto, en CyberNews se decidió analizar más de mil aplicaciones principales en Google Play y ver cuántas almacenaban sus datos en bases de datos en tiempo real de Firebase de manera insegura.

Lo que el equipo de Investigaciones descubrió fue revelador: 14 de las principales aplicaciones de Android con 142,5 millones de instalaciones sufrían de configuraciones incorrectas de Firebase, lo que permitió a cualquier otra persona que conozca la URL correcta, acceder a sus bases de datos en tiempo real y a toda la información del usuario almacenada sin ningún tipo de autenticación.

Aunque solo se miró las mejores aplicaciones de Android en la tienda Google Play, Firebase es independiente de la plataforma. Esto significa que las aplicaciones de iOS que usan Firebase también pueden verse afectadas por estas configuraciones incorrectas.

El 14 de septiembre, los investigadores de CyberNews informaron sus hallazgos a Google y les pidieron que ayudaran a los desarrolladores de las aplicaciones expuestas a proteger sus bases de datos en tiempo real.

Como resultado, nueve de las 14 aplicaciones populares de Android, siguen filtrando los datos de más de 30,5 millones de usuarios.

Cómo se recopila y analizan los datos

Para llevar a cabo esta investigación, el equipo de Investigaciones analizó las 1100 aplicaciones más populares en 55 categorías diferentes en la tienda Google Play. Para las métricas de popularidad, los investigadores utilizaron los ‘TOP {CATEGORY}’ proporcionadas por Google en Play Store. Todas las categorías y aplicaciones analizadas fueron accesibles para los usuarios de Google Play en los EE. UU.

Se analizaron las aplicaciones descompilando y buscando en cada aplicación rastros de su dirección predeterminada de Firebase. Si se encontró la dirección, se verificaban las configuraciones incorrectas de los permisos de la base de datos al intentar acceder a ella utilizando la API REST proporcionada por Google.

Todas las solicitudes a las bases de datos se realizaron con el argumento "Shallow = True". Esto permitió ver los nombres de las tablas almacenadas en las bases de datos.

Nota: Durante el curso de la investigación, los investigadores no tuvieron acceso a ninguna base de datos de Firebase debido a las posibles implicaciones éticas de acceder a bases de datos privada sin autorización.

Expuestos por las principales aplicaciones de Android

Los hallazgos del equipo muestran que las 14 principales aplicaciones de Android, descargadas colectivamente por al menos 142.5 millones de usuarios, tienen sus bases de datos en tiempo real de Firebase inseguras, dejando sus datos a la vista.

A continuación, se muestra un ejemplo de una aplicación de horóscopo, instalada por al menos 500.000 usuarios, cuya base de datos expuesta en tiempo real contiene tablas tituladas "chats" y "usuarios":

You are not allowed to view links. Register or Login

Según el investigador de CyberNews, Martynas Vareikis, esto indica que la aplicación está filtrando no solo datos del usuario, sino también sus mensajes privados para que cualquiera pueda acceder y hacer lo que quiera.

Otros ejemplos incluyen Universal TV Remote Control, posiblemente la aplicación de control remoto de TV más popular con más de 100 millones de descargas en Google Play, y Remote para Roku: Codematics, que ha sido instalado por más de un millón de usuarios de Android. Ambas aplicaciones sufrieron errores de configuración de acceso a Firebase, lo que podría provocar la filtración de datos del usuario como resultado.

You are not allowed to view links. Register or Login

Lamentablemente, los juegos populares de Android tampoco están a salvo de las configuraciones incorrectas de Firebase.

You are not allowed to view links. Register or Login

Hybrid Warrior: Dungeon of the Overlord, un juego de rol para dispositivos móviles que juegan más de un millón de usuarios, recopila sus direcciones de correo electrónico y otra información personal que le han proporcionado a Google, como nombres, fechas de nacimiento, números de teléfono y más.

También estaba potencialmente filtrando todos esos datos a cualquier persona con la URL correcta. Con tal información en la mano, los actores de amenazas podrían haber organizado ataques de phishing contra cualquier usuario cuyos datos hayan sido expuestos por el juego.

Afortunadamente, los desarrolladores de estas aplicaciones conectaron rápidamente sus bases de datos en tiempo real con fugas después de que nuestro equipo de Investigaciones les advirtiera sobre las configuraciones incorrectas.

Dicho esto, tener su información personal expuesta a los actores de amenazas por su juego favorito es lo suficientemente aterrador. Pero filtrar los datos de sus hijos y su paradero a posibles intrusos puede ser mucho más peligroso.

Find My Kids: Child Cell Phone Location Tracker, una aplicación de rastreo de ubicación descargada por al menos 10 millones de padres, dejó su base de datos en tiempo real de Firebase expuesta durante un período de tiempo desconocido.

You are not allowed to view links. Register or Login

La aplicación le permite rastrear el paradero de su hijo, las estadísticas de uso de su teléfono, escuchar una transmisión de audio en vivo desde el micrófono de su teléfono y llamarlo cuando está silenciado, todo en tiempo real. Una aplicación de este tipo que deja su base de datos en tiempo real a la vista podría tener consecuencias desastrosas para los niños.

Después de que los investigadores se comunicaron con el desarrollador de Find My Kids, GEO TRACK TECHNOLOGIES INC, sobre su base de datos expuesta, un representante de la empresa nos aseguró que "no usan [una] base de datos en tiempo real de Firebase en [su] producto, en absoluto".

