Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Mensajes - AXCESS

Páginas: 1 2 [3] 4 5 ... 71
41
You are not allowed to view links. Register or Login

Suena como una escena de un thriller de espías. Un atacante atraviesa las defensas de TI de una planta de energía nuclear y la alimenta con datos falsos y realistas, engañando a sus sistemas informáticos y al personal para que piensen que las operaciones son normales. Luego, el atacante interrumpe la función de la maquinaria clave de la planta, lo que hace que funcione mal o se descomponga. Para cuando los operadores del sistema se dan cuenta de que han sido engañados, ya es demasiado tarde, con resultados catastróficos.

El escenario no es ficticio; sucedió en 2010, cuando se utilizó el virus Stuxnet para dañar centrifugadoras nucleares en Irán. Y a medida que aumentan el ransomware y otros ciberataques en todo el mundo, los operadores del sistema se preocupan más por estos sofisticados ataques de "inyección de datos falsos". En las manos equivocadas, los modelos informáticos y el análisis de datos, basados en inteligencia artificial, que garantizan el buen funcionamiento de las redes eléctricas, las instalaciones de fabricación y las centrales eléctricas de hoy en día, podrían volverse contra sí mismos.

Un grupo de investigadores de la Universidad de Purdue, en Estados Unidos, ha creado un algoritmo autoconsciente que corrige por su cuenta los fallos ocasionados por los delincuentes informáticos.
 
Aplicada a un sistema de seguridad, esta solución es capaz de advertir un intento de falsificación o corrupción de datos sin necesidad de ayuda humana. Tendría amplias aplicaciones en múltiples campos, considerando que los procesos informáticos dominan prácticamente todas las áreas de la gestión industrial, comercial o institucional.

Es más que evidente la dependencia que tiene la sociedad actual de todo tipo de aplicaciones informáticas. Satélites, centrales nucleares y de generación eléctrica, instalaciones de producción hidrocarburífera, transporte, entes estatales y empresas de servicios sustentan su actividad a partir de la eficacia en la gestión de datos informáticos.

Un fallo en estos sistemas no solamente puede complicar la operatoria o generar pérdidas económicas: en algunos casos, como por ejemplo una central nuclear, puede desembocar en una verdadera tragedia.

La consciencia de los algoritmos

Según una nota de prensa, un equipo de especialistas que ha analizado diversos estudios publicados en varios revistas científicas, podría tener la llave para evitar la acción de los ciberdelincuentes que, por causas políticas o económicas, puedan poner en jaque la seguridad de los datos. Denominado como "conocimiento encubierto", el enfoque crea un algoritmo que conoce al más mínimo detalle los sistemas que protege, ya que es "consciente" de su propia tarea y de la red que integra.

"Lo llamamos conocimiento encubierto", dijo Abdel-Khalik, profesor asociado de ingeniería nuclear e investigador del Centro de Educación e Investigación de Purdue en Aseguramiento y Seguridad de la Información (CERIAS). "Imagina tener un montón de abejas revoloteando a tu alrededor. Una vez que te mueves un poco, toda la red de abejas responde, por lo que tiene ese efecto mariposa. Aquí, si alguien mete el dedo en los datos, todo el sistema sabrá que hubo una intrusión y podrá corregir los datos modificados".

La innovación utiliza el "ruido de fondo" que existe dentro de los flujos de datos de estos sistemas para detectar los fallos. Se trata de espacios que quedan libres en los millones de cálculos que realizan los sistemas: en realidad, de toda esa inmensa cantidad de operaciones matemáticas solo se utiliza una mínima fracción en los cálculos básicos que afectan los resultados y las predicciones de los modelos.

Sin embargo, todas esas variables no esenciales siguen allí. El nuevo algoritmo las utiliza para producir señales que ordenan a los componentes individuales de un sistema a verificar la autenticidad de los datos que ingresan. Por ejemplo, cualquier mínima variación en la temperatura de un equipo logra ser detectada de inmediato y analizada para evaluar si ha sido producida por algún fallo en los datos.

Esta nueva solución también protege a los sistemas de las copias perfectas. Si un potencial atacante ha logrado crear una reproducción exacta de un modelo informático y planea introducir datos falsos haciéndose pasar por el modelo original, el algoritmo "autoconsciente" lo advertirá inmediatamente y evitará la intromisión. Si hay algún tipo de daño, lo corregirá en cuestión de segundos sin requerir ninguna clase de intervención humana.

En el mismo sentido, los expertos destacaron que la aplicación del nuevo algoritmo también permite evitar los inconvenientes ocasionados con el acceso a claves de seguridad por parte de personas que, por alguna razón, pasan abruptamente de ser parte de una organización a convertirse en virtuales enemigos.
 
Si esas personas conocen las claves, tampoco podrán acceder a los datos: al ser autoconsciente, el algoritmo emplea "firmas de datos" o formas de gestionar y verificar la información, de tal forma que nadie podría anticiparla o recrearla. Estos datos en constante cambio impiden que incluso alguien con acceso interno pueda descifrar los códigos necesarios.

Cara al futuro, la nueva solución podrá integrarse en avanzados sistemas de Inteligencia Artificial orientados a la seguridad informática, aportando un nivel de eficacia sin precedentes hasta el momento en esta clase de modelos.

¿Habrá llegado el fin para los siempre ingeniosos y creativos delincuentes informáticos?

Fuente:
Perdue University News
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

42
Deshabilitar el Firewall de Router no es buena idea. Darle el permiso del puerto que usa la extensión es otra cosa.

Irse por la vía fácil a veces es costoso.

43
Dudas y pedidos generales / Re: Ayuda sobre tarjeta inalámbrica RTL8187L
« en: Octubre 12, 2021, 12:35:07 am »
Tengo un wifi con ese chipset, y aunque no suelo usarlo en el Kali Linux, siempre los Realtek “son peludos” con el driver cuando tienen ocasión.
En fin, le recomiendo desinstalar el driver y volverlo a compilar (buscar info en internet que hay de sobra). Al parecer  hubo una desconfiguración del driver del wifi.

Pudiera ser otra cosa, pues en Máquinas Virtuales, Kali Linux, y compilar cualquier script para wireless (según las dependencias, librerías que use, etc.) es una historia de horror y misterio.

Me da la impresión que es desconfiguración, y para ello desinstalar y volver a compilar.

44
Dudas y pedidos generales / Re: Busco asesor/colaborador/ayudante.
« en: Octubre 12, 2021, 12:26:39 am »
Hola

Me parece que tiene muchas cosas en mente…

Una manera práctica e inteligente sería desglosarlas en temáticas y plan de estudio.

También según sea su experiencia ir paso a paso con las temáticas.

