Google ha lanzado una herramienta completamente gratuita que nos permitirá realizar un avanzado escáner de seguridad, su nombre es Tsunami y tiene como objetivo el detectar vulnerabilidades críticas en diferentes equipos. Este motor de escaneo de vulnerabilidades, permitirá a las diferentes organizaciones proteger los datos de sus usuarios, además, su código fuente está en GitHub por lo que podremos extender sus opciones añadiendo nuevas funcionalidades. ¿Quieres conocer todo sobre Tsunami?

En RedesZone hemos hablado en múltiples ocasiones sobre diferentes herramientas para realizar escaneos a redes, como Angry IP Scanner, asimismo también tenemos un completo tutorial Nmap que es el primer paso para realizar un pentesting. Además, hemos hablado en varias ocasiones sobre los mejores escáner de vulnerabilidades para hacking, e incluso os hemos hablado sobre BinaryEdge y Shodan.

Los cibercriminales han automatizado el proceso de explotación de vulnerabilidades, por tanto, si el Blue Team de una organización no dispone de herramientas automatizadas para proteger la red y los equipos, es muy posible que no les puedan hacer frente porque no están en igualdad de condiciones. El plazo para reaccionar ante una vulnerabilidad grave recién lanzada es de horas, y esto plantea un desafío para las grandes organizaciones con miles de equipos conectados a Internet. En estos entornos, es crítico que las vulnerabilidades de seguridad se detecten y se solucionen de manera totalmente automatizada. Con el objetivo de que la calidad de detección sea muy elevada y rápida, Google ha creado Tsunami, un motor de escaneo de red extensible que es capaz de detectar vulnerabilidades críticas.


Google aprovecha el motor de GKE (Google Kubernetes Engine) para escanear y proteger sus equipos continuamente con el motor de escaneo Tsunami, esta herramienta que ahora ha publicado Google, realiza principalmente dos tareas:

Reconocimiento: el primer paso que realiza Tsunami es detectar puertos abiertos, después trata de identificar los protocolos, servicios, y otro software que se ejecuta en el host de destino. Tsunami hace uso de la potente herramienta Nmap para realizar esta tarea, ya que es simplemente el mejor escáner de redes, host y puertos abiertos que podemos utilizar. Concretamente, hace uso de Nmap 7.80.

Verificar la vulnerabilidad: basándose en la información recogida anteriormente, Tsunami selecciona todos los plugins que tengamos para identificar los servicios. Para confirmar que realmente existe, Tsunami ejecuta un exploit para comprobar si realmente funciona.

En esta versión inicial que Google ha publicado en GitHub, Tsunami incorpora detectores para UI expuestas, como Jenkings, Jupyter y Hadoop Yarn, además podremos programar cargas de trabajo o ejecutar comandos del sistema. También se encarga de detectar credenciales débiles en los típicos servicios como SSH, FTP, RDP, MySQL entre otros, para esto, hace uso de la herramienta ncrack, concretamente hace uso de Ncrack 0.7.

Os recomendamos acceder al proyecto Google Tsunami en GitHub donde encontraréis todos los detalles y podéis descargar esta herramienta totalmente gratis. En la documentación oficial tenemos todo lo necesario para usarlo desde Docker de manera fácil y rápida, además, también tenemos un proyecto en GitHub de los plugins de Tsunami, están separados para que sea un repositorio centralizado con todos los plugins.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es muy común contar con un calendario online donde mostrar los eventos a los que vamos a acudir, tareas que tenemos que realizar o simplemente información que anotamos sobre diferentes fechas. Esto es algo que está presente en plataformas como Google y Outlook. Incluso podemos ver que a la hora de reservar un hotel o comprar un vuelo automáticamente se agregan a ese calendario. Ahora bien, ¿podrían enviarnos invitaciones de eventos o notificaciones al calendario e infectarnos?

Invitaciones al calendario que infectan el sistema

Lo cierto es que los piratas informáticos constantemente perfeccionan sus técnicas para lograr atacar a las víctimas. También hay que tener en cuenta que son muchas las herramientas que tenemos a nuestra disposición para protegernos. Muchos tipos de antivirus y otros programas que nos ayudan a evitar el malware. Sin embargo los ciberdelincuentes también mejoran la manera en la que atacan a las víctimas.

Y sí, a través de invitaciones al calendario, de notificaciones que nos llegan, podemos ser víctimas de múltiples ataques. Podemos poner en riesgo nuestro sistema si agregamos un evento malicioso o hacemos clic en algún enlace que contenga.

