No es la primera vez que hablamos sobre Internet cuántico, pero sí la primera vez que tenemos un proyecto importante en marcha. En este caso, el Departamento de Energía de los Estados Unidos (DOE por sus siglas en inglés), ha presentado un proyecto para la creación de una red nacional de Internet cuántico que sea súper rápida e imposible de hackear. El documento oficial describe hasta cuatro áreas de desarrollo que se deben poner en marcha para desarrollar la tecnología junto con cinco hitos que se deben cumplir para lograr que el proyecto llegue a buen puerto.

A grandes rasgos, la computación cuántica se basa, como no podía ser de otra forma, en la mecánica cuántica. Actualmente, la información se almacena en bits que pueden valer 0 o 1, pero en la computación cuántica hablaríamos de qubit que puede tener un estado donde el valor puede ser 1 y 0 a la vez. Si unimos dos o más qubits damos lugar al entralazamiento cuántico, una conexión entre dos o más partículas de manera que una acción realizada en una tiene un efecto inmediato en las demás.

Esto se conoce como teletransportación cuántica y sería la base fundamental para un Internet cuántico realmente rápido. La latencia se reduciría drásticamente y la comunicación sería instantánea incluso a grandes distancias. Por otro lado, la seguridad haría que fuera imposible espiar o interceptar información de una "conexión cuántica" ya que, al leer el estado del objeto, cambiaría el mensaje automáticamente.

Diferentes avances para crear Internet cuántico

Estos son los dos principios en los que se basa Internet cuántico, pero todavía quedan muchos desafíos por delante. Son varios los proyectos que se han puesto a trabajar en ello, pero ahora parece que el propio gobierno de los Estados Unidos quiere convertirlo en una seria posibilidad. Algunos experimentos son los del satélite chino Micius que ha sido capaz de enviar información a 1.200 kilómetros de distancia.


El plan del gobierno de los Estados Unidos define varias prioridades para conseguir tener Internet cuántico. Por ejemplo, crear el entorno adecuado para construirlo, integrar los dispositivos de Internet cuántico, creación de las tecnologías de enrutamiento para nodos cuánticos y habilitar la corrección de errores en las funciones de esta red.

Además, se establecen cinco hitos en el camino al desarrollo del Internet cuántico. Desde la verificación de que la tecnología funciona en las redes de fibra óptica actuales hasta desarrollar una red cuántica entre universidades y otros organismos involucrados en el proyecto.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Garmin, el fabricante de rastreadores de estado físico, relojes inteligentes y dispositivos portátiles basados ​​en GPS, actualmente está lidiando con una interrupción masiva del servicio mundial después de ser golpeado por un ataque de ransomware dirigido, dijo un empleado de la compañía a The Hacker News bajo condición de anonimato.

El sitio web de la compañía y la cuenta de Twitter dicen: "Actualmente estamos experimentando una interrupción que afecta a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y Garmin Connect".

"Esta interrupción también afecta a nuestros centros de llamadas, y actualmente no podemos recibir llamadas, correos electrónicos o chats en línea. Estamos trabajando para resolver este problema lo más rápido posible y disculparnos por este inconveniente".

Como resultado, la compañía ayer se vio obligada a cerrar temporalmente algunos de sus servicios conectados, incluidos Garmin Express, Garmin Connect mobile y el sitio web, lo que restringe a millones de sus usuarios el acceso a los servicios en la nube o incluso sincronizar sus relojes localmente con la aplicación .

Aunque no hay mucha información disponible sobre los aspectos técnicos del ataque cibernético, algunos informes de medios locales afirman que los piratas informáticos han logrado comprometer los servidores de aplicaciones y bases de datos de la compañía con ransomware.

También dice que Garmin ha enviado anuncios a su personal de TI en las fábricas con sede en Taiwán anunciando los próximos dos días de mantenimiento planificado, es decir, 24 y 25 de julio.

Múltiples fuentes en la comunidad de ciberseguridad sugieren que el ciberataque pudo haber involucrado a WastedLocker, uno de los pandilla de ransomware dirigida, conocida como Evil Corp o Dridex.


El modus operandi de los atacantes detrás de WastedLocker implica comprometer las redes corporativas, realizar una escalada de privilegios y luego usar el movimiento lateral para instalar ransomware en sistemas valiosos antes de exigir millones de dólares en pago de rescate.

Según los expertos de SentinelOne , WastedLocker es una familia relativamente nueva de ransomware activa durante los últimos meses y desde entonces ha estado atacando objetivos de alto valor en numerosas industrias.

WastedLocker utiliza el conjunto de herramientas SocGholish basado en JavaScript para entregar la carga útil disfrazándose de actualizaciones del sistema o del software, explota las técnicas de omisión de UAC para elevar los privilegios y aprovecha Cobalt Strike para movimientos laterales.

"Toda la tecnología de seguridad en el mundo no protegerá contra atacantes determinados. El 97% de las pérdidas provienen de ataques de ingeniería social y más del 90% se inician por correo electrónico", dijo el CEO de Lucy Security, Colin Bastable, compartió un comentario con The Hacker News.

"No hay líneas de frente en la guerra cibernética: todos somos un juego justo para los malos actores, y ninguna entidad o persona está a salvo del ciberataque. Entrene a su gente para detectar y resistir los ataques de ransomware, así como parchea a los sistemas, "Formación regular, variada, continua y bien planificada de concientización de seguridad para hacerlos parte de sus defensas", agregó Bastable.

El CEO de Gurucul, Saryu Nayyar, también sugirió lo mismo:

"Simplemente no se sabe cuándo atacarán los malos y quién será su próxima víctima. Sin embargo, lo que sí sabemos es que todas las organizaciones son susceptibles a ataques de ransomware".

"Entonces, haga lo que pueda para prepararse y responder. Con suerte, Garmin tiene un régimen de respaldo diario para los sistemas y los datos de la compañía. Eso es lo que está en juego. Si lo golpean, al menos puede recuperar sus datos".

Garmin aún no ha confirmado oficialmente si el incidente es un ataque de ransomware o no, pero nos hemos puesto en contacto con la compañía y actualizaremos la historia tan pronto como recibamos más información sobre este incidente.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad  descubrieron un malware de Linux completamente indetectable que explota técnicas indocumentadas para permanecer bajo el radar y apunta a servidores Docker de acceso público alojados en plataformas de nube populares, incluidas AWS, Azure y Alibaba Cloud.

Docker es una solución popular de plataforma como servicio (PaaS) para Linux y Windows diseñada para facilitar a los desarrolladores la creación, prueba y ejecución de sus aplicaciones en un entorno aislado aislado llamado contenedor.

Según la última investigación que Intezer compartió con The Hacker News, una campaña de minería de bots de minería de Ngrok que escanea Internet en busca de puntos finales de la API de Docker mal configurados y ya ha infectado muchos servidores vulnerables con nuevo malware.

Si bien la botnet de minería Ngrok está activa durante los últimos dos años, la nueva campaña se centra principalmente en tomar el control de los servidores Docker mal configurados y explotarlos para configurar contenedores maliciosos con criptomineros que se ejecutan en la infraestructura de las víctimas.

Apodado ' Doki ' , el nuevo malware multiproceso aprovecha "un método no documentado para contactar a su operador al abusar de la cadena de bloques de criptomonedas Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2 a pesar de que las muestras estén disponibles públicamente en VirusTotal".


Según los investigadores, el malware:

- ha sido diseñado para ejecutar comandos recibidos de sus operadores,
- utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real dinámicamente,
- usa la biblioteca embedTLS para funciones criptográficas y comunicación de red,
- crea URL únicas con una vida útil corta y las usa para descargar cargas útiles durante el ataque.

"El malware utiliza el servicio DynDNS y un algoritmo de generación de dominio único (DGA) basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real".

Además de esto, los atacantes detrás de esta nueva campaña también han logrado comprometer las máquinas host al vincular los contenedores recién creados con el directorio raíz del servidor, lo que les permite acceder o modificar cualquier archivo en el sistema.