En el Foro hay mucha base de datos instructiva que ver. La consulta de las mismas, siempre es engorroso para los que no desean usar el buscador,  pero algunos prefieren la parte fácil de que le asistan en todo el contenido que se desee buscándoselo. Esto es una observación de experiencia por el tiempo que he estado por aquí.

Realmente siempre tienen por respuesta el silencio, pues no se concretan a dudas particulares o específicas.
Muchos de los que por aquí pasan tienen el tiempo reducido por responsabilidades, y otros encuentran aburrido invertir en este tipo de ayuda tan general o voluminosa.

En fin, es una observación y recomendación: buscar las temáticas de interés, trazarse un plan de estudio, e ir consultando, aquí, allá, donde sean gentiles.

Suerte.

45
Off Topic / Los mejores Memes de informática en Underc0de
« en: Octubre 11, 2021, 03:53:00 pm »
You are not allowed to view links. Register or Login

Cuentan que la vida no tendría sentido humano sin uno de sus ingredientes esenciales: la risa.
 
Nada más complace a un hacker que reírse.
Muchas veces a través de la inteligencia y la distinción de que solo él, tal vez otros similares en arte y oficio, entiendan lo gracioso y siempre irónico de las bromas que acomete.

Los hackers adoran los Memes. En especial si están relacionados con el gremio y profesión.

Pues con ese pensamiento se ha creado este post.

Una colaboración de tres Moderadores Globales que le invitan a, por un instante, sonreír, y evocar esa luz creativa de simpatía, inspiración y gracia que llevan dentro. Y que ansiamos conocer.

Ponga aquí su Meme favorito relacionado con este mundo que nos une: la informática.

Todos los Memes serán evaluados en originalidad y calidad, para escoger al Meme más gracioso de Underc0de que, se dará a conocer como el ganador a través de las redes sociales: Facebook, Twitter, etc. Este post estará vigente en concurso hasta el 31 de octubre del 2021, día festivo de Halloween.

Se corroboran para evitar los plagios, así como se evaluará la calidad visual y su impacto comunicacional.

No obstante el buscarse al más gracioso, son válidos todos los Memes, ya sean de propia autoría (tendrán preferencia para el concurso) o no.
Comenten cuál les va gustando más. Y cualquier semejanza con la realidad… no es coincidencia…

Al fin y al cabo, el objetivo es reírnos juntos y compartir este breve instante que, en intimidad de apreciación, formará un recuerdo grato y anécdota que evocar.

Como el humor es una cualidad sujeta a la apreciación, cultura, educación, personalidad, y experiencias, incluso puede tener matices extremos, se ruega cierta gentileza con el humor vulgar y soez  que tanto afean la vida, e identifican a los espíritus mediocres e inválidos en originalidad.

Para romper el hielo, hemos seleccionado entre nosotros tres, Memes de internet; algunos son de autoría, otros no, pero con la finalidad de motivarle en sonrisas y con suerte, inspirarle a que comparta el suyo favorito, o materialice uno que nos distinga en simpatía en las redes sociales.

Atentamente:

@Alex
@DtxdF
@AXCESS

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

46
Dudas y pedidos generales / Re: ayuda con downloadhelper para firefox
« en: Octubre 06, 2021, 03:55:13 pm »
Una vía de ver qué sucedió:
A través del Firewall que usa en su Pc ver qué puerto usa la extensión para su servicio.

Corroborar que el nuevo router tenga en su firewall el permiso para el uso de ese puerto. Si es que tiene acceso administrativo al router por ser propietario.

47
You are not allowed to view links. Register or Login

Las vulnerabilidades de prueba de concepto (PoC) para el servidor web Apache de día cero aparecieron en Internet y revelaron que la vulnerabilidad es mucho más crítica de lo que se reveló originalmente.

Estos exploits muestran que el alcance de la vulnerabilidad trasciende el recorrido de la ruta, lo que permite a los atacantes la capacidad de ejecución remota de código (RCE).

Apache sigue siendo uno de los servidores web más populares con más del 25% de participación de mercado.

Desde el recorrido de la ruta hasta la ejecución remota de código

La vulnerabilidad de recorrido de ruta en el servidor HTTP de Apache, reportada recientemente, ha sido explotada activamente en la naturaleza antes de que el proyecto Apache fuera notificado de la falla en septiembre, o tuviera la oportunidad de parchearlo.

Pero la divulgación de ayer de la falla transversal de la ruta del servidor web Apache, rastreada como CVE-2021-41773, fue seguida por exploits PoC que aparecieron rápidamente en Internet.

Pero, mientras se desarrollaban y modificaban los exploits de PoC, otro descubrimiento salió a la luz.

Los atacantes pueden abusar de los servidores Apache que ejecutan la versión 2.4.49 no solo para leer archivos arbitrarios sino también para ejecutar código arbitrario en los servidores.

El investigador de seguridad Hacker Fantastic señaló que la falla pronto se convierte en una vulnerabilidad de ejecución remota de código (RCE) en un sistema Linux si el servidor está configurado para admitir CGI a través de mod_cgi.

Si un atacante pudiera cargar un archivo a través de un exploit de ruta transversal y establecer permisos de ejecución en el archivo, ahora se ha otorgado la capacidad de ejecutar comandos con los mismos privilegios que el proceso de Apache.

Will Dormann, analista de vulnerabilidades de CERT, y el investigador de seguridad Tim Brown, también han informado del éxito con la ejecución de código en máquinas con Windows.

Mientras jugaba con el PoC simple en su servidor de Windows, Dormann se dio cuenta de que acceder a un EXE a través del exploit de recorrido de ruta, a su vez, lanzaba el binario en su servidor, en lugar de simplemente descargar el contenido del EXE.

"No estaba haciendo nada inteligente más que simplemente reproducir esencialmente el PoC público en Windows cuando vi que se generaba calc.exe", dice Dormann, quien además confirmó este comportamiento.

"¿CVE-2021-41773 tenía un alcance incorrecto cuando se publicó?" conjeturó Dormann, señalando la nota en el aviso original de Apache de que la explotación de la falla, como mucho, filtraría el código fuente de los scripts, en lugar de ejecutar los scripts.

No todas las instalaciones son vulnerables

Aunque las consultas de Shodan ejecutadas muestran que más de 112.000 servidores Apache están ejecutando la versión vulnerable 2.4.49, no todos los servidores pueden estar en riesgo.

El éxito de los exploits de recorrido de ruta depende de una variedad de factores, incluido si "mod-cgi" está habilitado en el servidor y la opción predeterminada "Requerir todos los denegados" no se encuentra en la configuración.