Un último caso de esto que mencionamos afecta a Wells Fargo, donde los usuarios reciben una notificación de calendario. El objetivo es solicitar al a víctima información personal, como por ejemplo su nombre y apellidos, así como la contraseña o PIN, número de cuenta, etc.

Pero el caso de Wells Fargo no es único. Son muchos los ataques de este tipo que llegan a través de notificaciones de calendario. A veces incluso se trata de Spam que no tiene más objetivo que mostrar publicidad engañosa, mostrar un producto determinado, una web, etc.


Ataques con el calendario de Google

Sin duda uno de los calendarios más populares es el de Google. Esto lo saben los piratas informáticos y es aquí donde principalmente ponen sus miras. Pueden agregar eventos de forma automática que capta el calendario desde el correo. Por ejemplo un supuesto evento para recoger un móvil, algo que muchos usuarios han podido ver en alguna ocasión.

¿Qué ocurre con esto realmente? Lo que buscan los ciberdelincuentes es captar la atención de la víctima y que hagan clic en un enlace. De esta forma realizan un ataque Phishing donde recopilan información de las credenciales y contraseñas de esos usuarios. Algo que, como podemos imaginar, compromete seriamente la seguridad y privacidad.

Básicamente estamos ante una técnica de ingeniería social que busca infectar los equipos de los usuarios o robar contraseñas mediante ataques de suplantación de identidad. Es algo que puede saltarse en ocasiones las medidas de seguridad y aparecer en nuestro calendario. Por ello debemos siempre tener presente el sentido común y evitar hacer clic en cualquier enlace que no reconozcamos o que haya aparecido en el calendario sin motivo aparente.

También será vital siempre contar con herramientas de seguridad. Un buen antivirus podrá protegernos frente a la entrada de malware que comprometa el sistema. En cualquier caso, siempre que nos encontremos con un evento en el calendario que veamos sospechoso lo mejor es eliminarlo sin llegar a interactuar con él.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad cibernética de hoy sacaron los detalles de una nueva y sofisticada campaña de ciberespionaje dirigida contra organizaciones aeroespaciales y militares en Europa y Medio Oriente con el objetivo de espiar a los empleados clave de las empresas seleccionadas y, en algunos casos, incluso desviar dinero.

La campaña, denominada " Operation In (ter) ception " debido a una referencia a "Inception" en la muestra de malware, tuvo lugar entre septiembre y diciembre de 2019, según un nuevo informe que la firma de seguridad cibernética ESET compartió con The Hacker News.

"El objetivo principal de la operación era el espionaje", dijeron los investigadores a The Hacker News. "Sin embargo, en uno de los casos que investigamos, los atacantes intentaron monetizar el acceso a la cuenta de correo electrónico de la víctima a través de un ataque de compromiso de correo electrónico comercial (BEC) como la etapa final de la operación".

La motivación financiera detrás de los ataques, junto con similitudes en el entorno de objetivos y desarrollo, ha llevado a ESET a sospechar de Lazarus Group , un grupo de piratería notorio que se atribuye a trabajar en nombre del gobierno de Corea del Norte para financiar los programas ilícitos de armas y misiles del país.

Ingeniería social a través de LinkedIn

Al afirmar que la campaña fue altamente dirigida, ESET dijo que se basó en trucos de ingeniería social para atraer a los empleados que trabajan para las empresas elegidas con ofertas de trabajo falsas utilizando la función de mensajería de LinkedIn, haciéndose pasar por gerentes de recursos humanos de empresas conocidas en la industria aeroespacial y de defensa, incluyendo Collins Aerospace y General Dynamics.


"Una vez que se estableció el contacto, los atacantes colaron archivos maliciosos en la comunicación, disfrazándolos como documentos relacionados con la oferta de trabajo anunciada", dijeron los investigadores, en base a una investigación con dos de las empresas europeas afectadas.

Los archivos de archivo RAR señuelo, que se enviaron directamente a través de los chats o como correos electrónicos enviados desde sus falsos personajes de LinkedIn apuntando a un enlace de OneDrive, supuestamente contenían un documento PDF que detallaba la información salarial de puestos de trabajo específicos, cuando en realidad, ejecutaba Windows ' Utilidad de símbolo del sistema para realizar una serie de acciones:

- Copie la herramienta de línea de comandos de Instrumental de administración de Windows ( wmic.exe ) en una carpeta específica
- Cambie el nombre a algo inocuo para evadir la detección (por ejemplo, Intel, NVidia, Skype, OneDrive y Mozilla), y
- Cree tareas programadas que ejecuten un script XSL remoto a través de WMIC.