"Al utilizar la configuración de enlace, el atacante puede controlar la utilidad cron del host. El atacante modifica el cron del host para ejecutar la carga útil descargada cada minuto".

"Este ataque es muy peligroso debido al hecho de que el atacante usa técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima".

Una vez hecho, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq.

Doki logró permanecer bajo el radar durante más de seis meses a pesar de haber sido cargado en VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces. Sorprendentemente, al momento de escribir esto, aún no es detectable por ninguno de los 61 principales motores de detección de malware.

El software contenedor más destacado se ha dirigido por segunda vez en un mes. A fines del mes pasado, se encontraron actores maliciosos dirigidos a puntos finales expuestos de la API de Docker e imágenes infestadas de malware para facilitar los ataques DDoS y minar criptomonedas .

Se recomienda a los usuarios y organizaciones que ejecutan instancias de Docker que no expongan las API de Docker a Internet, pero si aún lo necesita, asegúrese de que solo sea accesible desde una red o VPN de confianza, y solo a usuarios de confianza para controlar su demonio Docker.

Si administra Docker desde un servidor web para aprovisionar contenedores a través de una API, debe ser aún más cuidadoso de lo habitual con la verificación de parámetros para asegurarse de que un usuario malintencionado no pueda pasar parámetros diseñados que hacen que Docker cree contenedores arbitrarios.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lazarus Group, el famoso grupo de piratería con vínculos con el régimen norcoreano, ha desatado un nuevo marco de malware multiplataforma con el objetivo de infiltrarse en entidades corporativas de todo el mundo, robar bases de datos de clientes y distribuir ransomware.

Capaz de apuntar a los sistemas operativos Windows, Linux y macOS, el marco de malware MATA, llamado así por la referencia de los autores a la infraestructura como "MataNet", viene con una amplia gama de características diseñadas para llevar a cabo una variedad de actividades maliciosas. en máquinas infectadas.

Se dice que la campaña MATA comenzó a principios de abril de 2018, y que la victimología se remonta a compañías no identificadas en los sectores de desarrollo de software, comercio electrónico y proveedores de servicios de Internet ubicados en Polonia, Alemania, Turquía, Corea, Japón e India, ciberseguridad firmaKaspersky dijo en su análisis del miércoles.



En el último desarrollo, la versión de Windows de MATA consiste en un cargador utilizado para cargar una carga útil cifrada de la siguiente etapa: un módulo orquestador ("lsass.exe") capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria.

Los complementos en sí mismos son ricos en características, con características que permiten que el malware manipule archivos y procesos del sistema, inyecte archivos DLL y cree un servidor proxy HTTP.

Los complementos MATA también permiten a los piratas informáticos dirigirse a dispositivos de red sin disco basados ​​en Linux, como enrutadores, firewalls o dispositivos IoT, y sistemas macOS al enmascararse como una aplicación 2FA llamada TinkaOTP, que se basa en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP.

Una vez que se implementaron los complementos, los piratas informáticos intentaron localizar las bases de datos de la empresa comprometida y ejecutar varias consultas de la base de datos para obtener los detalles del cliente. No está claro de inmediato si tuvieron éxito en sus intentos. Además, los investigadores de Kaspersky dijeron que se utilizó MATA para distribuir el ransomware VHD a una víctima anónima.

Kaspersky dijo que vinculó MATA con el Grupo Lazarus basado en el formato de nombre de archivo único que se encuentra en el orquestador ("c_2910.cls" y "k_3872.cls"), que se ha visto anteriormente en varias variantes del malware Manuscrypt .


El Grupo Lazarus patrocinado por el estado (también llamado Hidden Cobra o APT38) se ha relacionado con muchas ofensivas cibernéticas importantes , incluido el pirateo de Sony Pictures en 2014, el pirateo bancario SWIFT en 2016 y la infección por ransomware WannaCry en 2017.

. APT agregó el skimming web a su repertorio, apuntando a los sitios web de comercio electrónico de EE. UU. Y Europa para plantar skimmers de pago basados ​​en JavaScript.

La inclinación del equipo de hackers a llevar a cabo ataques motivados financieramente llevó al Tesoro de los Estados Unidos a sancionar al grupo y sus dos disparos, Bluenoroff y Andariel, en septiembre pasado.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Adobe lanzó hoy actualizaciones de software para parchar un total de 13 nuevas vulnerabilidades de seguridad que afectan a 5 de sus aplicaciones ampliamente utilizadas.

De estas 13 vulnerabilidades, cuatro han sido calificadas como críticas y nueve son importantes en gravedad.
Los productos afectados que recibieron parches de seguridad hoy incluyen:

- Aplicación de escritorio Adobe Creative Cloud
- Adobe Media Encoder
- Servicio genuino de Adobe
- Adobe ColdFusion
- Adobe Download Manager

La aplicación de escritorio Adobe Creative Cloud versiones 5.1 y anteriores para sistemas operativos Windows contienen cuatro vulnerabilidades, una de las cuales es un problema crítico de enlace simbólico (CVE-2020-9682) que conduce a ataques arbitrarios de escritura en el sistema de archivos.

Según el aviso , las otras tres fallas importantes en este software de Adobe son problemas de escalada de privilegios.

Adobe Media Encoder contiene dos ejecuciones críticas de código arbitrario (CVE-2020-9650 y CVE-2020-9646) y un problema importante de divulgación de información, que afecta a los usuarios de Windows y macOS que ejecutan Media Encoder versión 14.2 o anterior.

Adobe Genuine Service , una utilidad en la suite de Adobe que evita que los usuarios ejecuten software pirateado no genuino o pirateado, se ve afectado por tres problemas importantes de escalada de privilegios. Estos defectos residen en la versión de software 6.6 y anteriores para los sistemas operativos Windows y macOS.

La plataforma de desarrollo de aplicaciones web de Adobe ColdFusion también sufre dos problemas importantes de escalada de privilegios de gravedad que pueden llevarse a cabo explotando el ataque de secuestro de orden de búsqueda de DLL.

Al final,Adobe Download Manager se ha encontrado vulnerable a un solo defecto (CVE-2020-9688) que es crítico en gravedad y podría conducir a la ejecución de código arbitrario en el contexto actual del usuario a través del ataque de inyección de comandos.

La falla afecta a Adobe Download Manager versión 2.0.0.518 para Windows y se ha parcheado con el lanzamiento de la versión 2.0.0.529 del software.

Ninguna de las vulnerabilidades de seguridad corregidas en este lote de actualizaciones de Adobe se divulgó públicamente o se descubrió que se explotaban en la naturaleza.

Sin embargo, todavía es muy recomendable que los usuarios de Adobe descarguen e instalen las últimas versiones del software afectado para proteger sus sistemas y empresas de posibles ataques cibernéticos.

Eso también se debe a que muchos parches lanzados en el lote de hoy han recibido una calificación de prioridad de 2, lo que significa que anteriormente se han visto fallas similares explotadas en la naturaleza, y por ahora, la compañía no ha encontrado evidencia de ninguna explotación de estas vulnerabilidades.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad revelaron una nueva vulnerabilidad "crítica" altamente crítica, con un puntaje de severidad de 10 sobre 10 en la escala CVSS, que afecta las versiones de Windows Server 2003 a 2019.

La falla de ejecución remota de código de 17 años ( CVE-2020- 1350 ), denominado ' SigRed ' por Check Point, podría permitir que un atacante remoto no autenticado obtenga privilegios de administrador de dominio sobre los servidores específicos y tome el control completo de la infraestructura de TI de una organización.

Un actor de amenazas puede explotar la vulnerabilidad SigRed enviando consultas DNS maliciosas creadas a un servidor DNS de Windows y lograr la ejecución de código arbitrario, lo que permite al hacker interceptar y manipular los correos electrónicos y el tráfico de red de los usuarios, hacer que los servicios no estén disponibles, cosechar usuarios
En un informe detallado compartido con The Hacker News, el investigador de Check Point, Sagi Tzadik, confirmó que la falla es de naturaleza wormable, lo que permite a los atacantes lanzar un ataque que puede propagarse de una computadora vulnerable a otra sin ninguna interacción humana.