Supongo que esta función de Firebase se habilitó para realizar pruebas hace algún tiempo y no almacenamos ningún dato privado en ella. Ahora hemos desactivado la base de datos en tiempo real de Firebase por completo ”, declaró a CyberNews un miembro del equipo de GEO TRACK TECHNOLOGIES INC.

Si bien es imposible determinar la veracidad de la afirmación de que el equipo no usó Firebase para almacenar los datos de los usuarios, ahora el desarrollador solucionó el problema.

Encontrar errores de configuración básicos de Firebase en aplicaciones de Android de gran éxito es algo sorprendente. Pensarías que las aplicaciones que encabezan las listas de Google Play en sus respectivas categorías al menos habrían implementado medidas de seguridad básicas. Después de todo, las bases de datos en tiempo real de Firebase están configuradas sin permisos de acceso de forma predeterminada, según Ray Kelly, ingeniero de seguridad principal de NTT Application Security.

"Depende del desarrollador agregar permisos según sea necesario", dijo Kelly a CyberNews. “Entonces, ¿por qué un desarrollador decidiría abrir la base de datos por completo? Porque es fácil. A menudo, los desarrolladores tomarán el camino más fácil mientras codifican sus aplicaciones. Sin duda, abrir la base de datos acelerará su proceso ".

Para los desarrolladores de aplicaciones que son menos conscientes de la seguridad, tener en cuenta los permisos de acceso requiere tiempo y comprensión, dice Kelly, y agrega que "desafortunadamente, esta rara vez es la prioridad número uno cuando se trata de diseño e implementación de aplicaciones".

Sin embargo, al final, son principalmente los usuarios los que soportan la peor parte del daño de tener su información expuesta a los actores de amenazas.

Google hace la vista gorda mientras se siguen filtrando datos de más de 30 millones de usuarios

En total, el equipo de Investigaciones encontró tablas de usuarios en las 14 principales aplicaciones de Android con 142,5 millones de instalaciones colectivas. Afortunadamente, las cuatro aplicaciones que se mencionaron  anteriormente han solucionado sus problemas y ya no tienen sus bases de datos.

Sin embargo, nueve de los desarrolladores de aplicaciones no han solucionado todos sus errores de configuración ni han respondido a nuestras repetidas advertencias.

Para abordar la situación, primero nos comunicamos con Google el 14 de septiembre y les pedimos que ayudaran a los desarrolladores a proteger sus bases de datos en tiempo real de Firebase.

Habiendo recibido una respuesta automática sin seguimiento, hicimos otro intento de ponernos en contacto con Google a través de su oficina de prensa tres días después. El resultado final fue idéntico: un correo electrónico de respuesta automático sin ningún seguimiento ni explicación.

No hace falta mencionar que, sin la participación de Google, las filtraciones de esas aplicaciones no se han solucionado.

Fuente:
Cyber News
You are not allowed to view links. Register or Login

49
Noticias Informáticas / La extensión HTTPS Everywhere anuncia su fin
« en: Octubre 01, 2021, 01:01:33 am »
You are not allowed to view links. Register or Login

En una publicación reciente, la Electronic Frontier Foundation (EFF) anunció la suspensión de la extensión del navegador HTTPS Everywhere.

Durante años, HTTPS Everywhere ofreció a los usuarios una navegación segura a través de HTTPS incluso cuando los sitios web correspondientes no implementaban HTTPS. Con su cifrado subyacente, esta extensión mantuvo a los usuarios a salvo de los fisgones en línea.

Esta extensión también ayudó al mundo a reconocer la importancia de la implementación de HTTPS.
 
En consecuencia, el gobierno de EE. UU. Ordenó en 2017 que los sitios web del gobierno aplicaran HTTPS para evitar la interceptación y los ciberataques. Asimismo, Google y otros gigantes tecnológicos abogaron fuertemente por la aplicación de SSL en sitios web.
 
Los proveedores incluso implementaron varias medidas para difundir la conciencia sobre la navegación segura entre los usuarios. Estos incluyen mostrar indicadores específicos en la barra de direcciones y bloquear contenido en sitios con HTTPS deficiente o sin HTTPS. Además, los navegadores populares, Google Chrome, Mozilla Firefox y Microsoft Edge, implementaron funciones como “HTTPS-Only”o “HTTPS-First” para fomentar la navegación segura tanto para los usuarios como para los administradores del sitio web.

Dados todos estos desarrollos con respecto a la adaptación HTTPS, EFF cree haber logrado el objetivo. De ahí que haya anunciado la retirada de la prórroga.

EFF se está preparando para abandonar la extensión web HTTPS Everywhere mientras buscamos nuevas fronteras de protocolos seguros como SSL / TLS.

Como se ha elaborado, la herramienta permanecerá en “modo de mantenimiento” después de diciembre de 2021 para el año siguiente. Además, el servicio seguirá informando a los usuarios sobre la configuración simple del navegador para implementar la navegación HTTPS durante este tiempo.
 
Esta eliminación gradual presumiblemente ayudará a los usuarios y socios del servicio en la transición. Por lo tanto, los usuarios pueden continuar usando la extensión HTTPS Everywhere durante aproximadamente un año.
 
No obstante, es mejor habilitar la configuración relevante en los navegadores web en todos los dispositivos para mantenerse libre de estrés.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login


50
You are not allowed to view links. Register or Login

Los investigadores de Truffle Security han presentado una extensión de navegador dedicada, "TruffleHog", que puede ayudar a los cazarrecompensas de errores (Bug Bounty ).
La herramienta ayuda a encontrar claves secretas de API en código JavaScript.

