Pues:

Con Wine y otros se pueden ejecutar la mayoría de RATs  de windows en linux, deberías experimentar un poco más.

Saludos!!

Hola:

1. Si el equipo es nuevo has valer la respectiva garantía

2. Si no y te toca lidiar por tu cuenta revisa si el equipo utiliza cmos, de ser así puede ser que solo necesite cambio de batería

3. Actualiza el bios

4. Te recomiendo instales Windows 10 Home 64 bits

Adjunto el respectivo enlace de la pagina oficial del fabricante para que puedas descargar los respectivos drivers así como actualizaciones para tu portátil,  espero sea de ayuda.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

Intenta con Cybergate o Xtreme RAT este es del mismo creador de SpyNet y en los dos la configuración es similar a SpyNet.

Saludos.

Son muchas las herramientas que tenemos para conectarnos de forma remota a otro equipo. En los tiempos en los que vivimos esto es algo muy habitual y a lo que recurren muchos usuarios. Si hablamos de un programa muy popular ese es TeamViewer. En este artículo nos hacemos eco de un problema que afecta a este software y que pone en riesgo a los usuarios que lo utilizan. Este fallo permitiría a un atacante acceder a un ordenador.

Un fallo en TeamViewer permite el acceso de intrusos

Como decimos, TeamViewer es una importante herramienta que permite el acceso remoto a equipos en la red. Esta vez la noticia es que cuenta con una vulnerabilidad que pone en riesgo la seguridad de los usuarios. Permitiría que un posible intruso accediera a ese ordenador sin dejar rastro y poder llevar a cabo diferentes tipos de ataques.

Es una realidad que en muchas ocasiones surgen fallos de seguridad que afectan a todo tipo de software que utilizamos en nuestro día a día. Pueden comprometer nuestra privacidad y poner en riesgo los dispositivos. Estas vulnerabilidades generalmente reciben actualizaciones por parte de los desarrolladores. Eso es lo que ha ocurrido en este caso.

Desde TeamViewer se han apresurado en lanzar un parche para corregir este importante fallo. La vulnerabilidad ha sido registrada como CVE-2020-13699 y ha sido calificada de alta gravedad.

Para ejecutar un ataque, un usuario necesitaría navegar a una página maliciosa que carga un iframe en el navegador web, posiblemente oculto o tan pequeño como un píxel, para evitar ser visto por un intruso. El iframe se carga a sí mismo usando el esquema de URI «teamviewer10:», que le dice al navegador que inicie la aplicación TeamViewer instalada en el equipo.

Estos esquemas de URI personalizados son utilizados por aplicaciones instaladas localmente que permiten al usuario iniciarlos desde su navegador. Por ejemplo, las URL que comienzan con «You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador iniciarían Skype. Otras aplicaciones de uso común como Slack, Zoom y Spotify usan estructuras de URI similares.

Lo que haría el atacante para aprovechar esta vulnerabilidad de TeamViewer, es establecer el atributo src del iframe en 'teamviewer10: –play \ attacker-IP share You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login'. Este comando lo que hace es que la aplicación de TeamViewer que esté instalada se conecte al servidor del atacante a través del protocolo SMB.


Acceder sin necesidad de contraseña

Hay que tener en cuenta también que un posible atacante no necesitaría conocer la contraseña del usuario. Podrían ser autenticados de forma automática y lograr así acceso.

Desde TeamViewer indicaron que este problema afectaba a varias versiones de esta herramienta para Windows. Concretamente afecta a las versiones 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 y 15.8.3. Sin embargo ya han lanzado el parche para todas ellas.

Como hemos mencionado, el trabajo en remoto se ha convertido en algo muy presente en nuestro día a día. Os dejamos algunos consejos para teletrabajar con seguridad.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Slack Technologies Inc. anunció un conjunto de funciones de seguridad nuevas y futuras para ayudar a las empresas y/o administradores, el poder tener más control y visibilidad sobre sus datos y/o también sobre la información que comparten los empleados en canales de chat, lo que permite a los clientes cumplir mejor con los requisitos de seguridad específicos de la industria o la región y permite una colaboración segura con organizaciones externas.

El año pasado, Slack agregó la opción para que las organizaciones conscientes de la privacidad protejan los datos compartidos en los canales de chat internos utilizando sus propias claves criptográficas para obtener un mayor control.

Pero aun así, el proveedor de chat planea expandir esa capacidad de manera significativa. Según Slack, está trabajando para permitir que las empresas cifren no solo los canales internos con sus propias claves, sino también los canales de Slack Connect a través de los cuales se comunican con organizaciones externas, como los proveedores.

El principal competidor de Slack en el mercado empresarial es Microsoft Teams de Microsoft Corp. Y la actualización que lanzo permitirá competir mejor con las funciones de seguridad que ofrece Teams en varias áreas, incluido el cifrado y el análisis de seguridad.

Además, de que se ha asociado con Splunk para permitir que los registros de auditoría de Slack, incluidos los eventos de inicio de sesión de los usuarios, los sistemas operativos que se están utilizando, los clientes del navegador del usuario, los cambios de configuración, se ingieran automáticamente directamente en Splunk antes de que los datos se visualicen y analicen previamente paneles construidos.

«Las personas se están inclinando hacia el trabajo remoto como nunca antes y están enfrentando todos los desafíos de realizar esos cambios culturales en sus empresas. Al mismo tiempo, están sujetos a ataques adicionales de ciberseguridad por parte de piratas informáticos que cometen estafas de phishing. contra los servicios de correo electrónico en los que la mayoría de la gente todavía confía para la colaboración diaria «.