"Un solo exploit puede iniciar una reacción en cadena que permita que los ataques se propaguen de una máquina vulnerable a otra sin requerir ninguna interacción humana", dijo el investigador.

"Esto significa que una sola máquina comprometida podría ser un 'súper difusor', permitiendo que el ataque se extienda por toda la red de la organización a los pocos minutos del primer exploit".

Después de que la empresa de seguridad cibernética revelara sus hallazgos de manera responsable a Microsoft, el fabricante de Windows preparó un parche para la vulnerabilidad y comenzó a implementarlo a partir de hoy como parte de su martes de parches de julio, que también incluye actualizaciones de seguridad para otras 122 vulnerabilidades, con un total de 18 fallas listado como crítico y 105 como importante en severidad.

Microsoft dijono encontró evidencia que demuestre que el error ha sido explotado activamente por los atacantes, y aconsejó a los usuarios que instalen los parches inmediatamente.

"Windows DNS Server es un componente central de la red. Aunque actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible", dijo Microsoft.

Elaboración de respuestas DNS maliciosas

Al afirmar que el objetivo era identificar una vulnerabilidad que permitiría a un atacante no autenticado comprometer un entorno de dominio de Windows, los investigadores de Check Point dijeron que se centraron en el DNS de Windows, específicamente observando de cerca cómo un servidor DNS analiza una consulta entrante o una respuesta para un consulta reenviada

Una consulta reenviada ocurre cuando un servidor DNS no puede resolver la dirección IP de un nombre de dominio determinado (por ejemplo, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), lo que hace que la consulta se reenvíe a un servidor de nombres DNS (NS) autorizado.


Para explotar esta arquitectura, SigRed implica configurar los registros de recursos NS de un dominio ("deadbeef.fun") para que apunten a un servidor de nombres malicioso ("ns1.41414141.club") y consultar el dominio del servidor DNS de destino para tener este último analiza las respuestas del servidor de nombres para todas las consultas posteriores relacionadas con el dominio o sus subdominios.

Con esta configuración, un atacante puede desencadenar una falla de desbordamiento de enteros en la función que analiza las respuestas entrantes para las consultas reenviadas ("dns.exe! SigWireRead") para enviar una respuesta DNS que contenga un registro de recursos SIG mayor de 64 KB e induzca un "Desbordamiento de búfer basado en almacenamiento dinámico controlado de aproximadamente 64 KB sobre un búfer asignado pequeño".

Dicho de otra manera; la falla se dirige a la función responsable de asignar memoria para el registro de recursos ("RR_AllocateEx") para generar un resultado mayor de 65,535 bytes para causar un desbordamiento de enteros que conduce a una asignación mucho menor de lo esperado.

Pero con un solo mensaje DNS limitado a 512 bytes en UDP (o 4,096 bytes si el servidor admite mecanismos de extensión ) y 65,535 bytes en TCP, los investigadores descubrieron que una respuesta SIG con una firma larga por sí sola no era suficiente para desencadenar la vulnerabilidad.

Para lograr esto, el ataque aprovecha hábilmente la compresión del nombre DNS en las respuestas DNS para crear un desbordamiento del búfer utilizando la técnica mencionada anteriormente para aumentar el tamaño de la asignación en una cantidad significativa.

Explotación remota de la falla

Eso no es todo. SigRed se puede activar de forma remota a través de un navegador en escenarios limitados (por ejemplo, Internet Explorer y navegadores Microsoft Edge no basados ​​en Chromium), lo que permite a un atacante abusar del soporte de los servidores DNS de Windows para la reutilización de conexiones y las características de canalización de consultas para "contrabandear" una consulta DNS dentro de una carga de solicitud HTTP a un servidor DNS de destino al visitar un sitio web bajo su control.

Además, el error puede explotarse aún más para filtrar las direcciones de memoria al corromper los metadatos de un registro de recursos DNS e incluso lograr capacidades de escritura en cualquier lugar , lo que permite a un adversario secuestrar el flujo de ejecución y hacer que ejecute instrucciones no deseadas.


Sorprendentemente, los clientes DNS ("dnsapi.dll") no son susceptibles al mismo error, lo que lleva a los investigadores a sospechar que "Microsoft administra dos bases de código completamente diferentes para el servidor DNS y el cliente DNS, y no sincroniza parches de errores entre ellos ".

Dada la gravedad de la vulnerabilidad y las altas posibilidades de explotación activa, se recomienda que los usuarios apliquen parches a sus servidores DNS de Windows afectados para mitigar el riesgo.

Como solución temporal, la longitud máxima de un mensaje DNS (sobre TCP) se puede establecer en "0xFF00" para eliminar las posibilidades de un desbordamiento del búfer:


"Una violación del servidor DNS es algo muy serio. La mayoría de las veces, coloca al atacante a solo una pulgada de la violación de toda la organización. Solo hay un puñado de estos tipos de vulnerabilidad que se han lanzado", dijo Omri Herscovici de Check Point a The Hacker. Noticias.

"Todas las organizaciones, grandes o pequeñas que usan la infraestructura de Microsoft, corren un gran riesgo de seguridad si no se reparan. El riesgo sería una violación completa de toda la red corporativa".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace unos días, Google y Canonical (desarrolladores de Ubuntu Linux) hicieron un anuncio que, pese a su potencial importancia, ha pasado algo desapercibido: el lanzamiento de una versión (alfa) de Flutter para el sistema operativo Linux.

Flutter es un framework de interfaz de usuario 'open source' (y basado en Dart) que Google lanzó hace dos años para facilitar el desarrollo de apps móviles multiplataforma iOS/Android (además de para Fuchsia). Esta tecnología, que se presenta como alternativa a React Native, cuenta ya con 500.000 desarrolladores.

Los horizontes de Flutter están más allá de los dispositivos móviles

Pero, desde hace un año, Flutter también permite a los programadores crear aplicaciones web y de escritorio utilizando la misma base de código. Y, a partir de ahora, el propio Linux se sumará como opción para ejecutar aplicaciones previamente desarrolladas para dispositivos móviles.

Lo significativo es que Google ya no se contenta con la mera ejecución en escritorio de aplicaciones con las funcionalidades y el aspecto de un app móvil. En palabras de Google,

"esta labor ha incluido una amplia refactorización del motor [...] para garantizar que, además de ser adecuado para dispositivos móviles, Flutter esté listo para gestionar sus primeras aplicaciones de ecritorio de tamaño completo [...] admitiendo la entrada de ratón y teclado, así como ventanas redimensionables".

Canonical, por su parte, logra un espaldarazo a su tecnología de paquetes multi-distribución Snap (en dura pugna, actualmente, con los Flatpak), pues será el 'formato' con que Flutter compile las aplicaciones para Linux.

Para ello, ha prometido colaborar con Google para "mejorar el soporte de Linux y equiparar sus características con el de las otras plataformas compatibles".

Si eres un desarrollador que trabaje con Linux y quieres empezar a probar la versión alfa del SDK de Flutter para este sistema operativo, sólo tienes que instalarlo desde la Snap Store (opcionalmente puedes instalar también el paqute flutter-gallery, que proporciona una amplia gama de componentes gráficos para crear apps de escritorio):

sudo snap install flutter --classic

sudo snap install flutter-gallery

Una vez instalado todo eso, sólo deberás ejecutar los siguientes comandos para empezar a desarrollar apps para Linux:

flutter channel dev

flutter upgrade

flutter config --enable-linux-desktop


En Snapcraft, por otra parte, ya puedes encontrar una app denominada Flokk Contacts, excelente a nivel de interfaz, que sirve de ejemplo de todo lo que tiene que ofrecer Flutter en el campo de las apps de escritorio.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ayer por la noche, hora española, Twitter entró en conmoción. Cuentas de grandes personalidades como Elon Musk, Bill Gates, Barack Obama o Jeff Bezos, junto a otras de grandes compañías como Apple, empezaron a mostrar un mensaje de fraude relacionado con Bitcoin. En el mensaje de la estafa se aseguraba a aquellos usuarios que enviasen dinero que se les devolvería el doble de lo transferido.