Los actores detrás de la operación, al obtener un punto de apoyo inicial dentro de la empresa objetivo, emplearon un descargador de malware personalizado, que a su vez descargó una carga útil de segunda etapa previamente indocumentada, una puerta trasera C ++ que envía periódicamente solicitudes a un servidor controlado por el atacante. , lleve a cabo acciones predefinidas basadas en los comandos recibidos y extraiga la información recopilada como un archivo RAR a través de una versión modificada de dbxcli , un cliente de línea de comandos de código abierto para Dropbox.

Además de usar WMIC para interpretar scripts XSL remotos, los adversarios también abusaron de las utilidades nativas de Windows como "certutil" para decodificar cargas descargadas codificadas en base64, y "rundll32" y "regsvr32" para ejecutar su malware personalizado.

"Buscamos activamente señales de actividad patrocinada por el estado en la plataforma y rápidamente tomamos medidas contra los malos actores para proteger a nuestros miembros. No esperamos las solicitudes, nuestro equipo de inteligencia de amenazas elimina cuentas falsas utilizando la información que descubrimos y la inteligencia de una variedad de fuentes, incluidas las agencias gubernamentales ", dijo Paul Rockwell, Jefe de Confianza y Seguridad de LinkedIn en un comunicado enviado a The Hacker News.

"Nuestros equipos utilizan una variedad de tecnologías automatizadas, combinadas con un equipo capacitado de revisores e informes de miembros, para mantener a nuestros miembros a salvo de todo tipo de malos actores.
Aplicamos nuestras políticas, que son muy claras: la creación de una cuenta falsa o La actividad fraudulenta con la intención de engañar o mentir a nuestros miembros es una violación de nuestros términos de servicio. En este caso, descubrimos casos de abuso que involucraron la creación de cuentas falsas. Tomamos medidas inmediatas en ese momento y restringimos permanentemente las cuentas. "

Ataques BEC con motivación financiera

Además del reconocimiento, los investigadores de ESET también encontraron evidencia de atacantes que intentaban explotar las cuentas comprometidas para extraer dinero de otras compañías.


Aunque no tuvo éxito, la táctica de monetización funcionó utilizando las comunicaciones de correo electrónico existentes entre el titular de la cuenta y un cliente de la empresa para liquidar una factura pendiente a una cuenta bancaria diferente bajo su control.

"Como parte de esta artimaña, los atacantes registraron un nombre de dominio idéntico al de la empresa comprometida, pero en un dominio de nivel superior diferente, y utilizaron un correo electrónico asociado con este dominio falso para una mayor comunicación con el cliente objetivo", dijo ESET .

En última instancia, el cliente objetivo contactó a la dirección de correo electrónico correcta de la víctima sobre los correos electrónicos sospechosos, frustrando así el intento de los atacantes.

"Nuestra investigación sobre Operation In (ter) ception muestra nuevamente cuán efectivo puede ser el spear phishing para comprometer un objetivo de interés", concluyeron los investigadores.

"Fueron muy selectivos y confiaron en la ingeniería social sobre LinkedIn y el malware personalizado de varias etapas. Para operar bajo el radar, los atacantes con frecuencia recompilaron su malware, abusaron de las utilidades nativas de Windows y se hicieron pasar por software y compañías legítimas".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
No me quedó claro, entonces no es una instalación limpia, es sobre una distro.

LinuxerOS: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login - [N]ation ROM

Así es, es para instalar BlackArch sobre instalaciones ya hechas de Arch Linux y derivados.

Saludos.

Una de las cosas que solemos hacer nada más instalar Windows 10 es personalizar el sistema operativo. Solemos cambiar el fondo de pantalla por el que más nos guste, ajustar los parámetros para mejorar su rendimiento, repasar las opciones de privacidad, desactivar funciones innecesarias y borrar todos aquellos programas (bloatware) de Windows no deseados. Así conseguimos tener Windows personalizado y estará adaptado a nuestras necesidades. Sin embargo, sin saberlo, estamos haciendo algo ilegal, ya que todo ello viola los términos de uso de Windows.

A nadie se le ocurriría pensar que un agente de Microsoft va a venir a su casa por haber usado un programa para eliminar la privacidad de Windows, o por cambiar el fondo de pantalla. Sin embargo, lo que sí ha hecho la compañía es colocar una queja DMCA a los desarrolladores de Ninjutsu OS.

Es ilegal personalizar Windows, su privacidad y desinstalar apps

Ninjutsu OS es una versión de Windows 10 creada por un grupo de desarrolladores con el fin de ofrecer un sistema operativo Windows configurado y adaptado para llevar a cabo pruebas de hacking ético. Este SO quiere convertirse en una alternativa a Kali Linux o Parrot OS, pero en vez de estar basada en Linux, basado en Windows 10.