«Hablo con mis compañeros OSC de forma regular y todos compartimos nuestra historia de COVID, y la historia número uno que escucho de las OSC de toda la industria es sobre estas estafas de phishing y qué voy a hacer para mantener segura mi organización. «

Los administradores obtendrán acceso a una integración con la herramienta Intune de Microsoft que les dará la capacidad de eliminar archivos relacionados con el trabajo en el dispositivo de un empleado en caso de pérdida o robo.

Las empresas también obtendrán la capacidad de usar claves personalizadas con la herramienta Workflow Builder de Slack. Workflow Builder se utiliza, entre otros, para automatizar la recopilación de información como los comentarios de los empleados y las solicitudes de la mesa de ayuda, información que algunas organizaciones pueden desear cifrar para evitar fugas de datos.

Los registros confidenciales suelen tener otros requisitos además del cifrado, como la residencia de los datos. Eso significa que ciertos registros deben almacenarse en la región donde se crearon para cumplir con las regulaciones o políticas internas, una necesidad que Slack también está abordando hoy.

Además, está agregando a Canadá a la lista de países donde una empresa puede elegir almacenar los mensajes de chat de los empleados e introducirá la posibilidad de que los clientes elijan dónde se almacenan sus claves de cifrado.

Para organizaciones como los bancos, Slack implementará una función de «barrera de información» para limitar las comunicaciones entre departamentos o usuarios.

Slack considera que esta capacidad se presta a tareas tales como cumplir con las regulaciones específicas de la industria. Una institución financiera, por ejemplo, podría evitar que los empleados de sus grupos de banca de inversión y negociación de acciones se comuniquen entre sí a través de Slack.

Además, Slack ha revelado que ha obtenido una autorización de FedRAMP moderada en los Estados Unidos para permitir que las agencias gubernamentales y los contratistas manejen información sobre Slack.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Proyecto GNU dio a conocer el lanzamiento de la nueva version del popular el editor de texto «GNU Emacs 27.1», version en la cual se añadió el soporte para pestañas, así como también el soporte para el análisis JSON y un soporte mejorado para la salida usando la biblioteca de El Cairo, entre otras cosas mas.

Para quienes desconocen de este popular editor de texto, deben saber que GNU Emacs es un editor de texto extensible, personalizable, gratuito y abierto creado por el fundador de GNU Project, Richard Stallman. Este es el más popular de la familia de editores de texto de Emacs.

Este editor de texto está disponible para GNU/Linux, Windows y macOS, está escrito en C y proporciona Emacs Lisp como lenguaje de extensión. También implementado en C, Emacs Lisp es un «dialecto» del lenguaje de programación Lisp utilizado por Emacs como lenguaje de script.

Hasta el lanzamiento de GNU Emacs 24.5, el proyecto se desarrolló bajo la dirección personal de Richard Stallman, quien entregó el liderazgo del proyecto a John Wiegley en el otoño de 2015.

¿Qué hay de nuevo en GNU Emacs 27.1?

En esta nueva version del editor una de las novedades que se destaca es el nuevo soporte de barra de pestañas incorporado ('modo de barra de pestañas') el cual permite poder trabajar con ventanas como pestañas dentro del editor.


Otra novedad importante de esta nueva version de GNU Emacs 27.1 es la posibilidad de cambiar el tamaño y rotar imágenes sin usar el paquete ImageMagick.

De los demás cambios que se incluyen en esta nueva version del editor:

- Biblioteca HarfBuzz para renderizado de texto.
- Soporte incorporado para enteros de tamaño arbitrario en Emacs Lisp.
- Deje de usar unexec para organizar las descargas a favor del nuevo mecanismo de descarga portátil.
- Teniendo en cuenta los requisitos de las especificaciones XDG al colocar los archivos de inicialización.
- Archivo de inicio temprano adicional.
- Habilitando enlaces léxicos por defecto en Emacs Lisp.

Además también podremos encontrar el soporte de análisis JSON, así como también el soporte mejorado para la salida usando la biblioteca de El Cairo.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad destacaron hoy una técnica de phishing evasiva que los atacantes están explotando en la naturaleza para atacar a los visitantes de varios sitios con una peculiaridad en los nombres de dominio y aprovechar los favicons modificados para inyectar e-skimmers y robar información de tarjetas de pago de forma encubierta.

"La idea es simple y consiste en usar caracteres que se ven iguales para engañar a los usuarios", dijeron los investigadores de Malwarebytes en un análisis del jueves . "A veces los caracteres son de un idioma diferente o simplemente escriben en mayúscula la letra 'i' para que parezca una 'l' minúscula".

Llamado ataque homógrafo de nombre de dominio internacionalizado (IDN) , la técnica ha sido utilizada por un grupo de Magecart en múltiples dominios para cargar el popular kit de skimming de Inter.oculto dentro de un archivo de favicon .

El truco visual generalmente implica aprovechar las similitudes de los scripts de caracteres para crear y registrar dominios fraudulentos de los existentes para engañar a los usuarios desprevenidos para que los visiten e introduzcan malware en los sistemas de destino.




En varios casos, Malwarebytes descubrió que sitios web legítimos (p. Ej., "Cigarpage.com") fueron pirateados e inyectados con un código inofensivo que hace referencia a un archivo de icono que carga una versión copiada del favicon del sitio señuelo ("cigarpaqe [.] com ").

Este favicon cargado desde el dominio homoglyph se usó posteriormente para inyectar el skimmer de Inter JavaScript que captura la información ingresada en una página de pago y extrae los detalles al mismo dominio utilizado para alojar el archivo de favicon malicioso.


Curiosamente, parece que uno de esos dominios falsos ("zoplm.com") que se registró el mes pasado ha estado vinculado previamente a Magecart Group 8, uno de los grupos de hackers bajo el paraguas de Magecart que se ha vinculado a ataques de skimming web en NutriBullet , MyPillow , así como varios sitios web propiedad de una bolsa nacional de diamantes.