Desde el principio, en Twitter se asoció todo a un hackeo sin precedentes, encaminado en principio a la recaudación de dinero mediante transacciones de Bitcoin, pero, por cómo se dio, podría haber otros objetivos detrás del ataque.

Por el momento no se conocen muchos datos, pero Twitter ya ha avanzado interesantes detalles sobre cómo se produjo la brecha que les llevó a limitar las capacidades de las cuentas verificadas, información que ha sido ampliada por Motherboard.

Twitter achaca el hackeo a un ataque de ingeniería social

En un interesante hilo de Twitter Support, donde la compañía reconoce que aún está investigando lo ocurrido, afirman que han detectado lo que creen que es "un ataque coordinado de ingeniería social dirigido con éxito a algunos de nuestros empleados con acceso a los sistemas internos y herramientas".


Twitter no descarta que haya habido más actividad maliciosa o más información a la que hayan accedido, pues además de haber publicado el fraudulento mensaje, los atacantes cambiaron los correos electrónicos asociados a las cuentas. Además, reconocen que aunque el hecho de limitar la publicación de tuits pudo ser disruptiva en la plataforma, "fue un importante paso para reducir riesgos".

De cara a evitar problemas futuros mientras investigan, Twitter ha limitado el acceso a las herramientas y sistemas internos que habrían propiciado la caída de las cuentas afectadas. Lo interesante es que Motherboard ha publicado capturas de pantallas de las herramientas supuestamente empleadas en el ataque.

Los atacantes pagaron a un trabajador de Twitter, según Motherboard


En el artículo de Motherboard, la sección de tecnología de Vice afirma haber haber hablado con dos fuentes involucradas en el hackeo, que se mantienen en el anonimato. La primera ha contado a la publicaciones que usaron "un representante [de Twitter] que hizo todo el trabajo por nosotros". La segunda fuente afirma que pagaron a esa persona. Y esta sería la "ingeniería social" de la que hablaba Twitter.

Además de estas declaraciones, Motherboard se ha hecho con capturas de pantalla de las herramientas internas que habrían sido utilizadas en el ataque. En ella se pueden ver los permisos que se pueden garantizar a nivel de cuenta, el estado de la cuenta, la protección, listas negras de búsquedas y tendencias, etc. Según otras fuentes, la herramienta también ha sido empleada para modificar la propiedad de las cuentas de usuario de dos caracteres (tipo @ow), muy cotizadas y que hoy en día están protegidas.


Twitter está impidiendo que estas capturas se publiquen en la red social, eliminando los tuits que las contienen. La compañía alega que violan sus normas de uso.

Un hackeo que podría haber tenido consecuencias mucho mas graves, por lo influyente que es Twitter

Según el rastreo en Bitcoin de los fondos enviados a los atacantes, se estima que se han hecho con unos 120.000 dólares mediante el fraude. Sin embargo, más allá de esto, no ha habido otras graves consecuencias, por el momento.

Si todo queda en los sucesos de la noche de ayer, poco habrá pasado para lo influyente que es Twitter:

Twitter es una red social tan influyente social, política y económicamente hablando que, utilizando sus recursos de otra forma, los atacantes podrían haber producido hecatombes temporales en bolsa, o mucha incertidumbre política si un líder influyente arremetiera contra otra potencia o si se desvelasen comunicaciones internas.

Y en ese sentido, todavía es pronto para saber. Es posible que, al igual que hemos visto estas capturas de pantalla de herramientas internas, en las próximas horas o días veamos mensajes privados de alguna de las personalidades afectadas. De pasar, probablemente tenga consecuencias pequeñas al lado de lo que podría haber ocurrido.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google quiere que Gmail sea el centro de trabajo de particulares y empresas y acaba de mostrar todos los detalles de una actualización que puede ser la más importante hasta la fecha. Y es que, el nuevo Gmail tiene Chat y Meet incorporado, pero también un gestor de archivos, listas de tareas y es compatible con Docs, todo sin salir de la aplicación.

Muchos estudiantes y particulares, pero sobre todo profesionales, empiezan el día en la aplicación de correo electrónico. Actualmente, Gmail es un básico y aunque sí, hay varios gestores de correo electrónico, Gmail es uno de los más populares. Millones de particulares tienen cuenta en Gmail, pero también empresas que, sin esa terminación '@gmail.com' utilizan las herramientas de la suite de Google.

La propia Google sabe que muchos empezamos el día en nuestra app de correo y quiere que esta sea aún más completa. Por eso, acaban de presentar el nuevo Gmail, una aplicación que llega para gobernarlas a todas.

A través del blog de Google en el que detallan las actualizaciones de G Suite, conocemos que la intención de la compañía es la de crear una app que ofrezca una mejor y más completa experiencia de usuario, integrando varios servicios de Google para que no tengamos que saltar de una app a otra.

En el nuevo Gmail tendremos, evidentemente, los correos con la misma experiencia que teníamos hasta ahora, pero también chat para mandar mensajes instantáneos tanto a particulares como a grupos, 'Rooms' para organizar tareas en equipo y 'Meet' para realizar videollamadas.

Estas nuevas opciones serán accesibles en móvil gracias a una nueva barra inferior, cada una con sus notificaciones, y en web gracias a una especie de sistema por pestañas en la parte superior, pero hay más. Y es que, para completar la experiencia, el renovado Gmail permitirá editar y compartir listas de tareas, así como abrir archivos y ver/editar documentos, todo sin salir de la app.

Es un cambio enorme para la aplicación de correo de Google que, ahora, se consolida como una de las más importantes de la compañía... y un básico a nivel empresarial. Además, habrá comunicación con aplicaciones de terceros como Salesforce o Trello.

Esto parece un movimiento de respuesta a movimientos de estos últimos meses, como la integración de Microsoft Teams en Slack y, como siempre decimos, esta competencia nos favorece a los usuarios de estos servicios.

¿Cuándo llegará la actualización de Gmail?

El nuevo Gmail llegará tanto a web como a la versión móvil y seguro que tenéis ganas de trastear con la nueva aplicación.

Google ha anunciado que los cambios llegarán a todos los usuarios, sean profesionales o no, y lo hará de manera escalonada a lo largo de las próximas semanas.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una parabólica apuntando al cielo

Las primeras imágenes de la antena de Starlink para los clientes del servicio ya han aparecido en la web oficial de Starlink. Previamente Elon Musk había descrito que estas antenas serían como "un OVNI en un palo". Y bueno, es lo que parecen, como cualquier otra parabólica. Sí que es cierto que parecen ofrecer un diseño simple sin mucho cableado ni receptor para recoger los datos captados por el plato, pero sigue siendo eso, una parabólica.

Por otro lado, parece ser que es bastante pequeña, aunque esto es difícil de confirmar sin tener elementos exactos con los que comparar la escala.


Para el programa de prueba en beta, los usuarios recibirán de forma gratuita esta antena y serán los responsables de instalarla ellos mismos. Indica la página web de Starlink que deben ser ellos mismos y que no deben pedir ayuda externa para montar la antena. En otras palabras, es una beta privada y "secreta". Lo más probable es que una vez Starlink entre en funcionamiento de forma oficial sea un técnico quien instale la antena, como ocurre con otros servicios satelitales o proveedores de Internet en general.

Conexión con interrupciones

En la sección de preguntas frecuentes de la web de Starlink se avisa a los usuarios que la conexión debe ser "alta" cuando está conectado correctamente y con el cielo despejado. No obstante, avisan de que "no será consistente" y que se producirán interrupciones por las diferentes pruebas que realizarán los ingenieros de Starlink.


Otra curiosidad sobre el funcionamiento de Starlink en la beta es que avisan de que se supervisarán todas las actividades en la red. Por ejemplo, prohibe de forma clara "actividades ilegales" como la descarga pirata de contenido.