Este sistema operativo vio la luz del día por primera vez el pasado 7 de mayo. Entre sus características cabe destacar la disponibilidad por defecto de más de 800 programas para hacking, herramientas de uso común (como qBitTorrent o Tor Browser) y una buena cantidad de ajustes y cambios por todo el sistema operativo.

El desarrollo de este sistema operativo para hacking ético era público, y tenía su propio repositorio en GitHub. Sus desarrolladores (todos expertos de seguridad informática) no se lucraban con él. Simplemente querían ofrecer un sistema operativo sencillo para hackers principiantes que empezaban de cero dentro del mundo de la seguridad informática.


Pero a Microsoft no le ha gustado nada de esto. Y les ha obligado, «amigablemente», a destruir el proyecto.

Una queja DMCA ha obligado a borrar el proyecto

Este proyecto incluía más de 800 programas de hacking ético configurados y listos para empezar a usarlos. Pero lo que no ha gustado a Microsoft son las modificaciones que se han incluido a su sistema operativo.

La queja DMCA por infracción de los derechos de licencia de este programa deja claros principalmente los siguientes puntos:

- Personalizar Windows con distintos ajustes para mejorar y optimizar su funcionamiento.
- Personalizar los ajustes de privacidad para limitar la recogida de datos.
- Desactivar funciones integradas dentro del propio Windows.
- Eliminar componentes no deseados.
- Borrar programas y servicios que vienen por defecto en Windows 10.

Muchos usuarios piensan que Ninjutsu OS no es más que una versión pirata de Windows 10, como podría ser, por ejemplo, un Windows Mini. Sin embargo, sus desarrolladores no han incluido ningún tipo de activador ni de licencia pirata. Para poder usar Ninjutsu OS, los usuarios deben usar su propia licencia de Windows 10. Entonces, ¿dónde está el problema?

Ninjutsu OS no deshabilita las funciones ni configura la privacidad por sí solo, sino que hace uso de una serie de programas y scripts, como Win10-Initial-Setup-Script y O&O ShutUp10, para esta tarea.

Por ello, esta queja de Microsoft nos lleva a plantearnos varias dudas. La primera de ellas es si la compañía tendrá algo en contra de este sistema operativo en concreto, o de alguno de sus desarrolladores, para haberse enseñado con él en tan poco tiempo. La segunda es si también va a empezar una cruzada contra los programas para configurar la privacidad de Windows 10.

Y la tercera, y más importante, si cuando compramos una licencia de Windows 10 es realmente nuestra, o estamos vendiendo nuestra alma al diablo.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A principios de 2014, Google parecía querer hacer un cambio en el comportamiento de su barra de direcciones que se puede usar tanto para buscar en la web, como para ingresar una URL así como para poder acceder a su página de configuración del navegador.

Desde ese entonces, Google nos dio a conocer que no le gusta la barra de direcciones del navegador o la forma en la que se muestran los dominios sobre ella y es por ello que tomo cartas en el asunto.

El cambio que pretendía hacer era ocultar la URL, función que en Chrome Canary build 36, era posible activar. Cuando el usuario navegaba dentro de las diferentes secciones de un sitio, solo se mostrará el nombre del sitio en la barra de direcciones.

Uno de los objetivos detrás de esta maniobra era proporcionar una herramienta contra los ataques de phishing. En donde una de las claves para el éxito de sus ataques radica en persuadir a su víctima de que va a un sitio confiable.

Esto no se llevó a cabo, debido a que una gran cantidad de personas se opusieron aún que las opiniones estaban bastante divididas, incluso dentro del equipo de Chrome.

A pesar de la suspensión del proyecto, la compañía simplemente lo mando a un baul en donde podría retomarlo mas adelante.

Y así fue, unos años más tarde (en la actualidad), la compañía regresó con un renovado entusiasmo por su proyecto.

Y es que varios desarrolladores, notaron que aparecieron diversas opciones dentro de la página de configuración del navegador, en donde se muestran funciones nuevas en los canales Dev y Canary de Chrome (V85), que cambian la apariencia y el comportamiento de las direcciones web en la barra de direcciones.

La configuración principal se llama «Omnibox UI» que oculta todo en la dirección web actual, excepto el nombre de dominio.


Además de que encontraron que hay dos indicadores adicionales que cambian este comportamiento y que también se ha creado una página de problemas en el rastreador de errores de Chromium para realizar un seguimiento de los cambios, aunque no hay detalles adicionales allí.