La violación de MyPillow, en particular, es digna de mención debido a las similitudes en el modus operandi, que implicó inyectar un JavaScript malicioso de terceros alojado en "mypiltow.com", un homoglyph de "mypillow.com".

"A los actores de amenazas les encanta aprovechar cualquier técnica que les proporcione una capa de evasión, por pequeña que sea", dijeron los investigadores. "La reutilización del código plantea un problema para los defensores, ya que difumina las líneas entre los diferentes ataques que vemos y dificulta cualquier tipo de atribución".

A medida que las estafas de phishing se vuelven más sofisticadas, es esencial que los usuarios examinen las URL del sitio web para asegurarse de que el enlace visible sea el verdadero destino, eviten hacer clic en enlaces de correos electrónicos, mensajes de chat y otro contenido disponible públicamente, y se conviertan en multifactoriales basados ​​en autenticadores. verificación para proteger las cuentas contra el secuestro.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La popular aplicación de videoconferencia Zoom ha abordado varias vulnerabilidades de seguridad, dos de las cuales afectan a su cliente Linux que podrían haber permitido a un atacante con acceso a un sistema comprometido leer y exfiltrar datos de usuario de Zoom, e incluso ejecutar malware sigiloso como un subproceso de un aplicación confiable.

Según el investigador de ciberseguridad Mazin Ahmed , quien presentó sus hallazgos en DEF CON 2020 ayer, la compañía también dejó expuesta una instancia de desarrollo mal configurada que no se actualizó desde septiembre de 2019, lo que indica que el servidor podría ser susceptible a fallas que no se repararon.

Después de que Ahmed informara en privado de los problemas a Zoom en abril y posteriormente en julio, la compañía emitió una solución el 3 de agosto (versión 5.2.4).

Vale la pena señalar que para que se produzcan algunos de estos ataques, un atacante debería haber comprometido el dispositivo de la víctima por otros medios. Pero eso no quita la importancia de los defectos.


En un escenario, Ahmed descubrió un problema con Zoom Launcher para Linux que podría permitir que un adversario ejecute software no autorizado debido a la forma en que lanza el ejecutable "zoom".

"Esto rompe toda la protección de la lista blanca de aplicaciones, permite que el malware se ejecute como un subproceso de un proveedor confiable (Zoom) y es una mala práctica de diseño / seguridad", dijo Ahmed en un análisis.


Eso no es todo. De manera similar, un atacante con acceso a la máquina de la víctima puede leer y filtrar los datos y la configuración del usuario de Zoom navegando a la base de datos local e incluso accediendo a los mensajes de chat almacenados en el sistema en formato de texto sin formato.

Otras dos fallas involucraron un servicio de autenticación Kerberos accesible externamente ("ca01.idm.meetzoom.us") y un problema TLS / SSL que permite que el malware inyecte huellas digitales de certificados personalizados en la base de datos local de Zoom.

"Esto es por anclaje de certificado de usuario y permite intencionalmente que el usuario permita certificados personalizados", dijo Zoom sobre la falla de inyección de certificado. "El usuario puede escribir en su propia base de datos, pero ningún otro usuario que no sea root puede hacerlo. Es una práctica recomendada que las aplicaciones de usuario se ejecuten en su nivel de privilegio, ya que requerir que Zoom se ejecute como root introduciría riesgos de seguridad innecesarios para Zoom y nuestros clientes . "

Pero se vuelve más interesante. Ahmed continuó destacando una vulnerabilidad de fuga de memoria al explotar la función de imagen de perfil en Zoom para cargar una imagen GIF maliciosa, descargar el archivo renderizado y extraer datos de él para filtrar partes de la memoria del sistema.


"Después de una investigación interna, llegamos a la conclusión de que el comportamiento no fue una pérdida de memoria, sino el mejor esfuerzo de nuestra utilidad de imagen para convertir un gif con formato incorrecto en un jpeg", dijo la compañía.

Aunque Ahmed cree que esto es una consecuencia de una falla conocida en el software de conversión de imágenes ImageMagick ( CVE-2017-15277 ), Zoom ha dicho que no usa la utilidad para convertir GIF cargados como imágenes de perfil en formato JPEG.


En respuesta a las divulgaciones, Zoom ha eliminado el servidor de autenticación Kerberos expuesto para evitar ataques de fuerza bruta, al tiempo que reconoce que está trabajando para abordar la falta de cifrado mientras almacena los registros de chat.

Se recomienda que los usuarios actualicen Zoom a la última versión para mitigar cualquier riesgo que surja de estos problemas.
"Agradecemos a Mazin por informar sus hallazgos. Hemos solucionado todos los problemas relevantes y recomendamos que los usuarios mantengan actualizados a sus clientes de Zoom para garantizar que reciban actualizaciones continuas de seguridad y productos. Zoom aprecia los informes de vulnerabilidad de los investigadores. Si cree que ha encontrado un problema de seguridad con los productos Zoom, envíe un informe detallado a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ", dijo un portavoz de la compañía a The Hacker News.

El desarrollo se produjo cuando la empresa resolvió una falla de seguridad el mes pasado. Permitió a los atacantes descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y escuchar a los participantes.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Crean una herramienta para burlar los sistemas de reconocimiento facial

Un grupo de ingenieros de la universidad de Chicago han desarrollado una herramienta que puede ayudar a proteger nuestras fotos en Internet de los algoritmos de reconocimiento facial.

Han bautizado a esta herramienta como 'Fawkes', en honor la famosa máscara de Guy Fawkes (que, tras aparecer inicialmente en distintos foros de Internet, se convirtió en el símbolo que identifica a los hacktivistas de Anonymous).