Al compartir los detalles a través de una publicación de blog, Dylan Ayrey, cofundador de la firma, explicó que la herramienta puede ayudar a las organizaciones a prevenir riesgos de seguridad debido a claves secretas expuestas.

TruffleHog en sí no es una herramienta nueva y ha existido durante muchos años con desarrolladores que realizan mejoras constantes.

Está disponible como una extensión del navegador Chrome de código abierto. La herramienta encuentra claves API incrustadas en el código JavaScript. Estas claves suelen aparecer en la interfaz de una aplicación cuando las API permiten CORS (intercambio de recursos de origen cruzado).

 Como se indica en la publicación:

De forma predeterminada, los sitios web no pueden simplemente realizar solicitudes y leer la respuesta a otras API sin que la API externa los invite a hacerlo con un encabezado CORS permisivo.
Las API de Amazon AWS, así como muchas otras API de proveedores de nube y SaaS, tienen configuraciones CORS extremadamente permisivas.
Esto, no solo alienta a los sitios web a realizar solicitudes a AWS, sino que, dado que las API de AWS tienen credenciales, fomenta que Javascript contenga credenciales de AWS.


A pesar de su utilidad, esta función también amenaza la seguridad de las aplicaciones internas, lo que puede ser una amenaza para las empresas.

Debido a que varias aplicaciones de frontend a menudo consumen la misma API de backend, muchas aplicaciones internas lamentablemente obtienen alcances con configuraciones de CORS permisivas ... un origen externo de la Internet abierta con la capacidad de realizar solicitudes a aplicaciones internas y API, ver las respuestas y robar claves de API codificadas del lado del cliente en las aplicaciones internas.

Aplicación en el mundo real

Los cazarrecompensas e investigadores de aplicaciones pueden utilizar esta herramienta para encontrar dichas claves e informarlas a las empresas y proveedores.

Esta herramienta también puede ayudar a los equipos de seguridad dentro de las empresas a realizar evaluaciones internas.
Junto con JavaScript, la extensión TruffleHog también puede escanear y detectar directorios .git y archivos .env que pueden contener credenciales.

Los investigadores han enviado la herramienta para su revisión en Chrome Store.

 Mientras tanto, los usuarios interesados pueden descargar la herramienta desde GitHub:

Extensión TruffleHog

You are not allowed to view links. Register or Login

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

51
You are not allowed to view links. Register or Login

Telegram se está convirtiendo en una plataforma esencial para las actividades delictivas cibernéticas, los delincuentes lo usan para comprar y vender cualquier tipo de datos robados y herramientas de hacking.

Muchos expertos creen que la popular aplicación Telegram es una alternativa eficiente a los mercados de la Dark Web.

Investigadores de vpnMentor publicaron recientemente un informe que arroja luz sobre el uso de Telegram en el ecosistema del ciberdelito. Los investigadores se unieron a varios grupos de Telegram centrados en estas actividades y descubrieron una vasta red de más de miles de personas que comparten filtraciones, vertederos de datos y discuten cómo explotarlos en actividades ilegales.

Primero, están los canales de Telegram, donde los piratas informáticos publican volcados de datos con breves explicaciones sobre lo que la gente puede encontrar en su interior. Estos canales son más pasivos, con una conversación mínima en ellos. Algunos canales tienen 10.000 seguidores", informaron los expertos.
 
"El otro método que están utilizando son los grupos dedicados a la piratería, donde cientos de miembros discuten activamente varios aspectos del ciberdelito y cómo explotar los volcados de datos compartidos".

Los investigadores explicaron que es bastante fácil acceder a los canales de Telegram; los usuarios solo necesitan un número de teléfono móvil, que supuestamente está oculto para todos los demás usuarios, pero visible para Telegram y para verificación por SMS. Sin embargo, las agencias de aplicación de la ley podrían solicitar el número de teléfono de un usuario de Telegram, o los piratas informáticos podrían entrar y robarlo.

Otra ventaja es la creación de canales y grupos de Telegram que también evita que los delincuentes se registren en un servidor web o servicio de dominio; de hecho, este último podría ser pirateado por otros actores de amenazas o ser blanco de un DDoS.

Resumiendo, Telegram probablemente sea más accesible que la Dark Web.

vpnMentor explicó que la mayoría de las fugas de datos y los exploits solo se comparten en Telegram después de ser vendidos en la Dark Web o cuando la venta fracasó por alguna razón.

Otro estudio realizado por Cyberint para Financial Times reunió evidencia de las intensas actividades delictivas que aprovechan la aplicación de mensajería instantánea. La aplicación es fácil de usar y sus canales, que pueden ser públicos y privados, permiten la comunicación entre decenas de miles de usuarios. Telegram también es elegido por los delincuentes porque tiene un enfoque laxo para la moderación de contenido que las otras plataformas de redes sociales.

Los expertos observaron un aumento en la cantidad de enlaces a grupos o canales de Telegram compartidos en foros de ciberdelincuencia y piratería de darkweb, según el estudio, el número pasó de 172.035 en 2020 a más de 1 millón en 2021.

Las palabras utilizadas para referirse a muchas credenciales robadas y otros productos ilegales se cuadruplicaron durante los 12 meses, llegando a casi 3.400.