Uno revela la dirección completa una vez que pasa el mouse sobre la barra de direcciones (en lugar de hacer clic en él), mientras que el otro solo oculta la barra de direcciones una vez que interactúa con el página.

Todavía no hay una explicación pública de por qué Google decidió hacer estos cambios ahora, pero la compañía ha dicho en el pasado que pensó que mostrar la dirección completa podría hacerlo más Es difícil saber si el sitio actual era legítimo.

«Mostrar la URL completa puede dañar partes de la URL que son más importantes para tomar una decisión de seguridad en una página web», dijo Livvie Lin, ingeniera de software de Chromium, en un documento de diseño anterior.

Sin embargo, también se debe considerar que hacer que la dirección web sea menos importante, al igual que esta característica, beneficia a Google como empresa.

El objetivo de Google con las páginas móviles aceleradas (AMP) y tecnologías similares es mantener a los usuarios en el contenido alojado de Google tanto como sea posible y Chrome para Android ya está cambiando la barra de direcciones en las páginas AMP para ocultar eso.

Este sin dudas es un cambio bastante significativo de lo que los usuarios están acostumbrados a ver cuando navegan con Chrome en una computadora de escritorio.

Ya que actualmente, Chrome muestra la mayor parte de la ruta URL de una página web. Aunque oculta los prefijos como 'http, https' y 'www'.

Pronto, eso se reducirá aún más a solo mostrar el nombre de dominio y la extensión de dominio.

Finalmente, para quienes estén interesados en conocer el cambio, pueden probar las versiones preliminares del navegador web de Google, puede descargar Chrome Dev y Chrome Canary.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una de las herramientas más populares para crackear hashes en Windows es Hashcat. En este artículo nos hacemos eco del lanzamiento de Haschat 6.0.0, la nueva versión que ya podemos descargar. Vamos a mostrar cuáles son las principales novedades. Como sabemos, uno de los puntos clave de este software es llevar a cabo ataques de fuerza bruta contra algoritmos, haciendo uso para ello de la CPU y otros recursos del ordenador.

Novedades principales de Hashcat 6.0.0

Como suele ocurrir con cada nuevo lanzamiento, Hashcat 6.0.0 trae mejoras interesantes en cuanto a rendimiento, solución de problemas y también nuevas funciones. Se trata de un software de código abierto y totalmente gratuito que podemos utilizar en nuestro sistema Windows.

La última versión estable fue lanzada hace algo más de un año, aunque llevamos meses con la versión Beta donde hemos podido probar las novedades. Ahora ya está disponible en su versión estable y la podemos descargar desde la web oficial.

Entre las nuevas características podemos destacar:

- Nueva interfaz de complemento para modos hash modulares
- Nueva interfaz API de proceso de backend para agregar APIs de proceso que no sean OpenCL
- Han agregado CUDA como una nueva API de computación
- Completa guía para desarrolladores de complementos
- Modo de emulación de GPU, para usar el código del kernel en la CPU del host
- Mejora en la memoria de GPU y gestión de subprocesos
- Ajuste automático mejorado basado en los recursos disponibles


51 algoritmos nuevos agregados

También hay que indicar que han agregado una serie de nuevos algoritmos. En total son 51, muchos de los cuales eran muy demandados por los usuarios para que estuvieran disponibles en esta nueva versión. De esta forma ya son 320 algoritmos disponibles. Estos son los nuevos:

- AES Crypt (SHA256)
- Android Backup
- AuthMe sha256
- BitLocker
- BitShares v0.x
- Blockchain, My Wallet, Second Password (SHA256)
- Citrix NetScaler (SHA512)
- DiskCryptor
- Electrum Wallet (Salt-Type 3-5)
- Huawei Router sha1(md5($pass).$salt)
- Java Object hashCode()
- Kerberos 5 Pre-Auth etype 17 (AES128-CTS-HMAC-SHA1-96)
- Kerberos 5 Pre-Auth etype 18 (AES256-CTS-HMAC-SHA1-96)
- Kerberos 5 TGS-REP etype 17 (AES128-CTS-HMAC-SHA1-96)
- Kerberos 5 TGS-REP etype 18 (AES256-CTS-HMAC-SHA1-96)
- MultiBit Classic .key (MD5)
- MultiBit HD (scrypt)
- MySQL $A$ (sha256crypt)
- Open Document Format (ODF) 1.1 (SHA-1, Blowfish)
- Open Document Format (ODF) 1.2 (SHA-256, AES)
- Oracle Transportation Management (SHA256)
- PKZIP archive encryption
- PKZIP Master Key
- Python passlib pbkdf2-sha1
- Python passlib pbkdf2-sha256
- Python passlib pbkdf2-sha512
- QNX /etc/shadow (MD5)
- QNX /etc/shadow (SHA256)
- QNX /etc/shadow (SHA512)
- RedHat 389-DS LDAP (PBKDF2-HMAC-SHA256)
- Ruby on Rails Restful-Authentication
- SecureZIP AES-128
- SecureZIP AES-192
- SecureZIP AES-256
- SolarWinds Orion
- Telegram Desktop App Passcode (PBKDF2-HMAC-SHA1)
- Telegram Mobile App Passcode (SHA256)
- Web2py pbkdf2-sha512
- WPA-PBKDF2-PMKID+EAPOL
- WPA-PMK-PMKID+EAPOL
- md5($salt.sha1($salt.$pass))
- md5(sha1($pass).md5($pass).sha1($pass))
- md5(sha1($salt).md5($pass))
- sha1(md5(md5($pass)))
- sha1(md5($pass.$salt))
- sha1(md5($pass).$salt)
- sha1($salt1.$pass.$salt2)
- sha256(md5($pass))
- sha256($salt.$pass.$salt)
- sha256(sha256_bin($pass))
- sha256(sha256($pass).$salt)