Pero, en caso de que se apliquen todos los elementos de los criterios mencionados anteriormente, existe un alto potencial de que la vulnerabilidad evolucione hacia la ejecución de código arbitrario:

"Nuevamente, Apache debe ser la versión vulnerable 2.4.49, y mod-cgi está habilitado, y debe faltar el predeterminado Requerir todo denegado. Pero si ambos son verdaderos, entonces CVE-2021-41773 es como RCE como sea posible ", explica Dormann.

Los administradores del servidor deben asegurarse de que sus instancias de servidor HTTP Apache estén ejecutando versiones parcheadas 2.4.50 y superiores.

El analista de inteligencia de amenazas Florian Roth ha proporcionado reglas Sigma para ayudar a detectar un exploit activo para el día cero.

Rule: Apache Path Traversal - CVE-2021-41773 #2124
You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

48
Dudas y pedidos generales / Re: ayuda con downloadhelper para firefox
« en: Octubre 06, 2021, 01:30:56 pm »
Con respecto a si es operativo:

Según Mozilla está hasta avalado (ellos califican como “recomendada” a las extensiones probadas y seguras)

You are not allowed to view links. Register or Login

Ahora bien,  su metodología de funcionamiento, y las configuraciones que tenga en su pc, el internet que usa, etc., etc, ... ya es otra historia.


49
JAJAJA!!

Me refería a mí, que no soy dado a ensamblar malware. Mire el meme del gato.

Muchas gracias por el ofrecimiento, lo tendré presente.







50
You are not allowed to view links. Register or Login

Google ha lanzado las actualizaciones de seguridad de octubre de Android, que abordan 41 vulnerabilidades, todas con una gravedad entre alta y crítica.

El día 5 de cada mes, Google lanza el parche de seguridad completo para el sistema operativo Android que contiene tanto el marco como las correcciones del proveedor para ese mes. Como tal, esta actualización también incorpora correcciones para las 10 vulnerabilidades que se abordaron en el nivel de parche de seguridad 2021-10-01, lanzado hace un par de días.

Las fallas de alta gravedad corregidas este mes se refieren a la denegación de servicio, la elevación de privilegios, la ejecución remota de código y los problemas de divulgación de información.

Los tres vulnerabilidades de gravedad crítica en el conjunto se rastrean como:

     CVE-2021-0870: Defecto de ejecución de código remoto en el sistema Android, que permite a un atacante remoto ejecutar código arbitrario dentro del contexto de un proceso privilegiado.
     CVE-2020-11264: Defecto crítico que afecta al componente WLAN de Qualcomm, con respecto a la aceptación de tramas no EAPOL / WAPI de pares no autorizados recibidos en la ruta de excepción de IPA.
     CVE-2020-11301: Defecto crítico que afecta al componente WLAN de Qualcomm, con respecto a la aceptación de tramas sin cifrar (texto sin formato) en redes seguras.

Crítico pero sin explotar

No se ha informado que ninguna de las 41 fallas abordadas este mes esté bajo explotación activa en la naturaleza, por lo que no debería haber exploits en funcionamiento para ellas circulando por ahí.

Los dispositivos más antiguos que ya no son compatibles con las actualizaciones de seguridad ahora tienen una mayor superficie de ataque, ya que algunas de las vulnerabilidades solucionadas este mes son excelentes candidatos para que los actores de amenazas creen exploits funcionales en el futuro.

Recuerde, los parches de seguridad de Android no están vinculados a las versiones de Android, y las correcciones anteriores se refieren a todas las versiones desde Android 8.1 hasta Android 11.
Como tal, la versión del sistema operativo no es un factor determinante en si su dispositivo aún es compatible o no.

Si ha confirmado que su dispositivo ha alcanzado la fecha de EOL, debe instalar una distribución de Android de terceros que aún ofrezca parches de seguridad mensuales para su modelo o reemplazarlo por uno nuevo.

Los fanáticos de Android han estado esperando ansiosamente el lanzamiento de la versión 12, que se rumoreaba para el 4 de octubre de 2021, pero lo que obtuvieron fue la fuente de Android 12 enviada al Proyecto de código abierto de Android.

Este paso significa que el lanzamiento real está a la vuelta de la esquina, y las alertas de actualización de OTA podrían afectar a los dispositivos elegibles, como el Pixel, muy pronto.

Fuente:
source.android.com
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

51
You are not allowed to view links. Register or Login

Los atacantes han utilizado un UEFI bootkit (Interfaz de firmware extensible unificada) recién descubierto y previamente indocumentado para hacer puertas traseras (backdoor) a los sistemas Windows mediante el secuestro del Administrador de arranque de Windows desde 2012.

Los bootkits son códigos maliciosos instalados en el firmware (a veces dirigidos a UEFI) invisibles para el software de seguridad que se ejecuta dentro del sistema operativo, ya que el malware está diseñado para cargarse antes que todo lo demás, en la etapa inicial de la secuencia de arranque.

Proporcionan a los actores de amenazas persistencia y control sobre el proceso de arranque de un sistema operativo, lo que hace posible sabotear las defensas del sistema operativo sin pasar por el mecanismo de arranque seguro si el modo de seguridad de arranque del sistema no está configurado correctamente. Habilitar el modo de 'arranque completo' o 'arranque completo' bloquearía dicho malware, como explica la NSA.

Persistencia en la partición del sistema EFI

El bootkit, denominado ESPecter por los investigadores de ESET que lo encontraron, logra la persistencia en la partición del sistema EFI (ESP) de los dispositivos comprometidos al cargar su propio controlador sin firmar, para omitir la aplicación de la firma del controlador de Windows.

"Se encontró ESPecter en una máquina comprometida junto con un componente de cliente en modo de usuario con funciones de registro de teclas y robo de documentos, por lo que creemos que ESPecter se usa principalmente para espionaje", dijeron los investigadores de seguridad de ESET Martin Smolár y Anton Cherepanov.

"Curiosamente, rastreamos las raíces de esta amenaza al menos hasta 2012, que anteriormente funcionaba como un kit de arranque para sistemas con BIOS heredados".

El controlador malicioso implementado en computadoras Windows comprometidas se usa para cargar dos cargas útiles (WinSys.dll y Client.dll) que también pueden descargar y ejecutar malware adicional.

WinSys.dll es un agente de actualización, el componente que se utiliza para comunicarse con el servidor de comando y control (C2) para obtener más comandos o cargas útiles más maliciosas.

Como descubrieron los investigadores, WinSys.dll puede filtrar información del sistema, lanzar otro malware descargado del servidor C2, reiniciar la PC usando ExitProcess (solo en Windows Vista) y obtener nueva información de configuración y guardarla en el registro.