Cambios prácticamente imperceptibles para nosotros

El software desarrollado por los investigadores, además de permitir a los usuarios rastrear sus propias imágenes, también se encarga de introducir pequeñas modificaciones de píxeles en la fotografía para así "camuflarla".

Lo llamativo es que, a simple vista, seguramente nosotros no notemos que la foto haya cambiado. En cambio, el algoritmo detrás de este método de "camuflaje de imagen" es capaz de engañar a los sistemas de reconocimiento facial simplemente con modificar algunos píxeles.


Los investigadores aseguran que han probado su herramienta contra muchas técnicas de reconocimiento facial muy conocidas (como Face API de Microsoft Azure, Amazon Recognition y Face++) y afirman que ha quedado demostrada su eficacia.

Justo a principios de este año conocíamos un informe publicado por el New York Times, en el que se analizaba el trabajo de Clearview AI: una compañía, hasta el momento, prácticamente desconocida.

Esta compañía ofrece servicios de reconocimiento facial a unas 600 agencias policiales en los Estados Unidos y Canadá. Lo realmente impresionante es que cuenta con una biblioteca de imágenes (se hablaba de más de 3.000 millones de imágenes) que es siete veces mayor que la del FBI.

El desarrollo de herramientas como Fawkes puede hacernos recordar el dicho "quien hizo la ley, hizo la trampa". Tiene su punto de cyberpunk que diferentes inteligencias artificiales luchen entre sí para poder proteger nuestra privacidad. Una batalla que, al menos de momento, parece que será bastante complicado salir airosos de ella.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Muchas gracias por el aporte.

-Kirari

Por nada, un gusto mantener informada a la comunidad.

Saludos.

Las agencias de inteligencia en los EE. UU. Han publicado información sobre una nueva variante del virus informático de 12 años utilizado por los piratas informáticos patrocinados por el estado de China que apuntan a gobiernos, corporaciones y grupos de expertos.

Llamado " Taidoor " , el malware ha hecho un trabajo "excelente" de comprometer los sistemas ya en 2008 , con los actores desplegándolo en redes de víctimas para acceso remoto sigiloso.

"[El] FBI tiene una gran confianza en que los actores del gobierno chino están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de víctimas y para seguir explotando la red", dijo la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. Investigación (FBI), .

El Comando Cibernético de EE. UU. También ha subido cuatro muestras de Taidoor RAT en el repositorio público de malware VirusTotal para permitir que más de 50 compañías de antivirus verifiquen la participación del virus en otras campañas no atribuidas.

Sin embargo, el malware en sí no es nuevo. En un análisis realizado por investigadores de Trend Micro en 2012, se descubrió que los actores detrás de Taidoor aprovechaban los correos electrónicos de ingeniería social con archivos adjuntos PDF maliciosos para atacar al gobierno taiwanés.

Llamándolo una "amenaza constante y en constante evolución", FireEyenotó cambios significativos en sus tácticas en 2013, en donde "los archivos adjuntos de correo electrónico malicioso no eliminaron el malware Taidoor directamente, sino que dejaron caer un 'descargador' que luego tomó el malware Taidoor tradicional del Internet."

Luego, el año pasado, NTT Security descubrió evidencia de la puerta trasera utilizada contra organizaciones japonesas a través de documentos de Microsoft Word. Cuando se abre, ejecuta el malware para establecer comunicación con un servidor controlado por el atacante y ejecutar comandos arbitrarios.

Según el último aviso, esta técnica de usar documentos señuelo que contienen contenido malicioso adjunto a correos electrónicos de phishing no ha cambiado.

"Taidoor está instalado en el sistema de un objetivo como un servicio de biblioteca de enlace dinámico (DLL) y está compuesto por dos archivos", dijeron las agencias. "El primer archivo es un cargador, que se inicia como un servicio. El cargador (ml.dll) descifra el segundo archivo (svchost.dll) y lo ejecuta en la memoria, que es el principal troyano de acceso remoto (RAT)".

Además de ejecutar comandos remotos, Taidoor viene con características que le permiten recopilar datos del sistema de archivos, capturar capturas de pantalla y llevar a cabo las operaciones de archivo necesarias para filtrar la información recopilada.

CISA recomienda que los usuarios y administradores mantengan actualizados sus parches del sistema operativo, deshabiliten los servicios para compartir archivos e impresoras, apliquen una política de contraseña segura y sean cautelosos al abrir archivos adjuntos de correo electrónico.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A principios de este año, Apple solucionó una vulnerabilidad de seguridad en iOS y macOS que podría haber permitido que un atacante obtuviera acceso no autorizado a la cuenta de iCloud de un usuario.

Descubierto en febrero por Thijs Alkemade , especialista en seguridad de la firma de seguridad informática Computest, la falla residía en la implementación de Apple de la función biométrica TouchID (o FaceID) que autenticaba a los usuarios para iniciar sesión en sitios web en Safari, específicamente aquellos que usan inicios de sesión de Apple ID.

Después de que Apple informara el problema a través de su programa de divulgación responsable, el fabricante del iPhone abordó la vulnerabilidad en una actualización del lado del servidor.

Una falla de autenticación

La premisa central de la falla es la siguiente. Cuando los usuarios intentan iniciar sesión en un sitio web que requiere una ID de Apple, se muestra un mensaje para autenticar el inicio de sesión con Touch ID. Al hacerlo, se omite el paso de autenticación de dos factores, ya que aprovecha una combinación de factores para la identificación, como el dispositivo (algo que tiene) y la información biométrica (algo que es).

Compare esto durante los inicios de sesión en dominios de Apple (por ejemplo, "icloud.com") de la manera habitual con un ID y contraseña, en donde el sitio web incrusta un iframe que apunta al servidor de validación de inicio de sesión de Apple ("You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login"), que maneja el proceso de autenticación.