Por supuesto ha habido una mejora importante en cuanto al rendimiento en WPA y WPA2, WinZip, bcrypt... Mejora así la velocidad y rendimiento a la hora de crackear hashes en archivos y protocolos muy utilizados.

No obstante, más allá de las mejoras que podamos encontrar en cuanto a rendimiento, más herramientas disponibles y características útiles, siempre hay que tener en cuenta la importancia de contar con las últimas versiones para corregir así posibles problemas de seguridad. Esto es algo que debemos aplicar siempre en cualquier software que tengamos instalado.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los dispositivos IoT están cada vez más presentes en nuestro día a día. Como sabemos son todos aquellos equipos que cuentan con conexión a Internet en nuestro hogar. Hablamos por ejemplo de televisiones, bombillas inteligentes, reproductores de vídeo... Sin embargo hay que tener en cuenta que más allá de su gran utilidad pueden ser un problema importante de seguridad. Especialmente lo son si no tomamos las medidas adecuadas. En este artículo nos hacemos eco de cómo millones de dispositivos IoT están expuestos a ataques remotos.

Millones de dispositivos IoT son vulnerables

Así lo han demostrado un grupo de investigadores de seguridad. Han detectado 19 vulnerabilidades, algunas de las cuales permiten posibles ataques remotos contra estos dispositivos. Algunas han sido descubiertas en TCP/IP, lo que podría permitir a un posible atacante entrar en esos equipos.

Según informan estos dispositivos afectados son muy variados. Algunos son utilizados por usuarios particulares mientras que otros pueden ser usados por grandes empresas para su día a día.

Las vulnerabilidades principales residen en una biblioteca TCP/IP. Esa biblioteca es implantada en muchos dispositivos IoT en la actualidad. Esto hace que esos equipos sean ahora vulnerables a este problema. Concretamente se trata de la biblioteca Treck TCP/IP. Algunas vulnerabilidades también afectan a la biblioteca Kasago.

Hay que indicar que estas dos bibliotecas parten de una misma raíz, hasta que en la década de 1990 tomaron caminos diferentes. El problema es que comparten parte de los archivos originales.


Ripple20, las vulnerabilidades que afectan a dispositivos IoT

Estas vulnerabilidades han sido numeradas desde CVE-2020-11896 a CVE-2020-11914. Colectivamente han sido denominadas como Ripple20. Algunos de estos fallos de seguridad han sido calificados como críticos, mientras que otros son de bajo riesgo. El problema principal es que cuatro de ellos permiten la ejecución de código remoto.

También hay que indicar que otras vulnerabilidades pueden ser utilizadas para la divulgación de datos sensibles, denegación de servicio y otros tipos de ataques que, en definitiva, ponen en riesgo la seguridad y privacidad.

Desde los investigadores indican que una de las vulnerabilidades críticas está en el protocolo DNS y podría ser explotada por un atacante sofisticado a través de Internet, desde fuera de los límites de la red, incluso en dispositivos que no están conectados a Internet.

Los vendedores de estos dispositivos vulnerables deberían lanzar actualizaciones para arreglar la versión de la biblioteca Treck vulnerable. Es de esperar que lancen parches para corregir el problema y los usuarios deberían actualizar sus dispositivos.

Una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por piratas informáticos para llevar a cabo sus ataques. Es vital que tengamos siempre las últimas actualizaciones y corrijamos así esos problemas.