Client.dll, la segunda carga útil, actúa como una puerta trasera con capacidades de exfiltración automática de datos, incluido el registro de teclas, el robo de documentos y el monitoreo de la pantalla a través de capturas de pantalla.

ESET también encontró versiones de ESPecter que apuntan a los modos de arranque heredados y logran la persistencia al alterar el código MBR que se encuentra en el primer sector físico de la unidad de disco del sistema.

El arranque seguro realmente no ayuda

Parchear el Administrador de arranque de Windows (bootmgfw.efi) requiere que el Arranque seguro (que ayuda a verificar si la PC arranca con un firmware confiable) esté deshabilitado.

Como descubrieron los investigadores, los atacantes han implementado el bootkit en la naturaleza, lo que significa que han encontrado un método para desactivar el arranque seguro en dispositivos específicos.

Aunque en este momento no hay indicios de cómo los operadores de ESPecter lograron esto, hay algunos escenarios posibles:

    - El atacante tiene acceso físico al dispositivo (conocido históricamente como un ataque de "evil maid") y deshabilita manualmente el arranque seguro en el menú de configuración del BIOS (es común que el menú de configuración del firmware todavía esté etiquetado y se denomine "BIOS setup menu", incluso en sistemas UEFI).

    - El Arranque seguro ya estaba deshabilitado en la máquina comprometida (p. Ej., Un usuario puede hacer un arranque dual de Windows y otros sistemas operativos que no son compatibles con el Arranque seguro).

    - Explotación de una vulnerabilidad de firmware UEFI desconocida que permite deshabilitar el arranque seguro.

    - Explotación de una vulnerabilidad de firmware UEFI conocida (por ejemplo, CVE-2014-2961, CVE-2014-8274 o CVE-2015-0949) en el caso de una versión de firmware obsoleta o un producto que ya no es compatible.

Los ataques documentados públicamente que utilizan bootkits en la naturaleza son extremadamente raros: el kit de arranque FinSpy utilizado para cargar software espía, Lojax desplegado por el grupo de hackers APT28 respaldado por Rusia, MosaicRegressor utilizado por hackers de habla china y el módulo TrickBoot utilizado por la pandilla TrickBot.

"ESPecter muestra que los actores de amenazas se basan no solo en los implantes de firmware UEFI cuando se trata de la persistencia previa al SO y, a pesar de los mecanismos de seguridad existentes como UEFI Secure Boot, invierten su tiempo en la creación de malware que sería fácilmente bloqueado por tales mecanismos, si está habilitado y configurado correctamente”.

Se pueden encontrar más detalles técnicos sobre el kit de arranque ESPecter y los indicadores de compromiso en el informe de ESET:

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

52
Noticias Informáticas / Porqué Facebook desapareció de Internet
« en: Octubre 05, 2021, 05:47:57 pm »
You are not allowed to view links. Register or Login

Hoy a las 16:51 UTC, el proveedor Cloudflare abrió un incidente interno titulado "Búsqueda de DNS de Facebook que devuelve SERVFAIL" porque les preocupaba que algo estuviera mal su servicio de DNS 1.1.1.1. Pero cuando estaban a punto de publicarlo en su página, se dieron cuenta de que estaba sucediendo algo más serio: Facebook y sus servicios afiliados WhatsApp e Instagram estaban caídos.
Sus nombres DNS dejaron de resolverse y sus IP de infraestructura eran inalcanzables. Era como si alguien hubiera "desconectado los cables" de Internet.

You are not allowed to view links. Register or Login

¿Cómo es eso posible?

BGP son las siglas de Border Gateway Protocol. Es un mecanismo para intercambiar información de enrutamiento entre Sistemas Autónomos (AS) en Internet. Los grandes enrutadores que hacen que Internet funcione tienen listas enormes y constantemente actualizadas de las posibles rutas que se pueden utilizar para entregar cada paquete de red a sus destinos finales. Sin BGP, los enrutadores de Internet no sabrían qué hacer e Internet no funcionaría.

Internet es literalmente una red de redes y está unida por BGP. BGP permite que una red (digamos Facebook) anuncie su presencia a otras redes que forman Internet. Lo que sucedió es que Facebook dejó de anunciar su presencia, los ISP y otras redes no pueden encontrar la red de Facebook y, por lo tanto, no está disponible... No existe.

Cada una de las redes tiene un ASN: un número de sistema autónomo. Un sistema autónomo (AS) es una red individual con una política de enrutamiento interna unificada. Un AS puede originar prefijos (digamos que controlan un grupo de direcciones IP), así como prefijos de tránsito (digamos que saben cómo llegar a grupos específicos de direcciones IP).

Por ejemplo, el ASN de Facebook es 32934. Cada ASN necesita anunciar sus rutas de prefijo a Internet usando BGP; de lo contrario, nadie sabrá cómo conectarse y dónde encontrarnos. Este centro de aprendizaje tiene una buena descripción general de lo que son BGP y ASN y cómo funcionan.

Por ejemplo, en este diagrama simplificado, puede ver seis sistemas autónomos en Internet y dos rutas posibles que un paquete puede usar para ir de principio a fin. AS1 → AS2 → AS3 es el más rápido, y AS1 → AS6 → AS5 → AS4 → AS3 es el más lento, pero eso se puede usar si el primero falla.

You are not allowed to view links. Register or Login

A las 1658 UTC, Facebook había dejado de anunciar las rutas a sus prefijos DNS. Eso significaba que, al menos, los servidores DNS de Facebook no estaban disponibles. Debido a esto, el sistema de resolución de DNS ya no podía responder a las consultas que solicitaban la dirección IP de facebook.com o instagram.com.

You are not allowed to view links. Register or Login

Mientras tanto, otras direcciones IP de Facebook permanecieron enrutadas, pero no fueron particularmente útiles, ya que sin DNS, Facebook y los servicios relacionados no estaban efectivamente disponibles.
 
Un mensaje de BGP UPDATE informa al enrutador de cualquier cambio que haya realizado y esto se puede ver claramente en la cantidad de actualizaciones recibidas de Facebook. Normalmente, este gráfico es bastante silencioso porque no es normal que Facebook realice muchos cambios en su red minuto a minuto. Pero alrededor de las 15:40 UTC se puede ver un pico de cambios en el enrutamiento de Facebook. Fue entonces cuando empezó el problema.

Si dividimos esta vista por anuncios de rutas y retiros, tenemos una idea aún mejor de lo que sucedió. Se retiraron las rutas, los servidores DNS de Facebook se desconectaron y facebook.com "dejó de existir". Como consecuencia directa de esto, los resolutores de DNS de todo el mundo también dejaron de resolver sus nombres de dominio.