Los expertos citaron el caso de un canal público de Telegram llamado "combolist", que tenía más de 47.000 suscriptores, utilizado por los actores de amenazas para comprar, vender y filtrar volcados de datos.

Otros canales de Telegram analizados por los expertos se utilizan para intercambiar datos financieros, incluidos datos de tarjetas de crédito, credenciales de inicio de sesión para cuentas bancarias y otros servicios en línea, y copias de pasaportes.

¿Cuál es la respuesta de Telegram?

Telegram emitió un comunicado para anunciar que "tiene una política para eliminar los datos personales compartidos sin consentimiento". También agregó que una fuerza creciente de moderadores profesionales elimina a más de 10,000 comunidades públicas por violaciones de los términos de servicio luego de los informes de los usuarios.

Fuente:
Security Affairs
You are not allowed to view links. Register or Login

52
Noticias Informáticas / Disponible el borrador de OWASP Top-10 2021
« en: Septiembre 28, 2021, 12:22:15 am »
You are not allowed to view links. Register or Login

Como parte de esta iniciativa, que surgió hace 20 años, los investigadores y desarrolladores tienen un listado de principales amenazas vinculadas con el desarrollo seguro Web.

El último listado vigente y asentado es el del año 2017. Desde entonces, este no ha sido actualizado. Sin embargo, a día de hoy, podemos encontrar su nuevo borrador desde la página web oficial de OWASP. Ya que el listado preliminar para este 2021 ya fue hecho público, a la espera de que la comunidad de su visto bueno o aporte sus valiosos comentarios de retroalimentación.

¿Cuáles son los cambios?

Entre los cambios podemos destacar los siguientes:

•   La rotura del control de acceso pasa al número 1 (estaba en el 5º puesto). Este problema ocurre cuando las restricciones sobre lo que un usuario puede hacer no están convenientemente establecidas. Resulta curioso – pero no sorprendente – que sea uno de los principales problemas identificados.

•   El uso de componentes con vulnerabilidades conocidas sufre un leve renombre y sube del puesto 9 al puesto 6. El cambio de nombre refleja, eso sí, que no sólo se consideren componentes vulnerables como tales, sino también aquellos anticuados, sin soporte, descontinuados. Componentes que, de hecho, forman parte del grupo de componentes vulnerables pero sin remedio.

•   Las inyecciones descienden al tercer puesto, y los XSS se incluyen como parte de éstas, perdiendo su lugar visible diferenciado.

•   En el segundo puesto se sitúa la exposición de datos sensibles, que cambia de nombre para hacer hincapié en los fallos criptográficos que pueden traer consigo este tipo de problemas. Cae del segundo puesto al séptimo los problemas debidos a la rotura de la autenticación.
 
•   Nuevas incorporaciones. Las dos primeras categorías que se listan a continuación ya estaban presentes de una u otra forma en el discurso OWASP, pero con este nuevo listado se hacen más notorias.

 
o   Diseño inseguro. Fallos por diseño. Pese a que la seguridad desde el diseño es una necesidad largamente discutida, aún hoy día hay diseños que son inseguros, y asegurar un componente a posteriori puede ser mucho más costoso. Esto, unido a que dichos componentes exponen los sistemas en los que se integran hace que sean fuente de problemas.
 
o   Fallos de integridad de datos y software. Esta nueva categoría no parte de cero, incluyendo la deserialización insegura en su haber. Se centra la nueva categoría en problemas derivados de la falta de verificación de integridad.

o   SSRF (Server-side request forgery). Mientras que pareciera que la nueva clasificación OWASP quiere mantener ataques específicos bajo el paraguas de términos generales, el último en la lista es uno de ellos. Refiere a un tipo de vulnerabilidad que permite a un atacante introducir peticiones HTTP hacia un dominio arbitrario. Puede ser dominio externo a la organización o interno. Desde OWASP señalan que esta categoría se incluye, no porque los datos lo avalen, sino por la insistencia de miembros que aseguran que es un problema en aumento.


Podríamos seguir hablando largo y tendido del nuevo listado de categorías, pero por ahora lo cierto es que sigue estando en fase de borrador.

OWASP-Top 10 es un gran referente, pero siempre hay que tener la mente abierta.

Fuente:
Welcome to the OWASP Top 10 – 2021. OWASP.
You are not allowed to view links. Register or Login

53
You are not allowed to view links. Register or Login

Un usuario de un foro de hackers está vendiendo una base de datos que supuestamente contiene 3.800 millones de registros de usuarios.

La base de datos se compiló combinando 3.800 millones de números de teléfono de una "base de datos secreta" de Clubhouse previamente extraída con los perfiles de Facebook de los usuarios.

La compilación parece incluir nombres, números de teléfono y otros datos.

El post está pidiendo 100.000 dólares por la base de datos completa de 3.800 millones de entradas, pero también está dispuesto a dividir el archivo en porciones más pequeñas para compradores potenciales.

Según la publicación creada el 4 de septiembre, la base de datos también contiene perfiles de usuarios que no tienen cuentas de Clubhouse, cuyos números de teléfono podrían haber sido adquiridos por actores de amenazas debido a la insistencia pasada de la compañía en que los usuarios compartan sus listas de contactos completas con Clubhouse para utilizar la plataforma de redes sociales.

You are not allowed to view links. Register or Login

Antes de esta compilación, los números de teléfono de Clubhouse supuestamente extraídos, que se publicaron sin ninguna información adicional sobre los usuarios, eran prácticamente inutil para los actores de amenazas. Como resultado, la anterior  base de datos por scraped de Clubhouse eliminada se marcó como una "mala muestra" en el foro y no despertó el interés de los estafadores.