Como se muestra en la demostración en video , la URL del iframe también contiene otros dos parámetros: un "client_id" que identifica el servicio (por ejemplo, iCloud) y un "redirect_uri" que tiene la URL a la que se debe redirigir después de una verificación exitosa.

Pero en el caso de que un usuario se valide con TouchID, el iframe se maneja de manera diferente, ya que se comunica con el demonio AuthKit (akd) para manejar la autenticación biométrica y, posteriormente, recuperar un token ("grant_code") que utiliza You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login página para continuar el proceso de inicio de sesión.

Para hacer esto, el demonio se comunica con una API en "gsa.apple.com", a la que envía los detalles de la solicitud y desde la cual recibe el token.

La falla de seguridad descubierta por Computest reside en la API You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login mencionada anteriormente, lo que hizo posible teóricamente abusar de esos dominios para verificar una identificación de cliente sin autenticación.

"A pesar de que client_id y redirect_uri se incluyeron en los datos que le envió akd, no verificó que el URI de redireccionamiento coincida con el ID del cliente", señaló Alkemade. "En cambio, AKAppSSOExtension solo aplicaba una lista blanca en los dominios. Todos los dominios que terminaban en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login e You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login estaban permitidos".


Esto significa que un atacante podría explotar una vulnerabilidad de secuencias de comandos entre sitios en cualquiera de los subdominios de Apple para ejecutar un fragmento malicioso de código JavaScript que puede desencadenar una solicitud de inicio de sesión con el ID de cliente de iCloud y usar el token de concesión para obtener una sesión en icloud .com.

Configuración de puntos de acceso falsos para hacerse cargo de las cuentas de iCloud

En un escenario separado, el ataque podría ejecutarse incrustando JavaScript en la página web que se muestra al conectarse a una red Wi-Fi por primera vez (a través de "captive.apple.com"), permitiendo así que un atacante acceda a un usuario cuenta simplemente aceptando un aviso de TouchID de esa página.

"Una red Wi-Fi maliciosa podría responder con una página con JavaScript que inicia OAuth como iCloud", dijo Alkemade . "El usuario recibe una solicitud de TouchID, pero no está muy claro lo que implica. Si el usuario se autentica en esa solicitud, su token de sesión se enviará al sitio malicioso, dando al atacante una sesión para su cuenta en iCloud".

"Al configurar un punto de acceso falso en una ubicación donde los usuarios esperan recibir un portal cautivo (por ejemplo, en un aeropuerto, hotel o estación de tren), habría sido posible acceder a un número significativo de cuentas de iCloud, lo que habría permitió el acceso a copias de seguridad de imágenes, ubicación del teléfono, archivos y mucho más ", agregó.

Esta no es la primera vez que se encuentran problemas de seguridad en la infraestructura de autenticación de Apple. En mayo, Apple corrigió una falla que afectaba su sistema "Iniciar sesión con Apple" que podría haber hecho posible que los atacantes remotos omitieran la autenticación y se hicieran cargo de las cuentas de los usuarios seleccionados en servicios y aplicaciones de terceros que se hayan registrado utilizando el inicio de sesión de Apple. en opcion.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La popular aplicación de videoconferencia Zoom solucionó recientemente una nueva falla de seguridad que podría haber permitido a los atacantes potenciales descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes.

Las reuniones de Zoom están protegidas por defecto con una contraseña numérica de seis dígitos, pero según Tom Anthony, vicepresidente de productos de SearchPilot que identificó el problema , la falta de limitación de velocidad permitió que "un atacante intentara todas las 1 millón de contraseñas en cuestión de minutos y obtener acceso a las reuniones de Zoom privadas (protegidas por contraseña) de otras personas ".

Vale la pena señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abrilcomo medida preventiva para combatir los ataques de Bombardeo con Zoom, que se refiere al acto de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido obsceno y racista.

Anthony informó el problema de seguridad a la compañía el 1 de abril de 2020, junto con un script de prueba de concepto basado en Python, una semana después de que Zoom solucionó el problema el 9 de abril.
El hecho de que las reuniones estaban, de forma predeterminada, aseguradas por un El código de seis dígitos significaba que solo podía haber un máximo de un millón de contraseñas.

Pero en ausencia de comprobaciones para intentos repetidos de contraseña incorrecta, un atacante puede aprovechar el cliente web de Zoom (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) para enviar continuamente solicitudes HTTP para probar todas las combinaciones de un millón.
"Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos minutos", dijo Anthony.

El ataque funcionó con reuniones recurrentes, lo que implica que los malos actores podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.

El investigador también descubrió que el mismo procedimiento podría repetirse incluso con reuniones programadas, que tienen la opción de anular el código de acceso predeterminado con una variante alfanumérica más larga, y ejecutarlo contra una lista de los 10 millones de contraseñas principales para forzar un inicio de sesión por fuerza bruta.

Por separado, se descubrió un problema durante el proceso de inicio de sesión utilizando el cliente web, que empleó una redirección temporal para buscar el consentimiento de los clientes a sus términos de servicio y política de privacidad.

"Hubo un encabezado CSRF HTTP enviado durante este paso, pero si lo omitió, la solicitud parecía funcionar bien de todos modos", dijo Anthony. "La falla en el token CSRF hizo que sea aún más fácil abusar de lo que sería de otra manera, pero arreglar eso no proporcionaría mucha protección contra este ataque".

Tras los hallazgos, Zoom desconectó el cliente web para mitigar los problemas el 2 de abril antes de emitir una solución una semana después.

La plataforma de videoconferencia, que atrajo el escrutinio de una serie de problemas de seguridad a medida que su uso se disparó durante la pandemia de coronavirus, ha solucionado rápidamente los defectos a medida que se descubrían, incluso llegando al punto de anunciar un congelamiento de 90 días en el lanzamiento de nuevas funciones para "identificar, abordar y solucionar problemas de manera proactiva".