Esto sucede porque el DNS, como muchos otros sistemas en Internet, también tiene su mecanismo de enrutamiento. Cuando alguien escribe la URL You are not allowed to view links. Register or Login en el navegador, el DNS, responsable de traducir los nombres de dominio a direcciones IP reales para conectarse, primero verifica si tiene algo en su caché y lo usa. De lo contrario, intenta obtener la respuesta de los servidores de nombres de dominio, normalmente alojados por la entidad propietaria.
 
Si no se puede acceder a los servidores de nombres o no responden por algún otro motivo, se devuelve un SERVFAIL y el navegador envía un error al usuario. Una buena explicación sobre cómo funciona el DNS.

Debido a que Facebook dejó de anunciar sus rutas de prefijo DNS a través de BGP, todos los resolutores de DNS no tenían forma de conectarse a sus servidores de nombres. En consecuencia, 1.1.1.1, 8.8.8.8 y otros importantes solucionadores de DNS públicos comenzaron a emitir (y almacenar en caché) respuestas SERVFAIL.

Pero eso no es todo. Ahora el comportamiento humano y la lógica de la aplicación entran en juego y provocan otro efecto exponencial. Sigue un tsunami de tráfico DNS adicional. Esto sucedió en parte porque las aplicaciones no aceptarán un error como respuesta y comenzarán a intentarlo de nuevo, a veces de manera agresiva, y en parte porque los usuarios finales tampoco aceptarán un error como respuesta y comenzarán a recargar las páginas, o matarán y relanzarán sus aplicaciones, a veces también de forma agresiva.

Este es el aumento de tráfico (en número de solicitudes) que se puede ver aquí vimos en 1.1.1.1:
 
You are not allowed to view links. Register or Login

Impactando otros servicios

La gente busca alternativas y quiere saber más o discutir lo que está sucediendo. Cuando Facebook se volvió inalcanzable, se vió un aumento de las consultas de DNS a Twitter, Telegram, Signal y otras plataformas de mensajería y redes sociales.
 
Los eventos de hoy son un suave recordatorio de que Internet es un sistema muy complejo e interdependiente de millones de sistemas y protocolos que trabajan juntos. Esa confianza, estandarización y cooperación entre entidades son fundamentales para que funcione para casi cinco mil millones de usuarios activos en todo el mundo.

Fuente:
Cloudflare
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

53
You are not allowed to view links. Register or Login

 La información privada y personal de más de 1.500 millones de usuarios de Facebook se estaría vendiendo en RaidForums, un Foro relacionado con el hacking, lo que permitía a los ciberdelincuentes y anunciantes sin escrúpulos dirigirse a los usuarios de Internet en todo el mundo.

Importante!!: esto no tiene nada que ver con la interrupción global de Facebook experimentada el 4 de octubre de 2021.

You are not allowed to view links. Register or Login

Todo lo que sabemos en este momento es que las múltiples muestras proporcionadas a los usuarios del foro parecían ser reales. Esto constituiría el mayor y más significativo volcado de datos de Facebook hasta la fecha y aparentemente, este nuevo volcado está relacionado con un volcado de datos de Facebook anterior de 2021, donde 533 millones de usuarios se vieron afectados.
 
A finales de septiembre de 2021, un usuario del foro publicó un anuncio en el que afirmaba poseer los datos personales de más de 1.500 millones de usuarios de Facebook. Los datos están actualmente a la venta en la plataforma del foro respectivo, y los compradores potenciales tienen la oportunidad de comprar todos los datos de una vez o en cantidades más pequeñas. Los datos parecen auténticos y habrían sido obtenidos mediante web scraping.

Un posible comprador afirma haber recibido una cotización de 5.000 dólares por los datos de 1 millón de cuentas de usuario de Facebook. Después de que se publicara inicialmente esta noticia, un usuario del foro afirmó que le pagó al vendedor pero no recibió nada a cambio. El vendedor aún no ha respondido a estas acusaciones.

Según el anuncio del foro, los datos proporcionados contienen la siguiente información personal de los usuarios de Facebook:

•   Nombre
•   Correo electrónico
•   Localización
•   Género
•   Número de teléfono
•   ID de usuario

Las muestras presentadas en el foro muestran que los datos parecen ser auténticos y al cotejarlos con las filtraciones conocidas de la base de datos de Facebook, no se obtuvieron coincidencias, lo que implica que, a primera vista, los datos de muestra proporcionados son únicos y no son un duplicado o una reventa de una violación o scrapping de datos previamente conocido.

El vendedor afirma representar a un grupo de web scrapers en funcionamiento durante al menos cuatro años, alegando que han tenido más de 18.000 clientes durante este tiempo.

Los comerciantes afirman haber obtenido los datos mediante web scrapping en lugar de comprometer las cuentas de usuarios individuales.

El scrapping es un proceso de extracción o recolección de datos web en el que se accede a los datos disponibles públicamente y se organizan en listas y bases de datos. La mayoría de estos datos se obtienen simplemente eliminando los perfiles de Facebook que sus propietarios han configurado como "Públicos". Desafortunadamente, la gran mayoría de la información personal es compartida libremente y puesta a disposición del público en general por los propios usuarios de Facebook.
Si bien técnicamente no se ha comprometido ninguna cuenta, esto es poco consuelo para aquellos cuyos datos ahora pueden terminar en manos de comerciantes de Internet sin escrúpulos y probablemente también en manos de ciberdelincuentes.

Los especialistas en marketing poco éticos pueden utilizar estos datos para bombardear a individuos o grupos de individuos específicos con publicidad no solicitada.

El hecho de que los números de teléfono, la ubicación real y los nombres completos de los usuarios estén incluidos en los datos es especialmente preocupante. Además, el correo no deseado por SMS y notificaciones push es cada vez más frecuente a pesar de que la mayoría de los países ilegalizaron estas prácticas hace muchos años.

La identificación de los números de teléfono de los usuarios individuales hace posible que los ciberdelincuentes envíen mensajes SMS falsos a los usuarios afectados que fingen ser varias entidades, como el propio Facebook o incluso los bancos.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

54
You are not allowed to view links. Register or Login

WASHINGTON, 4 oct (Reuters) - William Shatner, el actor de "Star Trek" que se hizo famoso al fingir que el escenario sonoro de Hollywood era una nave espacial que exploraba la galaxia, será lanzado al borde del espacio de verdad la próxima semana en un cohete construido por Blue Origen, la empresa espacial del multimillonario Jeff Bezos.

Shatner, mejor conocido como el Capitán Kirk en la serie de televisión original "Star Trek", será parte de una tripulación de cuatro personas a bordo del vehículo de lanzamiento New Shepard de Blue Origin en el vuelo programado para la mañana del 12 de octubre, dijo la compañía el lunes.