Ahora, sin embargo, la compilación ampliada, si es genuina, “podría servir como una mina de oro para los estafadores”. Estos obtendrían acceso a mucha más información contextual sobre los propietarios de los números de teléfono filtrados, incluidos nombres de usuario, ubicaciones basadas en sufijos de números de teléfono, tamaños de red de su Clubhouse y perfiles de Facebook.

Esto significa que sería mucho más fácil para los estafadores ejecutar campañas masivas localizadas y crear estafas personalizadas basadas en los datos obtenidos de los perfiles de Facebook de las víctimas potenciales.

La gente tiende a compartir demasiado la información en las redes sociales. Esto podría brindar información a los estafadores sobre qué vector emplear para ejecutar sus estafas con éxito, por ejemplo, llamando a las personas con la información que obtuvieron de su cuenta de Facebook .

Como resultado, el post que supuestamente expandió la compilación espera sacar provecho de un viejo scrape  y pedir un precio más alto.

Fuente:
Cyber News
You are not allowed to view links. Register or Login

54
You are not allowed to view links. Register or Login

Los investigadores de seguridad han revelado una debilidad sin parchear en la Tabla Binaria de la Plataforma de Microsoft Windows (WPBT) que afecta a todos los dispositivos basados en Windows desde Windows 8 y que podría ser potencialmente explotada para instalar un rootkit y comprometer la integridad de los dispositivos.

"Estas fallas hacen que todos los sistemas Windows sean vulnerables a ataques fáciles de diseñar que instalan tablas fraudulentas específicas de proveedores", dijeron investigadores de Eclypsium en un informe publicado el lunes. "Estas tablas pueden ser explotadas por atacantes con acceso físico directo, con acceso remoto o mediante cadenas de suministro del fabricante. Más importante aún, estas fallas a nivel de placa base pueden obviar iniciativas como Secured-core debido al uso ubicuo de ACPI [Advanced Configuration and Power Interfaz] y WPBT".

WPBT, introducido con Windows 8 en 2012, es una función que permite que "el firmware de arranque proporcione a Windows un binario de plataforma que el sistema operativo puede ejecutar".

En otras palabras, permite a los fabricantes de PC apuntar a ejecutables portátiles firmados u otros controladores específicos del proveedor que vienen como parte de la imagen ROM del firmware UEFI de tal manera que se puede cargar en la memoria física durante la inicialización de Windows y antes de ejecutar cualquier código del sistema operativo.

El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan incluso en escenarios donde el sistema operativo ha sido modificado, formateado o reinstalado. Pero dada la capacidad de la funcionalidad para que dicho software "se adhiera al dispositivo indefinidamente", Microsoft advirtió sobre posibles riesgos de seguridad que podrían surgir del mal uso de WPBT, incluida la posibilidad de implementar rootkits en máquinas con Windows.



"Debido a que esta característica brinda la capacidad de ejecutar software del sistema de manera persistente en el contexto de Windows, es fundamental que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones de explotación", señala el fabricante de Windows en su documentación. "En particular, las soluciones WPBT no deben incluir malware (es decir, software malicioso o software no deseado instalado sin el consentimiento adecuado del usuario)".

La vulnerabilidad descubierta por la empresa de seguridad del firmware empresarial se basa en el hecho de que el mecanismo WPBT puede aceptar un binario firmado con un certificado revocado o caducado para omitir por completo la verificación de integridad, lo que permite a un atacante firmar un binario malicioso con un certificado disponible pero caducado y ejecutar código arbitrario con privilegios de kernel cuando el dispositivo se inicia.

En respuesta a los hallazgos, Microsoft recomendó el uso de una política de Control de aplicaciones de Windows Defender (WDAC) para controlar estrictamente qué binarios pueden ejecutarse en los dispositivos.

La última divulgación sigue a un conjunto separado de hallazgos en junio de 2021, que involucró un conjunto de cuatro vulnerabilidades, llamadas colectivamente Desconexión de BIOS, que podrían usarse para obtener ejecución remota dentro del firmware de un dispositivo durante una actualización de BIOS, lo que resalta aún más la complejidad y desafíos involucrados en asegurar el proceso de arranque.

"Esta debilidad puede explotarse potencialmente a través de múltiples vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y mediante múltiples técnicas (por ejemplo, cargador de arranque malicioso, DMA, etc.)", dijeron los investigadores. "Las organizaciones deberán considerar estos vectores y emplear un enfoque de seguridad en capas para garantizar que se apliquen todas las correcciones disponibles e identificar cualquier compromiso potencial para los dispositivos".

Fuente
:
The Hacker News
You are not allowed to view links. Register or Login

55
You are not allowed to view links. Register or Login

Investigadores de SonaType descubrieron un ataque de bomba lógica en el repositorio del índice de paquetes de Python (PyPI), que es un repositorio de código para los desarrolladores de Python y parte de la cadena de suministro de software. Los atacantes tenían como objetivo que los desarrolladores de software incluyeran esas bombas en sus aplicaciones por accidente.

Las herramientas de análisis detectan y bloquean constantemente componentes de software falsificados y maliciosos antes de que lleguen a las cadenas de suministro de software modernas. De hecho, desde su lanzamiento en 2019, Release Integrity ha identificado más de 12.000 paquetes de código abierto npm sospechosos, muchos de los cuales han aparecido en los titulares una y otra vez.