A principios de este mes, la compañía abordó una vulnerabilidad de día cero en su aplicación de Windows que podría permitir a un atacante ejecutar código arbitrario en la computadora de una víctima con Windows 7 o anterior.

También solucionó una falla separada que podría haber permitido a los atacantes imitar a una organización y engañar a sus empleados o socios comerciales para que revelen información personal u otra información confidencial a través de ataques de ingeniería social.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Telegram denuncia a Apple ante la UE por ejercer políticas monopolísticas contra las aplicaciones de la App Store

Si hace unos días conocíamos la noticia de que Slack acababa de presentar una denuncia contra Microsoft ante la Comisión Europea por prácticas anticompetitivas, hoy nos llega un caso muy similar: esta vez ha sido Telegram quien ha acusado de lo mismo a Apple.

¿El motivo? Sus políticas con respecto a la App Store, un asunto que otras compañías como Rakuten y Spotify también han querido llevar ante la comisaria Margrethe Vestager.


El principal argumento de Telegram radica en que Apple sólo permite a los usuarios de iOS instalar aplicaciones que previamente haya aceptado en su App Store, para lo cual los desarrolladores de las aplicaciones deben aceptar a su vez ceder a los de Cupertino el 30% de cada transacción realizada dentro de la tienda.

Durov acusa a Apple de mentir cuando vincula la tasa del 30% a los costes de mantenimiento
En palabras de Pavel Durov, creador de Telegram (que ha abordado la polémica en su blog personal), se trata de un "tributo" que hay que pagar sencillamente para tener acceso a los usuarios de iOS.

Durov cuenta además que los moderadores de Apple "aplazan a menudo la aprobación de actualizaciones, sin razones aparentes", lo que junto a la tasa del 30% termina convirtiendo algunos proyectos en "inviables".

Pero recuerda que esto también afecta a los consumidores, no sólo a las empresas de software:

"A pesar de que al comprar un teléfono de Apple ya se les cobra a los usuarios unos cientos de dólares más que su coste, encima pagan un impuesto adicional por cada aplicación.

[Uno pensaría que] esta situación no puede mantenerse durante mucho tiempo, pero ya llevaos así aproximadamente 10 años".

Durov discute el argumento de Apple de que esa tasa sea necesaria para mantener en funcionamiento la App Store:

"Cada trimestre, Apple recibe miles de millones de dólares de aplicaciones de terceros. Mientras tanto, los gastos necesarios para alojar y revisar estas aplicaciones son de decenas de millones, no miles de millones de dólares".

Pero, ¿por qué denunciar a Apple por estas condiciones, si las impuestas por Google en Google Play son bastante similares? Por un motivo muy sencillo, según Durov: Google no impide instalar apps procedentes de otras tiendas de aplicaciones, por lo que el desarrollador sigue teniendo opciones de llegar a los usuarios de Android sin 'pasar por el aro' de Google.

"No os quedéis sentados con los brazos cruzados mientras los lobistas y agentes de relaciones públicas de Apple siguen a lo suyo".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dentro de todos los navegadores que tenemos a nuestra disposición, Tor es uno de los más populares cuando se trata de seguridad. Está diseñado específicamente para preservar la privacidad y hacer que nuestra navegación no esté expuesta. Ahora un investigador ha descubierto diferentes problemas de seguridad que afecta a la red y navegador Tor. Vulnerabilidades que pueden poner en riesgo a los usuarios.

Encuentran vulnerabilidades de seguridad en Tor

Los usuarios que utilizan este navegador lo hacen principalmente para ganar en privacidad. Como decimos es una opción muy popular y que está presente en diferentes sistemas operativos y dispositivos. Ahora bien, cuando surgen problemas también pueden ser muchos los que se vean perjudicados.

Este investigador del que nos hacemos eco ha descubierto un total de dos vulnerabilidades de seguridad que afectan tanto a la red Tor como al navegador. Sin embargo asegura que próximamente lanzará otras tres vulnerabilidades.

Se trata de dos vulnerabilidades de día cero que Tor no ha resuelto. Asegura que tiene otros tres fallos más que revelará próximamente, uno de los cuales podría filtrar la dirección IP de los servidores Tor.

Uno de esos dos fallos permitiría a las compañías y los proveedores de servicios de Internet que pudieran bloquear a los usuarios para que no se conecten a la red Tor escaneando las conexiones de red en busca de «una firma de paquete distinta» que sea única para el tráfico Tor. Este paquete podría usarse como una forma de bloquear las conexiones de Tor para que no se inicien y prohibir la conexión por completo. Esto es algo que podrían utilizar por ejemplo países sin libertad de Internet.

La segunda de estas vulnerabilidades también permite que los operadores de red detecten el tráfico Tor. En esta ocasión podrían detectar conexiones indirectas, y no ya como en el caso anterior conexiones directas a la red Tor. Son las conexiones que los usuarios hacen a los puentes Tor, un tipo especial de puntos de entrada a la red que se puede usar cuando las empresas y los operadores bloquean el acceso directo a la red Tor.


Desde Tor difieren de las amenazas a los usuarios

Hay que mencionar que desde el proyecto Tor han explicado que son conscientes de estas dos vulnerabilidades presentadas, pero que difieren respecto a si realmente son una amenaza o no para los usuarios.

Como vemos, en ocasiones pueden surgir vulnerabilidades que afectan a nuestros sistemas, aplicaciones y cualquier equipo que utilicemos. Normalmente son los propios desarrolladores los que lanzan parches y actualizaciones de seguridad. Es importante que siempre contemos con las nuevas versiones para evitar así posibles fallos que nos pongan en riesgo.