Precisamente los dispositivos IoT pueden sufrir muchos tipos de ataques. A fin de cuentas son millones los que hay en el mundo y la cifra no hace más que aumentar. Es esencial que siempre corrijamos los posibles problemas.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Parece que las medidas de seguridad adicionales que se están implementando en Linux están saliendo un tanto ranas. Si la semana pasada informamos de fallos de seguridad en las defensas contra las vulnerabilidades tipo Spectre, ahora otra persona ha descubierto que es posible saltarse Lockdown utilizando tablas de ACPI.

Para los que anden perdidos, Lockdown es un módulo de seguridad introducido en Linux 5.4 que permite bloquear partes del kernel. La inclusión de esta tecnología fue sugerida hace 8 años por Matthew Garrett, uno de los mayores defensores de Secure Boot dentro del espectro Linux, pero sus propuestas fueron rechazadas por Torvalds hasta el año 2019, cuando se consiguió consensuar una vía para implementarlo. El principal punto de discrepancia fue si atar o no Lockdown a Secure Boot, cosa que el creador de Linux rechazó de plano.

El descubridor de los fallos de seguridad en Lockdown ha sido Jason Donenfeld, desarrollador principal de WireGuard, el VPN de nueva generación que está llamado a jubilar con el tiempo a soluciones como OpenVPN y que fue introducido en Linux 5.6. Profundizando en el tema que realmente nos ocupa, Donenfeld descubrió la semana pasada un fallo en Ubuntu 18.04 que permitía saltarse la protección de Lockdown y romper Secure Boot mediante inyección de tablas de ACPI, el estándar encargado de controlar el funcionamiento de la BIOS y proporcionar mecanismos avanzados para la gestión y ahorro de la energía.

El kernel Linux incluido en Ubuntu suele estar bastante modificado, así que en un principio se pensó que esto era un problema exclusivo del sistema de Canonical. Sin embargo, Donenfeld halló poco después otro fallo de seguridad muy similar que afecta a la rama principal del kernel Linux, el cual permite inhabilitar Lockdown inyectando tablas de ACPI.

La vulnerabilidad encontrada en la rama principal de Linux es incluso más peligrosa que la hallada en Ubuntu 18.04 al no necesitar de un reinicio para explotarla. El origen del problema está en el módulo ConfigFS, de ACPI, que permite añadir tablas de ACPI arbitrarias en tiempo de ejecución. Su explotación requiere de acceso como root y funciona alrededor del ASLR del kernel Linux "al obtener la base física de '/proc/kcore' y las direcciones aleatorias del símbolo del kernel de '/proc/kallsysm'. Si no se tiene acceso a kcore, se podría agregar 'nokaslr' como en la versión anterior y usar el viejo y normal '/proc/iomem', que funciona bien". La prueba de concepto desarrollada por Jason Donenfeld funciona incluso en un sistema con Secure Boot habilitado, permitiendo la carga de módulos del kernel arbitrarios y sin firmar en el sistema.

Por suerte, el propio Donenfeld ha enviado el parche para corregir la vulnerabilidad, que consiste en tan solo 5 líneas de código que comprueban el estado de la funcionalidad de Lockdown antes de permitir las escrituras de las tablas de ACPI. Como es obvio, este parche será portado hacia atrás y tendría que ir llegando a los sistemas soportados en las próximas horas o días, si es que no lo ha hecho ya.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub reemplazará términos como 'master/slave' o 'whitelist/blacklist' para no herir sensibilidades

Siguiendo el camino emprendido por proyectos como Python y otros, GitHub planea reemplazar términos tradicionales de la informática que resultan ofensivos, tales como 'master/slave' o 'whitelist/blacklist', por otros que no hieran la sensibilidad de minorías sociales, informan en TNW.

La duda está ahora en cuáles serán los términos concretos con los que se reemplazará a los existentes, y es que la tradición tira mucho y si cada proyecto medianamente importante impone los suyos, lo que debería ser una solución, puede terminar generando otros problemas. Por ello se encuentran debatiendo las diferentes posibilidades.

Y lo cierto es que las hay, y por más forzado que sea el cambio no se tiene por qué llegar a mal puerto. Términos como 'whitelist/blacklist' tienen fácil recambio en otros como 'allowlist/blocklist', que de hecho son mucho más precisos con la acción implícita, mientras que con 'master/slave' se habla de 'main/secondary' o combinaciones similares.

La intención de estos cambios, que como decimos han sido aplicados ya por numerosos proyectos e incluso instituciones al rebufo de la presión de movimientos como Black Lives Matter, es la de evitar referencias a desigualdades históricas, principalmente raciales, reflejadas en términos que son sugestivos por ejemplo para relacionar lo bueno y malo con lo blanco y negro, respectivamente.