Los investigadores encontraron seis payloads, todas subidas por un solo usuario: "nedog123". El atacante los diseñó para que se ejecutaran durante la instalación de un paquete. La gente ha descargado colectivamente estas "bombas" unas 5.000 veces. Algunas de las bombas lógicas eran typosquating, diseñadas para engañar a las personas haciéndoles creer que eran programas normales. Su propósito: secuestrar los sistemas de desarrollo para hacer criptominería.

Este evento es complejo porque combina tres tipos diferentes de ataques: bombas lógicas, cryptojacking y ataques a la cadena de suministro de software. Sirve como un recordatorio para que todas las empresas y agencias se protejan contra los tres tipos de ataques.

La amenaza que representan este tipo de bombas lógicas y los ataques de malware en la cadena de suministro requieren un enfoque de toda la industria por parte de los desarrolladores, los repositorios y el mundo más amplio de herramientas y especialistas de seguridad.

Desactivar una bomba lógica

Una bomba lógica es un conjunto de instrucciones que se ejecutan bajo ciertas condiciones, generalmente con intenciones maliciosas. Un desafío con los ataques con bombas lógicas es que no hacen nada al principio. No se puede encontrarlas buscando un comportamiento extraño mientras están inactivos. Otra es que varían en forma y función entre sí. Evitar patrones conocidos ayuda a los actores malintencionados a plantar bombas lógicas que las víctimas no pueden detectar fácilmente.

Pueden hacer cualquier cantidad de cosas, como robar, borrar o corromper datos, bloquear sistemas o iniciar procesos de criptominería.
Un tipo común se llama bomba de tiempo, lo que significa que la condición de activación del malware es una fecha y una hora. Otros se activan después de algún evento o actividad específica en la máquina donde está instalado. Los atacantes pueden instalar este tipo de malware en múltiples sistemas dentro de una organización, y las muchas instancias aumentan la posibilidad de que la carga útil maliciosa tenga el efecto deseado. El disparador de tiempo asegura que el disparo de una bomba no alertará a los profesionales de seguridad sobre la existencia de las otras.

Fuente:
Security Intelligence
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

56
You are not allowed to view links. Register or Login

El mercado clandestino y el foro de piratas informáticos, RaidForums, expuso recientemente páginas internas de su sitio web, destinadas únicamente a los miembros del staff.

RaidForums es un mercado de violación de datos donde los actores de amenazas a menudo venden o filtran volcados de datos obtenidos ilícitamente.

RaidForums es un lugar clandestino donde las bases de datos privadas obtenidas de violaciones de datos, exploits de vulnerabilidades y conjuntos de información de tarjetas de crédito son comercializadas ilegalmente por actores de amenazas o, a veces, se filtran de forma gratuita.

En RaidForums, la sección "Staff General" generalmente está restringida solo a miembros internos del staff, pero en un giro irónico del destino, esta sección privada se dejó accidentalmente abierta para que cualquiera la viera.

Según lo visto, algunas de las páginas privadas, tan recientes como el 20 de septiembre, fueron indexadas por Google:

You are not allowed to view links. Register or Login

La publicación indexada, que se muestra a continuación, contiene "consejos para la seguridad de la cuenta" orientados a comunicar las mejores prácticas de seguridad a los administradores y moderadores del foro.

La nota contiene consejos sobre el uso de administradores de contraseñas, la habilitación de la autenticación de dos factores para una cuenta y el uso de VPN.

You are not allowed to view links. Register or Login

"Cree una personalidad falsa, utilícela cuando se registre en servicios que soliciten esta información, o incluso simplemente use la información de celebridades o personas al azar", sugiere la nota publicada por un administrador de RaidForums.

Otros temas vistos en el área privada han incluido discusiones sobre prohibiciones, el lugar preferido para albergar el chat del personal y solicitudes diversas.

You are not allowed to view links. Register or Login

Se observó una marca de tiempo en la parte inferior de la página que indica que la hora actual es "20 de septiembre de 2021, 05:17 a. M.", Lo que indica que la página se dejó expuesta hasta esta semana.

Sin embargo, en el momento de hoy, la sección "Staff General"está, una vez más, restringida al personal autorizado.

Aquí en Underc0de nunca fuera tal accidente posible… pues tenemos gatos en el staff…

Y tampoco nos hacemos eco de chismes, “lleva y trae”,”dimes y deretes”, o “cuentas y cuentos” de Foros  asociados en intereses, los cuales apreciamos.

No obstante de no gustarnos el chisme… declaramos que:

You are not allowed to view links. Register or Login

57
You are not allowed to view links. Register or Login

Recientemente, Microsoft ha anunciado el lanzamiento de inicios de sesión sin contraseña para todos los usuarios.

 La nueva función liberará a los usuarios de la molestia de escribir contraseñas. En cambio, los usuarios pueden optar por otros métodos para iniciar sesión de forma segura.
 
La mayoría de los usuarios crean sus propias contraseñas para facilitar la memoria. Por lo tanto, no importa cuánto lo intenten los usuarios, las contraseñas siguen siendo vulnerables al registro de teclas, la fuerza bruta y otras amenazas.

Al profundizar en este movimiento, Microsoft declaró que tales contraseñas son vulnerables por dos razones principales. En primer lugar, los requisitos de complejidad de las contraseñas actuales dificultan a los usuarios la gestión de sus cuentas. En su mayoría, los usuarios simplemente abandonan el uso de una cuenta si olvidan la contraseña en lugar de restablecerla.
 