La seguridad y privacidad son factores fundamentales. Cuando navegamos por la red podemos exponer muchos datos. Esto podría ser un problema importante. Os dejamos un artículo donde explicamos cómo debe ser un navegador seguro. Algunos aspectos clave que debemos tener en cuenta cuando vayamos a instalar un software de este equipo en nuestros equipos, sin importar qué sistema operativo tengamos instalado.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estamos en la era de las vulnerabilidades masivas y con llamativos nombres que copan grandes titulares. En este caso, tenemos que hablar del descubrimiento de un equipo de ciberseguridad que hoy ha desvelado todos los detalles de una vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos con Linux y Windows, incluyendo servidores, portátiles, ordenadores de sobremesa y dispositivos del Internet de las cosas (IoT). Este ha sido bautizado como BootHole y afecta a GRUB2.

La vulnerabilidad BootHole, con la referencia CVE-2020-10713 ha sido valorada en el sistema de puntuación de vulnerabilidad común (CVSS) con un 8.2, siendo 10 la punutación más elevada que puede recibir en función de su gravedad. Esta está presente en el bootloader GRUB2 y podría permitir que un atacante se saltara la función de Secure Boot para conseguir permisos elevados persistentes en los sistemas afectados.

Como sabemos, Secure Boot es una función de seguridad de Unified Extensible Firmware Interface (UEFI) que impide la ejecución de cualquier software no firmado o certificado en el arranque del sistema. Uno de los objetivos de Secure Boot es evitar que el código no autorizado, incluso ejecutado con privilegios de administrador, obtenga privilegios adicionales deshabilitando Secure Boot o modificando la cadena de arranque.

Así es el fallo en GRUB2

La vulnerabilidad BootHole en el gestor de arranque GRUB2 puede comprometer dispositivos Windows y Linux que utilizan el arranque seguro. Los atacantes pueden aprovechar el fallo en el popular gestor de arranque para ejecutar código arbitrario durante el proceso de arranque, incluso cuando el arranque seguro está habilitado.


Se trata de una vulnerabilidad del tipo buffer overflow que afecta a todas las versiones de GRUB2. Está relacionada con la forma de procesar el fichero de configuración grub.cfg, que normalmente no está firmado como otros archivos o ejecutables.

Aprovechar el fallo de seguridad por parte de atacantes con acceso físico al dispositivo o privilegios de administradores puede ser para instalar malware, alterar el proceso de inicio, parchear el kernel del sistema operativo o realizar muchas otras acciones del tipo malicioso.

Uno de los principales problemas de esta vulnerabilidad es que se realiza el ataque antes de que se cargue el sistema operativo, por lo que se dificulta la tarea de detectar la presencia de malware o eliminarlo por parte de las soluciones de seguridad habituales.

Otro problema es que requerirá un elevado grado de colaboración entre varias empresas para su solución definitiva. Además, desde Eclypsium (responsable del descubrimiento del problema) apuntan a que sólo con instalar parches y actualizar GRUB2 no será suficiente, porque los atacantes pueden sustituirlo por una versión vulnerable.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De un tiempo a una parte, todo lo relacionado con los vídeos online no ha parado de crecer y evolucionar, tanto en PC como en los móviles. Son muchas las plataformas de diversa índole de las que podemos echar mano en estos momentos, donde TikTok destaca como una de las más populares.

Esta es una plataforma que no para de crecer y extenderse a lo largo de todo el mundo, ya sean mayores, muy mayores, o los más jóvenes. De hecho y tras la época de cuarentena que estamos pasando en estos momentos, este es un servicio online que está más de moda que nunca. Dispone de más de 500 millones de usuarios activos en todo el mundo, cifra que por el momento se espera que siga en aumento.

Trump planea restringir el uso de TikTok en Estados Unidos

Pero mientras que para muchos todo ello supone una auténtica revolución social, otros lo empiezan a ver más como un peligro que otra cosa. Este es el caso del presidente de los Estados Unidos, Donald Trump, y su gobierno. Tal es así que hace escasamente unas horas ha realizado un importante anuncio respecto al uso de TikTok en el país norteamericano. Siendo un poco más concretos, el presidente tiene planeado prohibir el uso de la red social de origen chino centrada en los vídeos. La principal razón de todo ello viene dada por ciertos motivos de seguridad nacional, tal y como lo argumenta Trump.


De hecho en las declaraciones realizadas, como os comentamos hace escasamente unas horas, ha dejado claras sus intenciones: «En lo que respecta a TikTok, lo vamos a prohibir en Estados Unidos». Esto es algo que se ha podido escuchar este pasado viernes por la noche por parte del presidente estadounidense a bordo del Air Force One. Es más, a ello ha sumado «Tengo esa autoridad. Puedo hacerlo con una orden ejecutiva».

A pesar de todo lo que esto acarrea, lo cierto es que el propio gobierno de Trump ya había dejado algunos vestigios en el pasado acerca de esta decisión. En concreto su secretario de estado, Mike Pompeo, ya había abordado esta posibilidad hace unas semanas. En esas mismas declaraciones Pompeo dejó entrever que cabía la posibilidad de que el país de origen de la red social, China, estuviese usando la plataforma como medio de vigilancia y para distribuir propaganda propia.

El uso de TikTok estará prohibido en los EE.UU.

Y es que la tensión entre ambas regiones no ha parado de crecer en los últimos meses, más tras los estragos que estamos viendo debido a la pandemia que asola todo el mundo. A pesar de las razones que el gobierno argumenta, es más que probable que esta sea una decisión que no va a gustar a la mayoría.