El programa de betas es gratuito, con un coste nominal de apenas un dólar para probar el sistema de pagos. Sin embargo, ofrecer el servicio en sí y la antena corre a cargo de SpaceX en esta versión en pruebas. A cambio el usuario que pruebe el servicio tiene una serie de responsabilidades como usar al menos entre media hora y una hora el servicio cada día enviar feedback de forma periódica, responder a encuestas o preguntas de SpaceX o devolver la antena y finalizar el servicio en cualquier momento que SpaceX lo determine.

Si los planes de SpaceX van según lo esperado, una beta abierta debería empezar en los próximos meses con cobertura inicial para el norte del continente americano. Poco a poco estiman poder expandirlo a más regiones el próximo año hasta conseguir una cobertura global.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ataque simultáneo en la red social Twitter se ha hecho con las cuentas de populares personas y empresas relacionadas con el mundo tecnológico y en particular con el Bitcoin. De forma repentina todas han publicado una estafa que dice recaudar Bitcoin para una causa benéfica y enlazan a una página web falsa.

De Bill Gates a Apple: un hackeo masivo rompiendo hasta la autenticación de doble factor
No está claro aún cómo se ha producido el ataque, aunque ha afectado a muchísimas cuentas importantes de Twitter. Personas como Elon Musk (que no es ni la primera ni la última vez que es utilizado para este tipo de estafas), Jeff Bezos, Obama, Joe Biden, Kanye West o Bill Gates han publicado la estafa. También muchas cuentas de empresas relacionadas con las criptodivisas como Coinbase, CoinDesk, Gemini, Ripple, Cash App, Bitcoin o Binance. Y otras cuentas de empresas tecnológicas relevantes también han caído, por ejemplo Apple, Tesla o Uber.

Algunas capturas de los tweets publicados:









Cameron Winklevoss, cofundador de Gemini, indica que ellos tenían tanto una contraseña fuerte como la autenticación por doble factor activada. Por lo tanto, queda la duda de cómo han podido comprometer estas cuentas si han podido saltarse hasta la autenticación de doble factor.

Todo parece indicar que el ataque se ha producido en la propia plataforma de Twitter y no comprometiendo las cuentas una a una o comprometiendo una herramienta de publicación de terceros. Dado que Twitter muestra de forma automática desde qué plataforma se han enviado los tweets, se puede comprobar que en todos los casos de este ataque vienen de la propia web de Twitter, por lo que no se ha utilizado una herramienta externa.

Tal y como se ha publicado en diferentes capturas de cuentas hackeadas, han cambiado el correo de recuperación por el mismo en todos los casos:

Desde Twitter han indicado que son conscientes del ataque y están investigando la situación, con más información al respecto pronto. De momento la primera medida que han tomado es deshabilitar la publicación de tweets por parte de cuentas verificadas (prácticamente todas las cuentas comprometidas son cuentas verificadas) y deshabilitar el cambio de contraseña.


Más de 100.000 dólares recaudados y subiendo

La estafa en sí hace referencia a un página web que dice recaudar dinero para la situación actual del COVID-19. Efectivamente, es una estafa. Actualmente Cloudflare, que gestiona las rutas a esta página web, avisa de que es un sitio de phishing y recomienda no entrar.


Captura de la dirección Bitcoin que enlaza la estafa.
La dirección Bitcoin a la que se está enviando el dinero muestra todas las transacciones realizadas (es lo que tiene el blockchain), en ella aparece que ya se han ingresado más de 100.000 dólares en esta primera hora desde el ataque. Eso sí, no hay forma de saber cuánto de ese dinero es realmente por víctimas que han caído en la estafa o por autoingresos que se hacen los propios atacantes para darle más credibilidad a la estafa.

La mayoría de tweets publicados por los hackers ya han sido eliminados de las cuentas que han sido comprometidas. A pesar de eso, el ataque aún no ha cesado y se siguen publicado tweets relacionados y desde cuentas que se se han visto comprometidas. La cuenta de Elon Musk de hecho ya ha publicado cuatro veces el tweet en cuestión.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado una nueva iniciativa gratuita destinada a descubrir pruebas forenses de sabotaje en sistemas Linux, incluidos rootkits y malware intrusivo que de otro modo podrían pasar desapercibidos.

La oferta en la nube, apodada Proyecto Freta, es un mecanismo forense de memoria basado en instantáneas que tiene como objetivo proporcionar inspección automatizada de memoria volátil de todo el sistema de instantáneas de máquinas virtuales (VM), con capacidades para detectar software malicioso, rootkits del kernel y otras técnicas de malware sigiloso como la ocultación de procesos.

El proyecto lleva el nombre de la calle Fretade Varsovia, el lugar de nacimiento de Marie Curie, la famosa física franco-polaca que trajo imágenes médicas de rayos X al campo de batalla durante la Primera Guerra Mundial.

"El malware moderno es complejo, sofisticado y está diseñado con la no detección como principio central", dijo Mike Walker, director sénior de New Security Ventures de Microsoft. "El proyecto Freta tiene la intención de automatizar y democratizar los análisis forenses de VM hasta un punto en el que cada usuario y cada empresa pueda barrer la memoria volátil en busca de malware desconocido con solo pulsar un botón, sin necesidad de configuración".

El objetivo es inferir la presencia de malware de la memoria, al mismo tiempo ganar la ventaja en la lucha contra los actores de amenazas que despliegan y reutilizan malware sigiloso en los sistemas de destino para motivos ulteriores, y lo que es más importante, hacer que la evasión sea inviable y aumentar el costo de desarrollo de malware en la nube indetectable.

En ese sentido, el "sistema de detección de confianza" funciona abordando cuatro aspectos diferentes que harían que los sistemas sean inmunes a tales ataques en primer lugar, evitando que cualquier
programa:


- Detectar la presencia de un sensor de seguridad antes de instalarse
- Residir en un área que está fuera de la vista del sensor
- Detectar el funcionamiento del sensor y, en consecuencia, borrarse o modificarse para escapar de la detección
- Manipulación de las funciones del sensor para causar sabotaje

"Cuando los atacantes y defensores comparten una microarquitectura, cada movimiento de detección que un defensor hace perturbar el medio ambiente de una manera que finalmente es detectable por un atacante invertido en el secreto", señaló Walker. "La única manera de descubrir a estos atacantes es eliminar su visión de la defensa." Abierto a cualquier persona con una cuenta de Microsoft Account (MSA) o Azure Active Directory (AAD), Project Freta permite a los usuarios enviar imágenes de memoria (archivos .vmrs, .lime, .core o .raw) a través de un portal en línea o una API,publicación que se genera un informe detallado que se adenta en diferentes secciones (módulos de núcleo, archivos en memoria, rootkits potenciales, procesos y más) que se pueden exportar a través del formato JSON.

Microsoft dijo que se centró en Linux debido a la necesidad de tomar huellas dactilares de los sistemas operativos en la nube de una manera independiente de la plataforma de una imagen de memoria codificada. También citó la mayor complejidad del proyecto, dado el gran número de kernels disponibles públicamente para Linux.

Esta versión inicial de Project Freta admite más de 4.000 kernels de Linux, con soporte de Windows en la canalización.

También está en el proceso de agregar una capacidad de sensor que permite a los usuarios migrar la memoria volátil de las máquinas virtuales en vivo a un entorno sin conexión para un análisis posterior y más herramientas de toma de decisiones basadas en IA para la detección de amenazas.

"El objetivo de este esfuerzo de democratización es aumentar el costo de desarrollo del malware en la nube no descubierto hacia su máximo teórico", dijo Walker. "Los productores de malware sigiloso estarían atrapados en un costoso ciclo de reinsinsión completa, haciendo de tal nube un lugar inadecuado para los ciberataques.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Discord se ha convertido en la plataforma de referencia para comunicarnos con nuestros amigos mientras jugamos. La app se cargó de la noche a la mañana a TeamSpeak, y también hay muchas empresas que la utilizan como alternativa a Slack, donde una de sus mejores funciones son los bots para Discord. Ahora, un nuevo malware está intentando engañar a los usuarios para robarles las cuentas.