You are not allowed to view links. Register or Login

"He oído hablar del espacio desde hace mucho tiempo", dijo Shatner, de 90 años, en un comunicado emitido por Blue Origin. "Aprovecho la oportunidad para verlo por mí mismo. Qué milagro".

En julio, Bezos, el fundador de Amazon, se elevó a unas 66,5 millas (107 km) sobre el desierto de Texas a bordo de un vehículo de lanzamiento New Shepard y regresó a salvo a la Tierra.

Blue Origin dijo que la pionera aviadora Wally Funk, de 82 años, fue la persona de mayor edad en llegar al espacio cuando se unió a Bezos en el vuelo de julio. Shatner está listo para romper ese récord.

El actor está volando como invitado de Blue Origin, pero la compañía dice que también ha vendido casi $ 100 millones en boletos a clientes que pagan, aunque no ha dicho cuántos.

Shatner estará acompañado por Chris Boshuizen, un ex ingeniero de la NASA; Glen de Vries, emprendedor de investigación clínica; y Audrey Powers, vicepresidenta e ingeniera de Blue Origin. No quedó claro de inmediato si eran fanáticos de "Star Trek".

Bezos fundó Blue Origin en 2000. New Shepard se lanzó a velocidades que alcanzaron las 2233 millas (3595 km) por hora, superando la KarmanLine - 62 millas (100 km) en línea recta - establecida por un organismo aeronáutico internacional para definir el límite entre la atmósfera y el espacio de la Tierra.

Shatner interpretó por primera vez el papel del Capitán James T. Kirk en 1966 en una franquicia de televisión a la que muchos astronautas de la NASA atribuyeron a encender su amor por el espacio. También interpretó el papel en siete largometrajes.

El jueves, la Administración Federal de Aviación dijo que revisaría las preocupaciones de seguridad planteadas por los empleados actuales y anteriores de Blue Origin, quienes dijeron que la compañía "a menudo prioriza la velocidad de ejecución y la reducción de costos sobre los recursos adecuados para garantizar la calidad".

Blue Origin dijo que investiga de inmediato cualquier inquietud de mala conducta planteada por los empleados y se mantiene fiel a su historial de seguridad.

Fuente:
Reuters
You are not allowed to view links. Register or Login

55
You are not allowed to view links. Register or Login

Un mecanismo de exfiltración de datos recientemente descubierto emplea cables Ethernet como una "antena de transmisión" para desviar sigilosamente datos altamente sensibles de sistemas con espacios de transmisión aéreos, según las últimas investigaciones.

"Es interesante que los cables que vinieron a proteger el espacio de aire se conviertan en la vulnerabilidad del espacio de aire en este ataque", dijo el Dr. Mordechai Guri, jefe de I + D en el Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion del Negev en Israel.

Apodada "LANtenna Attack", la técnica novedosa permite que el código malicioso en computadoras con espacio de aire acumule datos confidenciales y luego los codifique a través de ondas de radio que emanan de cables Ethernet como si fueran antenas. Las señales transmitidas pueden ser interceptadas por un receptor de radio definido por software (SDR) cercano de forma inalámbrica, decodificar los datos y enviarlos a un atacante que se encuentra en una habitación adyacente.

"En particular, el código malicioso puede ejecutarse en un proceso de modo de usuario ordinario y funcionar con éxito desde dentro de una máquina virtual", señalaron los investigadores en un documento adjunto titulado "LANTENNA: extracción de datos de redes con espacio de aire a través de cables Ethernet".

Las redes con espacios abiertos están diseñadas como una medida de seguridad de la red para minimizar el riesgo de fuga de información y otras amenazas cibernéticas al garantizar que una o más computadoras estén físicamente aisladas de otras redes, como Internet o una red de área local. Por lo general, están cableados ya que las máquinas que forman parte de dichas redes tienen sus interfaces de red inalámbrica desactivadas permanentemente o eliminadas físicamente.

Esta está lejos de ser la primera vez que el Dr. Guri ha demostrado formas poco convencionales de filtrar datos confidenciales de computadoras con espacio de aire.

En febrero de 2020, el investigador de seguridad ideó un método que emplea pequeños cambios en el brillo de la pantalla LCD, que permanece invisible a simple vista, para modular la información binaria en patrones similares al código morse de forma encubierta.

Luego, en mayo de 2020, el Dr. Guri mostró cómo el malware podía explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos en un ataque llamado "POWER-SUPPLaY".

Por último, en diciembre de 2020, el investigador mostró "AIR-FI", un ataque que aprovecha las señales de Wi-Fi como un canal encubierto sin requerir la presencia de hardware de Wi-Fi en los sistemas objetivo.

El ataque LANtenna no es diferente en que funciona usando el malware en la estación de trabajo con espacio de aire para inducir al cable Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125 MHz que luego son moduladas e interceptadas por un receptor de radio cercano. En una demostración de prueba de concepto, los datos transmitidos desde una computadora con espacio de aire a través de su cable Ethernet se recibieron a una distancia de 200 cm.

Como contramedidas, los investigadores proponen prohibir el uso de receptores de radio en y alrededor de redes con espacio de aire y monitorear la actividad de la capa de enlace de la tarjeta de interfaz de red para cualquier canal encubierto, así como bloquear las señales y usar blindaje metálico para limitar la interferencia de los campos electromagnéticos conque emana de los cables blindados.

"Este documento muestra que los atacantes pueden explotar los cables Ethernet para filtrar datos de redes con espacios de aire", dijeron los investigadores en el documento. "El malware instalado en una estación de trabajo segura, computadora portátil o dispositivo integrado puede invocar varias actividades de red que generan emisiones electromagnéticas de los cables Ethernet".

"Las antenas dedicadas y costosas ofrecen una mejor distancia y podrían alcanzar decenas de metros con algunos cables", agregó el Dr. Guri.

Fuente:
The hacker News
You are not allowed to view links. Register or Login

56
You are not allowed to view links. Register or Login

Los usuarios de todo el mundo informan que no pueden acceder a Facebook, Instagram y WhatsApp, sino que ven errores de que no se puede acceder a los sitios.

Al intentar abrir cualquiera de los tres sitios, se les dan errores DNS_PROBE_FINISHED_NXDOMAIN y se les recomienda que verifiquen si hay un error tipográfico en el dominio ingresado en la barra de direcciones.

"No se puede acceder a este sitio. Compruebe si hay un error tipográfico en facebook.com. Si la ortografía es correcta, intente ejecutar Windows Network Diagnostics", dice el mensaje de error.

Los usuarios de dispositivos móviles también informan que las aplicaciones de la empresa no funcionan y ven "Verifique su conexión a Internet y vuelva a intentarlo más tarde".