Más si tenemos en consideración la enorme penetración de mercado con la que cuenta en estos momentos, tanto en el país norteamericano, como en el resto del mundo.  Por tanto y en parte debido a esa enorme expansión global, ahora el gobierno de los EE.UU. teme por la seguridad de los datos de todos esos usuarios de la red social de vídeos, TikTok.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A pesar de sus medidas de seguridad, Play Store sigue siendo un gran apoyo para los actores de amenazas, mencionan expertos en seguridad de aplicaciones. La más reciente campaña maliciosa desplegada a través de esta plataforma tiene que ver con un conjunto de apps maliciosas que infestan los dispositivos Android con publicidad invasiva y aleatoria. Además, los expertos mencionan que estas apps son capaces de ocultar su ícono después de que son instaladas en un dispositivo.

Los investigadores de White Ops detectaron un total de 29 aplicaciones potencialmente maliciosas con gran cantidad de tráfico de anuncios y más de 3.5 millones de descargas. Desarrolladas por la firma "ChartreuseBlur", estas aplicaciones se enfocan en los efectos de cámara y edición de fotografías.



Las características de estas aplicaciones hacen muy complicado su proceso de desinstalación, pues los usuarios incluso deben ingresar al menú de configuraciones de su dispositivo para comprobar si la aplicación realmente está instalada, mencionan los expertos en seguridad de aplicaciones. Otro método para comprobar esto es verificar la lista de procesos en ejecución.

Una de las apps que más llamó la atención de los especialistas fue Square Photo Blur, pues consideran que se comporta de forma similar a muchas otras aplicaciones maliciosas. Después de ser descargada, esta app comienza a infestar el dispositivo con anuncios sin sentido aparente, conducta inesperada en cualquier software disponible en Play Store. La plataforma eliminó esta app poco después de recibir algunas quejas.

Posteriormente, los expertos en seguridad de aplicaciones concluyeron que el conjunto de aplicaciones analizadas contenían una carga útil en tres etapas; mientras que el código de las apps aparece de forma normal en las dos primeras etapas, la tercera muestra indicios de conducta sospechosa.

Esta tercera etapa es exactamente donde el código malicioso oculto dentro de la aplicación comienza a generar anuncios, además de que su presencia puede apreciarse en forma de paquetes com.bbb. Los anuncios invasivos pueden aparecer apenas el usuario desbloquea el teléfono, o bien al comenzar la carga o cambiar de red móvil a conexión WiFi.

Finalmente, al seleccionar el ícono de la aplicación, los investigadores descubrieron que Square Photo Blur es una especie de cascarón vacío cuyos desarrolladores se las arreglaron para eludir los controles de Play Store.

La lista de aplicaciones maliciosas ya ha sido reportada, se espera que estos desarrollos sean eliminados de la plataforma a la brevedad. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es una fantástica web creada por Foone que te permiten generar imágenes a partir de decenas de pantallas de videojuegos clásicos con tu propio texto. Y el proceso es tremendamente sencilla.

La web, vale la pena recordarlo, comenzó siendo la herramienta de código abierto que es centrada en un generador de pantallas de muerte de los juegos de Sierra en 2017; de ahí su nombre, claro. Luego la cosa fue más allá de los game over y se convirtió en el verdadero generador de nostalgia actual.


Un generador de nostalgia


Para utilizar este generador basta entrar a la web, seleccionar uno de los juegos y desplazarse hasta la parte inferior de la página, donde dependiendo del título es posible que podamos personalizar la pantalla elegida antes de escribir aquello que deseemos en la caja destinada a este fin.

Una vez creada la imagen que deseemos, podemos descargarla pulsando en el botón Save o subirla a Imgur a través del botón Upload. En segundos, usando la segunda opción, nos aparecerá en enlace directo a la imagen. La verdad es que quedan fenomenal, con la tipografía perfecta y un aspecto impecable. 

Si alguien tiene curiosidad, tratándose de un proyecto de código abierto,You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Las imágenes. eso sí, naturalmente tienen sus derechos de autor correspondientes a sus creadores y/o propietarios, aunque se emplean "bajo un uso justo".


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 4.000 bases de datos expuestas en la red han sufrido en los últimos días un ataque que ha borrado todos sus contenidos. Los responsables del mismo no han reivindicado la acción, ni han dejado una nota de rescate exigiendo dinero para que los propietarios de las bases recuperen sus datos; sólo han dejado un mensaje: "miau".

O más bien "meow", a la inglesa, pues esta es la 'firma' que dejan los misteriosos atacantes en las bases de datos vandalizadas, acompañados de grandes cantidades de cadenas de texto aleatorias... como se ve en la siguiente captura:


Estos ataques parecen estar automatizados, y estar causados pore un script que va seleccionando servidores 'atacables' mediante una búsqueda de determinadas vulnerabilidades (instalaciones en servidores sin cifrado SSL y/o protección mediante cortafuegos, etc).

¿Qué sabemos de víctimas y atacantes?

La mayoría de las bases atacadas son de tipo Elasticsearch y MongoDB. No son precisamente tecnologías 'de juguete': la primera es usada por plataformas como Udemy y Shopify, mientras que la segunda cuenta con usuarios tan destacados como el Gobierno británico, Adobe, eBay y Verizon. También han 'caído' algunas bases de datos basadas en otras tecnologías, como Redis, Cassandra y CouchDB.

Los expertos no han detectado ningún patrón concreto que una a las víctimas de estos ataques, lo que hace pensar en que podrían ser cosa de uno o varios hackers que están optando por métodos expeditivos de "dar una lección" de ciberseguridad a los administradores de las bases.

Un usuario ha colgado en Twitter capturas de servidores atacados que mostrarían que los atacantes están ejecutando sus ataques 'miau' conectándose a través de Proton VPN, una red privada virtual centrada en la privacidad, con el propósito de ocultar el origen del ataque.


Los responsables de Proton utilizaron también Twitter para anunciar su intención de revisar la actividad de su red e intentar bloquear a los usuarios responsables.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login