Este nuevo malware se está distribuyendo por chats, afirmando ser un hack que permite obtener la suscripción de pago de Discord Nitro. Sin embargo, se trata de un malware que roba los tokens de acceso de los usuarios en sus navegadores web, junto con otros datos como números de tarjeta. Una vez ha robado toda la información posible, busca infectar a más usuarios a través de la cuenta del usuario hackeado.

NitroHack: el malware más peligroso para Discord

El nombre del malware es NitroHack, un troyano que se vale de la facilidad de modificar los archivos JavaScript del programa para robar lo datos. Si se descarga y ejecuta el archivo con el malware, se modifica el archivo %AppData%/Discord/0.0.306/modules/discord_voice/index.js para añadir el código malicioso al final.

Añadiendo ese código, el malware se convierte en persistente en el programa y puede enviar los tokens de la víctima al canal de Discord del hacker cada vez que el usuario infectado abra el programa. Con esos tokens, el atacante puede loguearse como si fuera el usuario y copiar las bases de datos de Chrome, Discord, Opera, Brave, Yandex, Vivaldi y Chromium para buscar los tokens de Discord y seguir diseminando el troyano.

Así, no sólo ataca a los usuarios con el programa instalado, sino que también ataca a los que estén logueados a través del navegador e intenta robar la información de pago que tengan en la URL «You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login/v6/users/@me/billing/payment-source».

Por todo esto, el malware es muy peligroso. Se extiende muy rápido gracias al mecanismo de distribución a través de las cuentas de amigos, además de tener persistencia en el programa. Y desgraciadamente no es el primero, ya que hace un mes apareció una nueva versión del malware AnarchyGrabber que también modificaba el programa.

Mira este archivo para saber si tienes malware
Lo peor de esto es que el usuario no tiene ninguna manera de saber que está infectado al usar Discord. Al ejecutarse sólo una vez de manera rápida para robar toda la información posible y seguir diseminándose, si el antivirus no lo tiene en su base de datos, no lo detectará tras la primera ejecución. Y al no estar ejecutándose después, tampoco será detectable.

La única manera de saber si estamos o no infectados es ir a %AppData%Discord.0.306modulesdiscord_voiceindex.js y abrirlo con el Bloc de notas. Si vamos al final, la última línea ha de ser module.exports = VoiceEngine;

Si en su lugar encontramos más texto en la parte final, y tú no has añadido ninguna modificación al programa, es muy probable que estés infectado. Por tanto, lo único que tienes que hacer es eliminar esa parte del código, o mejor todavía: reinstalar el programa asegurándote de que el archivo index.js se borra.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si eres desarrollador web, tal vez este articulo sea de tu interés ya que en el hablaremos un poco sobre el proyecto Snuffleupagus, el cual proporciona un módulo al intérprete de PHP para aumentar la seguridad del entorno y bloquear los errores típicos que conducen a vulnerabilidades en la ejecución de aplicaciones PHP.

Este modulo esta diseñado de una forma bastante interesante, ya que aumenta drásticamente el trabajo que se tiene que realizar para poder tener éxito en los ataques contra sitios web, al eliminar clases completas de errores. También proporciona un potente sistema de parches virtuales, que permite al administrador corregir vulnerabilidades específicas y auditar comportamientos sospechosos sin tener que tocar el código PHP.

Sobre Snuffleupagus

Snuffleupagus se caracteriza por proporciona un sistema de reglas que permite usar ambas plantillas estándar para aumentar la protección y crear sus propias reglas para controlar los datos de entrada y los parámetros de función.

Ademas, proporciona métodos incorporados para bloquear clases de vulnerabilidades como problemas relacionados con la serialización de datos, uso inseguro de la función PHP mail (), pérdida de contenido de cookies durante ataques XSS, problemas debido a la descarga de archivos con código ejecutable (por ejemplo, en formato phar ) ,Sustitución de construcciones XML incorrectas.

El módulo también le permite crear parches virtuales al administrador del sitio web para solucionar problemas específicos sin cambiar el código fuente de la aplicación vulnerable, lo cual es conveniente para su uso en sistemas de alojamiento masivo donde es imposible mantener actualizadas todas las aplicaciones de los usuarios.

Los gastos generales de recursos derivados del funcionamiento del módulo se estiman como mínimos. El módulo está escrito en lenguaje C, está conectado en forma de una biblioteca compartida en el fichero "php.ini".

De las opciones de seguridad que ofrece Snuffleupagus, se destacan las siguientes:

- Inclusión automática de banderas «seguras» y «samesite» (protección contra CSRF) para cookies, cifrado de cookies.
- Conjunto incorporado de reglas para identificar rastros de ataques y aplicaciones comprometedoras.
- La inclusión global forzada del modo estricto «strict» que por ejemplo, bloquea el intento de especificar una cadena mientras se espera un valor entero como argumento y la protección contra la manipulación de tipos.
- El bloqueo predeterminado de envoltorios para protocolos (por ejemplo, la prohibición «You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con su permiso explícito para la lista blanca.
- Prohibición de la ejecución de archivos que se pueden escribir.
- Listas en blanco y negro para eval.
- Habilitación de la validación obligatoria del certificado TLS cuando se usa curl.
- Agregar HMAC a objetos serializados para garantizar que la deserialización recupere los datos almacenados por la aplicación original.
- Solicitar modo de registro.
- Bloquear la carga de archivos externos en libxml usando enlaces en documentos XML.
- Posibilidad de conectar controladores externos (upload_validation) para verificar y escanear archivos descargados.
- Hacer cumplir la validación del certificado TLS cuando se usa curl
- Solicitar capacidad de descarga
- Una base de código relativamente sana
- Un completo paquete de pruebas con una cobertura cercana al 100%
- Cada confirmación se prueba en varias distribuciones

Información adicional

Actualmente este modulo se encuentra en su versión 0.5.1 y en ella se destaca un mejor soporte para PHP 7.4 y compatibilidad implementada con la rama PHP 8 (que actualmente sigue en desarrollo).

Ademas de que el conjunto de reglas predeterminado se ha actualizado y al que se han agregado nuevas reglas para vulnerabilidades y técnicas recientemente descubiertas para atacar aplicaciones web.

¿Cómo instalar Snuffleupagus en Linux?

Finalmente para quienes estén interesados en poder probar este modulo en pruebas de pentest de sus aplicaciones con la finalidad de mejorar la seguridad de ellas o con la finalidad de aumentar la seguridad de sus aplicaciones.

Lo que deben hacer es dirigirse al sitio web oficial del modulo y en su sección de descargas podrán encontrar instrucciones para algunas de las diferentes distribuciones de Linux, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Aun que, también pueden optar por una instalación desde el código fuente, para ello pueden seguir las instrucciones que se detallan en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por ultimo y no menos importante, si quieren conocer mas al respecto, leer la documentación o obtener el código fuente para su revisión, podrán hacerlo desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¡Saludos!

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El drive-by malware no es más que otro tipo de amenaza de los muchos que hay en la red. Ya sabemos que a la hora de navegar por Internet, cuando entramos en una página web cualquiera, podemos sufrir muchos ataques si ese sitio ha sido infectado o creado de forma maliciosa. Igual que también podemos ver cómo nuestros equipos se infectan si descargamos software malicioso, abrimos enlaces fraudulentos, etc. Por suerte podemos contar con muchas herramientas y métodos para protegernos, aunque siempre conviene conocer los riesgos a los que nos enfrentamos. En este artículo vamos a hablar de qué es el drive-by malware y cómo puede comprometer nuestra seguridad.

Qué es el drive-by malware

Como hemos indicado, el drive-by malware es una de las muchas amenazas que hay en la red. En esta ocasión nos encontramos con un problema que podemos sufrir cuando abrimos una página web.

Esta técnica supone el desarrollo de un sitio web falso infectado con código malicioso que se descarga o instala en el equipo de la víctima una vez que visita esa página web. Los piratas informáticos logran esto colocando estratégicamente el enlace del sitio malicioso en la página de un sitio web legítimo. Una vez que el usuario hace clic en el enlace, es redirigido a este sitio web malicioso y el malware se descarga en su dispositivo.