Por el momento, el sitio .onion de Facebook también está inactivo, mostrando el mismo error DNS_PROBE_FINISHED_NXDOMAIN que el que muestran los sitios web claros de la compañía.

Se desconoce si se trata de una interrupción planificada, un problema con los servidores de las tres plataformas o los servicios que están siendo atacados.

Un portavoz de Facebook no estuvo disponible de inmediato para hacer comentarios.

Si bien la compañía aún no ha brindado una explicación para esta interrupción, en las pruebas, los servidores DNS de Facebook, Instagram y WhatsApp no responden, lo que sugeriría que se trata de una configuración de DNS o un problema del servidor.

You are not allowed to view links. Register or Login

Según los informes de usuarios disponibles en outage.report y las conversaciones con usuarios de todo el mundo, esta interrupción está afectando principalmente a los usuarios de EE. UU. y Europa.

Sin embargo, hasta que Facebook emita una explicación o actualización de estado, es probable que el resto de sus usuarios aún no lo hayan notado porque no están conectados.

Facebook, Instagram y WhatsApp han reconocido la interrupción en curso en Twitter y dijeron que están trabajando para volver a conectarse lo antes posible.

Fuente:

Reuters
You are not allowed to view links. Register or Login

Security Affairs
You are not allowed to view links. Register or Login

BleepingComputer
You are not allowed to view links. Register or Login

57
You are not allowed to view links. Register or Login

Un actor de amenazas de habla china anteriormente desconocido ha sido vinculado a una operación evasiva de larga data dirigida a objetivos del sudeste asiático desde julio de 2020 para implementar un rootkit en modo kernel en sistemas Windows comprometidos.

También se dice que los ataques montados por el grupo de piratería, apodado GhostEmperor por Kaspersky, han utilizado un "marco sofisticado de malware de múltiples etapas" que permite proporcionar persistencia y control remoto sobre los hosts objetivo.

La firma rusa de ciberseguridad llamada rootkit Demodex, con infecciones reportadas en varias entidades de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de valores atípicos ubicados en Egipto, Etiopía y Afganistán.

"[Demodex] se usa para ocultar los artefactos del malware en modo de usuario de los investigadores y las soluciones de seguridad, mientras demuestra un interesante esquema de carga no documentado que involucra el componente de modo kernel de un proyecto de código abierto llamado Cheat Engine para eludir el mecanismo de ejecución de la firma del controlador de Windows". Dijeron los investigadores de Kaspersky.

Se ha descubierto que las infecciones de GhostEmperor aprovechan múltiples rutas de intrusión que culminan en la ejecución de malware en la memoria, siendo la principal de ellas la explotación de vulnerabilidades conocidas en servidores públicos como Apache, Window IIS, Oracle y Microsoft Exchange, incluidos los exploits ProxyLogon que salió a la luz en marzo de 2021, para ganar un punto de apoyo inicial y pivotar lateralmente a otras partes de la red de la víctima, incluso en máquinas que ejecutan versiones recientes del sistema operativo Windows 10.

You are not allowed to view links. Register or Login

Luego de una violación exitosa, las cadenas de infección seleccionadas que resultaron en la implementación del rootkit se llevaron a cabo de forma remota a través de otro sistema en la misma red utilizando software legítimo como WMI o PsExec, lo que llevó a la ejecución de un implante en memoria capaz de instalar más cargas útiles durante el tiempo de ejecución.

A pesar de su dependencia de la ofuscación y otros métodos de detección y evasión para eludir el descubrimiento y el análisis, Demodex evita el mecanismo de aplicación de la firma del controlador de Microsoft para permitir la ejecución de código arbitrario sin firmar en el espacio del kernel aprovechando un controlador firmado legítimo y de código abierto llamado (" dbk64.sys ") que se envía junto con Cheat Engine, una aplicación que se utiliza para introducir trampas en los videojuegos.

"Con una operación de larga data, víctimas de alto perfil, [y] conjunto de herramientas avanzadas […] el actor subyacente es altamente calificado y hábil en su oficio, los cuales son evidentes a través del uso de un amplio conjunto de anti-sofisticados e inusuales técnicas forenses y anti-análisis ", dijeron los investigadores.

La revelación se produce cuando se descubrió que un actor de amenazas vinculado a China con nombre en código TAG-28 está detrás de las intrusiones contra los medios de comunicación y agencias gubernamentales indias como The Times Group, la Autoridad de Identificación Única de la India (UIDAI) y el departamento de policía del estado de Madhya Pradesh.

Recorded Future, a principios de esta semana, también descubrió actividad maliciosa dirigida a un servidor de correo de Roshan, uno de los proveedores de telecomunicaciones más grandes de Afganistán, que atribuyó a cuatro actores distintos patrocinados por el estado chino: RedFoxtrot, Calypso APT, así como a dos grupos separados que utilizan puertas traseras asociado con los grupos Winnti y PlugX.

Fuente:
The Hacker News
You are not allowed to view links. Register or Login

58
You are not allowed to view links. Register or Login

El exchange de criptomonedas Coinbase reveló que un actor de amenazas robó criptomonedas a 6.000 clientes después de usar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la empresa.

Coinbase es el segundo intercambio de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.

En una notificación enviada a los clientes afectados esta semana, Coinbase explica que entre marzo y el 20 de mayo de 2021, un actor de amenazas llevó a cabo una campaña de piratería para violar las cuentas de los clientes de Coinbase y robar criptomonedas.

Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima.

Si bien se desconoce cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que fue a través de campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas, que se han vuelto comunes. Además, también se sabe que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase.

Error de MFA permitió el acceso a las cuentas

Incluso si un pirata informático tiene acceso a las credenciales y a la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación multifactor.

En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación de múltiples factores (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.

Sin embargo, Coinbase afirma que existía una vulnerabilidad en el proceso de recuperación de su cuenta de SMS, lo que permite a los piratas informáticos obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.

"Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase", explicó una notificación de Coinbase a los clientes.

"Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta por SMS de Coinbase para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta. "

Una vez que se enteraron del ataque, Coinbase afirma que arreglaron los "protocolos de recuperación de cuentas de SMS" para evitar eludir la autenticación multifactor de SMS.

Como el actor de la amenaza también tenía acceso completo a una cuenta, también se expuso la información personal de los clientes, incluido su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencias de cuentas y saldos.

Como el error de Coinbase permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, el intercambio está depositando fondos en las cuentas afectadas iguales a la cantidad robada.

"Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados; nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdió.Debería ver esto reflejado en su cuenta a más tardar hoy ", prometió Coinbase.

No está claro si Coinbase acreditará a los clientes pirateados la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.