Eso no solo es un problema para los usuarios, sino también una pérdida de clientes para los servicios respectivos.

En segundo lugar, las contraseñas fáciles de recordar también son fáciles de piratear para los delincuentes.
 
Como Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, mencionó en la publicación:

Un vistazo rápido a las redes sociales de alguien puede dar a cualquier pirata informático una ventaja para iniciar sesión en sus cuentas personales. Una vez que esa combinación de contraseña y correo electrónico se ha visto comprometida, a menudo se vende en la dark web para su uso en cualquier número de ataques.

Es por eso que Microsoft ha ideado los inicios de sesión sin contraseña para los usuarios.

Con esta función, los usuarios pueden iniciar sesión en sus cuentas mediante llaves de seguridad, aplicaciones de autenticación y códigos de verificación.

Habilitar esta función requiere configuraciones manuales; los usuarios pueden encontrar esta opción siguiendo esta ruta después de iniciar sesión en sus cuentas de Microsoft:

Opciones de seguridad avanzadas> Opciones de seguridad adicionales> Cuenta sin contraseña> Activar

Una vez habilitado, los usuarios deberán volver a confirmar la eliminación de la contraseña de la cuenta para activar los inicios de sesión sin contraseña.
 
No obstante, los usuarios siempre pueden revertir este cambio.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

58
You are not allowed to view links. Register or Login

Google restablecerá automáticamente los permisos de aplicaciones de Android no utilizadas durante meses en millones de dispositivos móviles. Se trata de una ampliación de la función equivalente que se estrenó con Android 11.


Los permisos de aplicaciones de Android es un asunto que lleva coleando prácticamente desde que se lanzó el sistema móvil, ante lo que ha sido un delicado equilibrio entre la facilidad de uso y la seguridad. Si su simplificación lleva a un mayor riesgo, dificultar su gestión molesta a los usuarios y la dejadez termina perjudicando seguridad y privacidad.


Con Android 11, el gigante de Internet introdujo una opción de restablecimiento automático de permisos que ayuda a mejorar la privacidad del usuario al restablecer automáticamente los permisos de una app para acceder a funciones sensibles como el almacenamiento o la cámara si la aplicación en cuestión no se utiliza durante meses. Algo que ocurre más frecuentemente de lo que nos pensamos.


La expansión de esta función entrará en funcionamiento a finales de este año y se habilitará en teléfonos Android con servicios de Google Play que ejecutan Android 6.0 (nivel de API 23) o superior. Según Google, debería cubrir "miles de millones de dispositivos más" ya que el lanzamiento de Marshmallow sucedió el 5 de octubre de 2015 y desde entonces la venta de dispositivos ha sido multimillonaria.


"Algunas aplicaciones y permisos están automáticamente exentos de revocación, como las aplicaciones activas de administración de dispositivos que utilizan las empresas y los permisos fijados por la política empresarial", señaló Google. Si bien el restablecimiento automático de permisos se activará de forma predeterminada para las aplicaciones destinadas a Android 11 (nivel de API 30) o superior, la nueva función debe habilitarse manualmente para las aplicaciones que tienen como objetivo los niveles de API 23 a 29.


Estos cambios son parte de una serie de características de seguridad y privacidad de cara al usuario que Google ha lanzado en los últimos meses como la de no permitir que los usuarios inicien sesión en sus cuentas de Google desde dispositivos Android con versiones 2.3.7 o inferiores a partir del 27 de septiembre de 2021.


A principios de este año, Google anunció planes para agregar etiquetas de privacidad al estilo de iOS a las listas de aplicaciones en Play Store que resaltan los diversos tipos de datos que se recopilan y cómo se usan, además de limitar el acceso de las aplicaciones. En junio de 2021, Google también se movió para quitar las identificaciones de publicidad de los usuarios al optar por no personalizar los anuncios en la configuración de Android como parte de una actualización de los servicios de Google Play.


A pocas semanas del lanzamiento de Android 12 es interesante que Google se preocupe de mejorar la seguridad de versiones anteriores de Android incluso aunque ya no estén soportadas por los fabricantes de dispositivos.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

59
You are not allowed to view links. Register or Login

El fabricante de chips AMD ha solucionado recientemente una vulnerabilidad en el controlador Platform Security Processor (PSP) utilizadas por múltiples arquitecturas de CPU, registrada como CVE-2021-26333, que podría permitir a un atacante obtener información sensible del sistema operativo. El fallo fue reportado por Kyriakos Economou de ZeroPeril.

El primer problema es una vulnerabilidad de seguridad del tipo de divulgación de información (“information disclosure”), y el segundo es un fallo del tipo de fuga de memoria (“memory leak”) debido a no liberar de forma adecuada todos los recursos de memoria asignados en la solicitud.

Si bien el alcance de los productos afectados inicialmente no incluía la Serie 5000 y Threadripper de procesadores Ryzen, estos fueron confirmados e incluidos por AMD y notificados en su boletín de seguridad.

Impacto

Los investigadores consiguieron filtrar varios gigabytes de páginas físicas no inicializadas asignando y liberando bloques de 100 asignaciones continuamente hasta que el sistema no era capaz de devolver un buffer de páginas físicas contiguo.