Este malware incluso podría programarse para abrir una puerta trasera, lo que le da al atacante el control del dispositivo. Es un tipo de amenaza que puede comprometer seriamente nuestra privacidad.

Los ciberdelincuentes suelen utilizar cebos para desplegar este tipo de ataques. Por ejemplo nos ofrecen la descarga de un software concreto, de algún archivo que puede interesar al usuario. Otro ejemplo es un anuncio donde nos indica que nuestro sistema tiene que actualizarse o instalar alguna herramienta de seguridad.

En todos estos casos la víctima va a terminar en una página fraudulenta o va a descargar software que ha sido modificado de forma maliciosa para atacar. En definitiva estaríamos infectando el sistema con malware.

Muchos tipos de amenazas a través del drive-by malware

Como hemos visto el drive-by malware es una técnica de ataque. Sin embargo a través de esa técnica pueden colar muchos tipos de malware diferentes. Por ejemplo hablamos de virus, de spyware, troyanos, ransomware...

Por desgracia son muchas las variedades de malware que pueden infectar nuestros sistemas. A través de técnicas como esta pueden controlar nuestro equipo si instalan una puerta trasera, espiarnos a través de spyware, robar nuestras contraseñas y credenciales con troyanos o incluso cifrar todos nuestros archivos y el propio sistema a través del ransomware.

Cómo evitar ser víctima del drive-by malware

Lo más importante para evitar ser víctima de esta técnica es mantener siempre el sentido común. Como hemos visto, los piratas informáticos pueden colar enlaces fraudulentos en las páginas web que visitamos. Básicamente son links que nos llevan a sitios controlados por los atacantes o a la descarga de software malicioso.

Siempre que vayamos a instalar algún programa, actualizar el equipo o cualquier acción similar, es vital que lo hagamos desde fuentes oficiales y legítimas. Lo mismo cuando vayamos a iniciar sesión en servicios o plataformas en Internet; hay que evitar entrar desde sitios de terceros que puedan ser inseguros.

Por otra parte, es igualmente interesante contar con herramientas de seguridad. Un buen antivirus puede prevenir la entrada de amenazas que comprometan nuestra privacidad. Son muchas las variedades de malware que pueden entrar a través de la técnica conocida como drive-by malware y debemos estar preparados.

Una última cosa que queremos recordar es la importancia de mantener las últimas actualizaciones. Muchos ataques se aprovechan de posibles vulnerabilidades que haya presentes en un sistema. Por suerte podemos instalar parches y actualizaciones que corrigen esos problemas y evitamos así que nuestros equipos puedan estar expuestos en la red.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según Geoffrey A. Fowler, columnista de tecnología de The Washington Post, el navegador Google Chrome es software espía. Para que a sus lectores no les quede duda de lo que piensa pone su conclusión en uno de los primeros párrafos del artículo:

Convertir en el navegador más popular al que hizo la agencia de publicidad más grande del mundo, resultó tan inteligente como poner a los niños a dirigir una tienda de dulces.

Por qué Chrome es software espía

Fowler comparó durante una semana el comportamiento de Chrome contra Firefox y descubrió que mientras Firefox había bloqueado todas las cookies de rastreo, el navegador de Google había instalado 11189. Estas cookies, pertenecientes tanto a empresas como a organismos estatales, son usadas por las mismas para construir perfiles de intereses, ingresos y personalidad de cada usuario del navegador.

El periodista cita el caso de la web de la empresa de seguros Aetna, y la del Servicio Federal de Ayuda para Estudiantes (EE.UU) En ambos casos Chrome permitió que se instalaran cookies para seguir su actividad en el buscador y en Facebook.

También descubrió que Google tomaba el inicio de sesión en Gmail como un permiso para iniciar sesión en su cuenta de Google, esto le permite recopilar aún más información personal.

¿Tienes Chrome en tu teléfono? Probablemente sea así, porque, a menos que lo inhabilites (no se puede desinstalar) viene con Android. Cada vez que realizas una búsqueda, Chrome envía tu ubicación. Cierto es que puedes desactivar la opción de compartir ubicación. En ese caso la envía igual, pero no tan precisa

Nota del autor: En Internet hay dos clases de personas; el cliente y el producto. Si no eres una, eres la otra. Google no te da un navegador, un servicio de correo o una suite ofimática online gratuita porque te quiere. Lo hace porque eres la mercancía por la que le pagan sus anunciantes.

Es probable que te sientas tentado a refutar mi afirmación de arriba con el contraejemplo de Firefox. Mala idea. Google fue durante años el principal sostén financiero de la Fundación Mozilla y su principal promotor. Cuando aprendieron todo lo que necesitaban saber del mercado de navegadores, sacaron Chrome, y se quedaron con la mayoría del mercado gracias a su poder de difusión. Es más o menos lo mismo que harían después con el fabricante de parlantes inteligentes Sonos, según la acusación que ya comentamos.

Volviendo al Washington Post, desde Google le dijeron a Fowler que en su navegador dan prioridad al control de los usuarios y opciones de privacidad, y que continuarán buscando nuevas formas de controlar las cookies. Pero, destacaron al mismo tiempo su necesidad de mantener "un ecosistema web saludable".

Mi traducción sería "Estamos trabajando en mantener la seguridad del gallinero, pero al mismo tiempo debemos asegurarle al zorro la cantidad de calorías que necesita"

Siendo justos con Google, cuando apareció Chrome vino a solucionar los problemas causados por Internet Explorer. Aprovechando su cuasi monopolio, Microsoft insistía en utilizar tecnologías no estandarizadas que impedían a los que no utilizábamos Windows acceder a muchos sitios.

Google tomó WebKit, un motor de renderizado de código abierto, y a partir de él desarrolló Blink. Blink tenía un rendimiento mucho mejor que Gecko, el motor de renderizado de Firefox, Trident, el motor de renderizado de Explorer y WebCore el de Safari. Sumado a que Google te mostraba la publicidad cada vez que usabas su buscador y cada uno de sus servicios, inmediatamente fue creciendo en participación de mercado. A esto, hay que sumarle que tuvieron la inteligencia de hacerlo multiplataforma.

En aquel momento, la privacidad no era una preocupación tan grande como lo es en la actualidad.

Por supuesto, que la primera alternativa para cambiar esto es utilizar otro navegador. El periodista recomienda pasarse a Firefox, pero puedes optar también por Chromium, Brave, Vivaldi y, si usas Windows o Android, Microsoft Edge. Pero, mientras sigas usando servicios gratuitos de Google (u otros proveedores) ellos tendrán alguna forma de rastrearte.

En todo caso, si piensas que la privacidad es importante para ti, tendrás que considerar la posibilidad de contratar un servicio de correo electrónico con tu propio dominio o utilizar una suite ofimática offline.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La llamada Swiss Army Knife, o navaja suiza de la recuperación para mantener tus datos sanos y salvos, ha llegado con otra nueva actualización. Se trata de la versión Rescuezilla 1.0.6, que trae algunas interesantes novedades y actualizaciones en esta versión Live para que puedas reparar equipos usando la infinidad de paquetes que integra. Y aunque sigue manteniendo el espíritu de Redo Backup and Recovery vivo, también es cierto que hay cambios con respecto a ese otro interesante proyecto.

Este live ligero puede descargarse en dos ediciones diferentes, una es de 64-bit y la otra de 32-bit. En la de 64 tiene funciones para soportar el famoso UEFI/SecureBoot. Además, Rescuezilla 1.0.6 64-bit está basada en Ubuntu 20.04 LTS (Fcal Fossa), con todo lo que ello implica. En cambio, la de32-bit se sigue basando en Ubuntu 18.04 LTS (Bionic Beaver), ya que la nueva versión de Canonical ha dejado de soportar los 32-bit en su última versión, como bien sabes...

Otro de los cambios es que GRUB es ahora el gestor de arranque por defecto, reemplazando a ISOLINUX. Así mismo, tiene un paquete para ayudar a los usuarios a reparar instalaciones con GRUB, soporte para acceder a la configuración del firmware EFI desde el menú de arranque, capacidad para instalar la interfaz como un paquete DEB, etc. También se incluyen numerosos bugs corregidos para mejorar algunas cuestiones que fallaban en la versión previa.