Los clientes que se vieron afectados por este ataque pueden comunicarse con Coinbase para obtener más información sobre lo que se está haciendo.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

59
You are not allowed to view links. Register or Login

La Comisión Federal de Comunicaciones de los EE. UU. anunció esta semana que comenzó a trabajar en reglas que frenarían los ataques de intercambio de SIM.

La decisión se produce después de que la agencia "recibió numerosas quejas de consumidores que han sufrido angustia significativa, inconvenientes y daños económicos como resultado del fraude de intercambio y transferencia de SIM".

Dar los primeros pasos


La FCC dijo en un comunicado de prensa el jueves que "comenzaron un proceso formal de reglamentación" diseñado para combatir las estafas que permiten a los estafadores tomar el control de las cuentas de teléfonos celulares de los consumidores.

Junto con el fraude de transferencia, los estafadores utilizan el intercambio de SIM (también llamado "jacking de SIM") para secuestrar el número de teléfono de alguien y obtener acceso a códigos de autenticación de dos factores para servicios financieros en particular.

En un Aviso de propuesta de reglamentación, la agencia tiene como objetivo introducir reglas para que los operadores móviles adopten métodos seguros para autenticar a los suscriptores antes de redirigir el número de teléfono de un cliente a un nuevo dispositivo o operador.

Esto significa que abordar el problema llevará algún tiempo, ya que un Aviso de propuesta de reglamentación es solo el primer paso para lograr el objetivo expresado. Antes de la regla final, se debe informar al público de la regla propuesta y se le debe dar la oportunidad de presentar comentarios, un período que varía entre 30 y 60 días.

El fraude de intercambio de SIM y de transferencia son tipos similares de estafas que involucran habilidades de ingeniería social del actor de amenazas.

Por lo general, un estafador con detalles personales sobre su objetivo llama al operador de telefonía celular de la víctima para pedirle que transfiera el servicio a un dispositivo diferente o a otro operador.

Si tiene éxito, toda la comunicación se dirige al atacante, incluidos los códigos de autenticación de dos factores, necesarios para la verificación de identidad al iniciar sesión en una cuenta o para los procedimientos de restablecimiento de contraseña.

Intercambio de SIM detrás de grandes pérdidas

Los intercambiadores de SIM generalmente están motivados financieramente y buscan cuentas de banca en línea y de intercambio de criptomonedas. También hay actores de amenazas que usan este método para robar cuentas de redes sociales con identificadores especiales y luego venderlas: en 2019, la cuenta de Twitter de Jack Dorsey, CEO de Twitter, fue secuestrada mediante el intercambio de SIM.

El mes pasado, un cliente de AT&T presentó una queja contra la empresa por no proteger adecuadamente su cuenta contra un ataque de intercambio de SIM. Como resultado, el cliente perdió alrededor de $ 650,000 en tokens de criptomonedas.

En febrero de 2021, T-Mobile se enteró de una violación de datos después de descubrir que varios clientes se habían convertido en víctimas de ataques de intercambio de SIM.

Se cree que una red de intercambiadores de SIM desmantelada a principios de año ha robado más de $ 100 millones en criptomonedas de miles de víctimas, incluidas celebridades en los EE. UU.

Más recientemente, Europol anunció que los ciberdelincuentes con vínculos con la mafia italiana participaron en ataques de intercambio de SIM y otras actividades ciberdelincuentes que les reportaron más de 10 millones de euros.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

60
You are not allowed to view links. Register or Login

El presidente de EE. UU., Joe Biden, dijo que EE. UU. reunirá a 30 países para tomar medidas enérgicas contra las bandas de ransomware detrás de una serie de ataques que afectan a organizaciones de todo el mundo.

"Este mes, Estados Unidos reunirá a 30 países para acelerar nuestra cooperación en la lucha contra el delito cibernético, mejorando la colaboración entre las fuerzas del orden, deteniendo el uso ilícito de criptomonedas y comprometiéndose diplomáticamente en estos temas", declaró este viernes el presidente Biden.

"También nos estamos asociando estrechamente con naciones de todo el mundo en estas amenazas compartidas, incluidos nuestros aliados de la OTAN y socios del G7."

"Estoy comprometido a fortalecer nuestra ciberseguridad reforzando nuestra infraestructura crítica contra ataques cibernéticos, interrumpiendo las redes de ransomware, trabajando para establecer y promover reglas claras para todas las naciones en el ciberespacio y dejando en claro que responsabilizaremos a aquellos que amenazan nuestra seguridad".

Batalla en curso contra la amenaza del ransomware

Este anuncio es una respuesta a los ataques recientes, incluidos los ataques de ransomware en Colonial Pipeline, JBS Foods y Kaseya en los Estados Unidos, que han revelado vulnerabilidades importantes en la infraestructura crítica en todo el mundo.

El presidente Biden también emitió un memorando de seguridad de EE. UU. para reforzar la ciberseguridad de la infraestructura crítica de la nación, al establecer objetivos y guías de referencia para los propietarios y operadores de infraestructuras críticas.

La asesora adjunta de seguridad nacional, Anne Neuberger, instó a las empresas estadounidenses a tomarse en serio al ransomware el mismo mes, luego de los ataques de ransomware Colonial Pipeline y JBS.

La secretaria de prensa de la Casa Blanca, Jen Psaki, agregó que Estados Unidos tomará medidas contra los grupos de ransomware que operan dentro de las fronteras de Rusia si "el gobierno ruso no puede o no quiere".

Desde entonces, Moscú y Washington han logrado reanudar la cooperación en múltiples áreas, con varios golpes en las bandas Evil Corp., TrickBot y REvil como resultado directo, según Kommersant.

Coalición contra el ciberdelito

En julio, Interpol también instó a los socios de la industria y a las agencias policiales de todo el mundo a trabajar juntos para interrumpir la pandemia del ransomware después de que los líderes del G7 pidieran a Rusia que interrumpiera las bandas de ransomware con sede en Rusia.

"Las amenazas cibernéticas pueden afectar a todos los estadounidenses, a todas las empresas, independientemente de su tamaño, y a todas las comunidades. Por eso mi administración está organizando un esfuerzo de toda la nación para enfrentar las amenazas cibernéticas", agregó hoy el presidente Biden.

"Estamos formando una coalición de naciones para defender e invertir en tecnología 5G confiable y para asegurar mejor nuestras cadenas de suministro".

"Y estamos aportando toda la fuerza de nuestras capacidades para interrumpir la actividad cibernética maliciosa, incluida la gestión de los riesgos y las oportunidades de las tecnologías emergentes como la computación cuántica y la inteligencia artificial".

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

Páginas: 1 2 [3] 4 5 ... 71