El contenido de esas páginas físicas variaba desde objetos del kernel y direcciones de colas arbitrarias que pueden usarse para eludir mitigaciones de explotación como KASLR, e incluso mapeos de claves de registro de \Registry\Machine\SAM que contienen hashes NTLM de credenciales de autenticación de usuarios que pueden usarse en etapas posteriores del ataque.

Por ejemplo, estos pueden ser utilizados para robar las credenciales de un usuario con privilegio administrativo y/o ser utilizados en ataques del estilo “pass-the-hash” para obtener más acceso dentro de una red

Mitigación

Como AMD indica en su boletín de seguridad, se recomienda actualizar al controlador (“driver”) AMD PSP 5.17.0.0 a través de Windows Update o actualizando el controlador(“driver”) de chipset AMD 3.08.17.735.

Fuente:
AMD
You are not allowed to view links. Register or Login
Vía:
Hacking Land
You are not allowed to view links. Register or Login

60
Noticias Informáticas / Edward Snowden alerta a los clientes de ExpressVPN
« en: Septiembre 20, 2021, 10:55:02 pm »
You are not allowed to view links. Register or Login

La semana pasada, la firma israelí de ciberseguridad  Kape Technologies adquirió las principales redes privadas virtuales de la industria, ExpressVPN, como parte de un acuerdo de $ 936 millones. Kape anunció que la adquisición duplicará con creces su base total de clientes, de casi 3 millones de clientes a más de 6 millones.

Edward Snowden expresó su preocupación por el servicio VPN ofrecido por ExpressVPN y advirtió a los usuarios que dejen de usarlo.

You are not allowed to view links. Register or Login

¿Por qué Snowden está preocupado por ExpressVPN?

You are not allowed to view links. Register or Login

La semana pasada, tres ex empleados de la NSA (Marc Baier, (49), Ryan Adams, (34) y Daniel Gericke, (40)) firmaron un acuerdo de enjuiciamiento diferido que restringe sus actividades y empleos futuros.

El trío ha trabajado como hackers a sueldo para la empresa de ciberseguridad DarkMatter de los Emiratos Árabes Unidos entre enero de 2016 y noviembre de 2019.

El Departamento de Justicia de EE. UU. exige el pago de $ 1,685,000 en multas ($ 750,000, $ 600,000 y $ 335,000, respectivamente) para resolver su investigación sobre violaciones de las leyes de control de exportaciones de EE. UU., fraude informático y fraude de dispositivos de acceso.

Los tres sospechosos trabajaban en la empresa de los Emiratos Árabes Unidos y desarrollaron al menos dos exploits de iOS sin hacer clic denominados Karma y Karma 2.

El Departamento de Justicia también ordenó a los ex empleados de inteligencia que cooperaran con el departamento pertinente y los componentes del FBI; también están condenados a una prohibición de por vida de futuras autorizaciones de seguridad estadounidenses.

Snowden probablemente está preocupado por el hecho de que uno de los tres ex empleados de la NSA, Daniel Gericke, fuera el CIO de ExpressVPN.

En 2019, las agencias de Reuter publicaron un informe que detallaba la actividad de: "un equipo secreto de hackers mercenarios estadounidenses" que se unió al Proyecto Raven como parte de un equipo clandestino de expertos que ayudó a los Emiratos Árabes Unidos a llevar a cabo un programa de vigilancia y realizar ataques y ejecutar operaciones de piratería.

ExpressVPN publicó una respuesta oficial que confirmó la acusación sobre Daniel Gericke pero que señaló que el experto participó en el Proyecto Raven antes de que se uniera a la empresa en 2019.

Nos parece profundamente lamentable que las noticias de los últimos días sobre Daniel Gericke hayan creado preocupaciones entre nuestros usuarios y hayan dado motivos para cuestionar nuestro compromiso con nuestros valores fundamentales.

 Para ser completamente claros, por mucho que valoramos la experiencia de Daniel y cómo nos ha ayudado a proteger a los clientes, no toleramos Project Raven.

La vigilancia que representa es completamente opuesta a nuestra misión.

Cuando contratamos a Daniel en diciembre de 2019, conocíamos sus antecedentes: 20 años en ciberseguridad; primero con el ejército de EE. UU.; y con varios contratistas del gobierno; luego con una empresa estadounidense que brinda servicios de inteligencia antiterrorista a EE. UU. Y a su aliado, los Emiratos Árabes Unidos; y finalmente con una empresa de Emiratos Árabes Unidos haciendo el mismo trabajo.

No conocíamos los detalles de ninguna actividad clasificada, ni de ninguna investigación antes de su resolución este mes. Pero sí sabíamos lo que habíamos construido aquí en ExpressVPN: una empresa donde cada sistema y proceso está reforzado y diseñado para minimizar riesgos de todo tipo, tanto externos como internos.
"

ExpressVPN agregó que ha implementado múltiples medidas de seguridad para implementar un servicio seguro que protege la privacidad de sus usuarios.

Si bien estamos seguros de que nuestro compromiso con esta misión es inquebrantable, entendemos que las acciones hablan más que las palabras.

Para empezar, aumentaremos la cadencia de nuestras auditorías de terceros existentes para recertificar anualmente nuestro pleno cumplimiento de nuestra Política de privacidad, incluida nuestra política de no almacenar ninguna actividad o registros de conexión.

Este es solo un primer paso y continuaremos esforzándonos por ganarnos su confianza
” – ExpressVPN

Fuente:
Security Affairs
You are not allowed to view links. Register or Login

Páginas: 1 2 [3] 4 5 ... 28