En cuanto a los paquetes de software, han sido actualizados a versiones más modernas en muchos casos, y ha cambiado alguno que otro. Por ejemplo, Mozilla Firefox es ahora el navegador predeterminado en vez de Chromium. Y Mousepad es el editor de texto por defectos en vez de Leafpad. Y por supuesto, viene con algunos paquetes para hacer copias de seguridad y restaurar discos duros, como no podía ser de otro modo...

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VirusTotal, el famoso servicio de escaneo multi-antivirus propiedad de Google, anunció recientemente nuevas capacidades de detección de amenazas que agregó con la ayuda de una empresa de seguridad cibernética israelí.

VirusTotal proporciona un servicio gratuito en línea que analiza archivos sospechosos y URL para detectar malware y los comparte automáticamente con la comunidad de seguridad. Con la avalancha de nuevos tipos y muestras de malware, los investigadores confían en el rápido descubrimiento y uso compartido que proporciona VirusTotal para mantener a sus empresas a salvo de los ataques.

VirusTotal se basa en un flujo continuo de nuevos descubrimientos de malware para proteger a sus miembros de daños significativos.

Cynet , el creador de la plataforma autónoma de protección contra violaciones, ahora ha integrado su Motor de detección de Cynet en VirusTotal.

Los beneficios de esta asociación son dobles. Primero, Cynet proporciona a la red de socios de VirusTotal inteligencia de amenazas de vanguardia de su motor de detección basado en ML (CyAI) que protege activamente a los clientes de la compañía en todo el mundo.

CyAI es un modelo de detección en constante aprendizaje y evolución que aporta información de forma rutinaria sobre nuevas amenazas que no están disponibles en VirusTotal. Aunque muchos proveedores están utilizando modelos AI / ML, la capacidad de los modelos para detectar nuevas amenazas varía mucho.

Cynet supera habitualmente a las plataformas de detección de terceros y de código abierto y, con frecuencia, se confía en los casos de respuesta a incidentes cuando las amenazas subyacentes permanecen ocultas de otras soluciones.
Por ejemplo, Cynet realizó recientemente un compromiso de resp
uesta a incidentes para un gran proveedor de telecomunicaciones. Cynet descubrió varios archivos maliciosos que no aparecían en la base de datos de VirusTotal.

Contribuir con información sobre estos archivos recién descubiertos ayuda a toda nuestra industria a desempeñarse mejor y a proteger a las empresas contra los ciberataques.

En segundo lugar, Cynet aprovechará la inteligencia en VirusTotal para informar su modelo CyAI a fin de mejorar continuamente sus capacidades de detección y precisión.

Cynet AI está en continua evolución, constantemente aprendiendo nuevos conjuntos de datos para mejorar su precisión y disminuir su relación de falsos positivos ya baja. La comparación de los archivos que CyAI considera maliciosos con los archivos que otros proveedores también consideran maliciosos ayuda a validar rápidamente los hallazgos de Cynet.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores informaron el lunes que los piratas informáticos ahora están explotando el servicio de Google Analytics para robar sigilosamente información de tarjetas de crédito de sitios de comercio electrónico infectados.
Según varios informes independientes de PerimeterX , Kaspersky y Sansec , los actores de amenazas ahora están inyectando código de robo de datos en los sitios web comprometidos en combinación con el código de seguimiento generado por Google Analytics para su propia cuenta, lo que les permite filtrar la información de pago ingresada por los usuarios incluso en condiciones donde las políticas de seguridad de contenido se aplican para la máxima seguridad web.

"Los atacantes inyectaron código malicioso en los sitios, que recopilaron todos los datos ingresados ​​por los usuarios y luego los enviaron a través de Analytics", dijo Kaspersky en un informe publicado ayer. "Como resultado, los atacantes podían acceder a los datos robados en su cuenta de Google Analytics".

La firma de ciberseguridad dijo que encontró alrededor de dos docenas de sitios web infectados en Europa y América del Norte y del Sur que se especializaron en la venta de equipos digitales, cosméticos, productos alimenticios y repuestos.

Omitir la política de seguridad de contenido

El ataque depende de la premisa de que los sitios web de comercio electrónico que utilizan el servicio de análisis web de Google para rastrear visitantes han incluido en la lista blanca los dominios asociados en su política de seguridad de contenido (CSP).


CSP es una medida de seguridad adicional que ayuda a detectar y mitigar las amenazas derivadas de las vulnerabilidades de secuencias de comandos en sitios cruzados y otras formas de ataques de inyección de código, incluidos los adoptados por varios grupos de Magecart .

La función de seguridad permite a los webmasters definir un conjunto de dominios con los que se debe permitir que el navegador web interactúe para una URL específica, evitando así la ejecución de código no confiable.


"La fuente del problema es que el sistema de reglas CSP no es lo suficientemente granular", dijo el vicepresidente de investigación de PerimeterX, Amir Shaked. "Reconocer y detener la solicitud JavaScript maliciosa anterior requiere soluciones de visibilidad avanzadas que puedan detectar el acceso y la filtración de datos confidenciales del usuario (en este caso, la dirección de correo electrónico y la contraseña del usuario)".

Para recolectar datos utilizando esta técnica, todo lo que se necesita es un pequeño fragmento de código JavaScript que transmita los detalles recopilados, como las credenciales y la información de pago, a través de un evento y otros parámetros que Google Analytics utiliza para identificar de manera única las diferentes acciones realizadas en un sitio.

"Los administradores escriben * .google-analytics.com en el encabezado de Content-Security-Policy (utilizado para enumerar los recursos de los que se puede descargar el código de terceros), permitiendo que el servicio recopile datos. Además, el ataque se puede implementar sin descargando código de fuentes externas ", señaló Kaspersky.

Para hacer que los ataques sean más encubiertos, los atacantes también determinan si el modo desarrollador, una característica que a menudo se usa para detectar solicitudes de red y errores de seguridad, entre otras cosas, está habilitado en el navegador del visitante y procede solo si el resultado de esa verificación es negativo.

Una campaña "novedosa" desde marzo

En un informe separado publicado ayer, Sansec, con sede en los Países Bajos, que rastrea los ataques de descremado digital, descubrió una campaña similar desde el 17 de marzo que entregó el código malicioso en varias tiendas utilizando un código JavaScript alojado en Firebase de Google.

Para la ofuscación, el actor detrás de la operación creó un iFrame temporal para cargar una cuenta de Google Analytics controlada por el atacante. Los datos de la tarjeta de crédito ingresados ​​en los formularios de pago se cifran y se envían a la consola de análisis desde donde se recuperan utilizando la clave de cifrado utilizada anteriormente.

Dado el uso generalizado de Google Analytics en estos ataques, las contramedidas como CSP no funcionarán si los atacantes aprovechan un dominio ya permitido para secuestrar información confidencial.


"Una posible solución vendría de las URL adaptables, agregando la ID como parte de la URL o subdominio para permitir a los administradores establecer reglas CSP que restrinjan la exfiltración de datos a otras cuentas", concluyó Shaked.

"Una dirección futura más granular para fortalecer la dirección de CSP a considerar como parte del estándar CSP es la aplicación de proxy XHR . Esto esencialmente creará un WAF del lado del cliente que puede aplicar una política sobre dónde se pueden transmitir los campos de datos específicos. ".

Como cliente, desafortunadamente, no hay mucho que pueda hacer para protegerse de los ataques de formjacking. Activar el modo desarrollador en los navegadores puede ayudar al realizar compras en línea.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pues puede ser que la resolución de pantalla que has definido puede no ser la más adecuada para tu pantalla. Para resolver esto:

Abra la vista de Actividades y empiece a escribir Configuración.

Pulse en Configuración.

Pulse Dispositivos en la barra lateral.

Pulse Pantallas en la barra lateral para abrir el panel.

Pruebe algunas de las opciones de Resolución y elija la que se vea mejor en la pantalla.

Espero te sea de ayuda.