Por supuesto, todos estos cambios cuentan con muchos apoyos, pero también con mucha oposición y desinterés, incluso entre personas negras. Basta con echar un vistazo a las conversaciones en foros como Twitter y Reddit para constatarlo. Hay historiadores y antropólogos, por ejemplo, que recuerdan que la asociación de lo blanco y negro con lo bueno y malo se da desde la más remota antigüedad para representar la luz y la oscuridad, sin importar el color de la piel de las comunidades que hacían servir dichos términos.

Pero el mundo está cambiando, o hay quien está intentando forzar el cambio, y todo ello tiene su evidente reflejo en el sector tecnológico. Lo veíamos ayer mismo con la nueva política antiacoso del proyecto GNOME, o con la también nueva política de donaciones de The Linux Foundation; y lo llevamos viendo mucho más tiempo en los códigos de conducta que están aplicando la mayoría de los proyectos de software libre desde el año pasado.

Un ejemplo curioso, relacionado en este caso con el sexismo, fue el de la proposición de cambio de nombre o eliminación de los repositorios de una biblioteca llamada weboob que hace un par de años llevó adelante el «equipo antiacoso» de Debian. Hubo quien se plantó, recordando que boobs (tetas) no solo tienen las mujeres, y que estas no solo tienen una connotación sexual. Pero si el término ofende a una minoría históricamente reprimida, debe ser eliminado, sostienen los impulsores de este tipo de iniciativas.

Otros ejemplos recientes de la presión de grupos autoproclamados como defensores de la justicia social los hemos tenido con la aparición del fork de GIMP, Glimpse, o con asuntos más graves, como el amago de Linus Torvalds o con la caída en desgracia de Richard Stallman. Todo se deriva de las mismas corrientes ideológicas. Y, según parece, esto es solo el principio.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto dos ataques distintos que podrían explotarse contra los procesadores Intel modernos para filtrar información confidencial de los entornos de ejecución de confianza (TEE) de la CPU.

Llamado SGAxe , el primero de los defectos es una evolución del ataque CacheOut previamente descubierto (CVE-2020-0549) a principios de este año que permite a un atacante recuperar el contenido del caché L1 de la CPU.

"Al utilizar el ataque extendido contra los enclaves SGX arquitectónicos firmados y provistos por Intel, recuperamos la clave de certificación secreta utilizada para probar criptográficamente la autenticidad de los enclaves en la red, lo que nos permite pasar enclaves falsos como genuinos", un grupo de académicos de la universidad de Michigan dijo.

La segunda línea de ataque, denominada CrossTalk por investigadores de la Universidad VU de Amsterdam, permite la ejecución de código controlado por el atacante en un núcleo de CPU para apuntar a enclaves SGX que se ejecutan en un núcleo completamente diferente y determinar las claves privadas del enclave.

Un TEE, como las Extensiones de protección de software de Intel ( SGX ), se refiere a un enclave seguro, un área dentro de un procesador que garantiza la confidencialidad e integridad del código y los datos. Ofrece protecciones contra la modificación de software y datos confidenciales por parte de actores maliciosos que pueden haber entrado en la máquina de destino (virtual).

Ataque SGAxe: extracción de datos confidenciales de enclaves SGX

SGAxe se basa en el ataque de ejecución especulativo CacheOut para robar datos SGX. Según los investigadores, si bien Intel tomó medidas para abordar los ataques de canal lateral contra SGX a través de varias actualizaciones de microcódigo y nuevas arquitecturas, las mitigaciones han resultado ineficaces.

Esa vulnerabilidad, como resultado, da como resultado un ataque de ejecución transitoria que puede recuperar claves criptográficas SGX de una máquina Intel totalmente actualizada, en la que confía el servidor de certificación de Intel.

Atestaciónes un mecanismo ofrecido como parte de SGX que permite a los enclaves probar a terceros que se han inicializado correctamente en un procesador Intel genuino. La idea es garantizar que el software que se ejecuta dentro de la CPU no haya sido alterado y tener una mayor confianza de que el software se está ejecutando dentro del enclave.

"En pocas palabras, usamos CacheOut para recuperar las claves de sellado desde el espacio de direcciones del enclave de citas de producción de Intel", declararon los investigadores. "Finalmente, utilizamos las claves de sellado recuperadas para descifrar el almacenamiento a largo plazo del enclave de citas, obteniendo las claves de certificación EPID de las máquinas".


Al romper esta confianza, SGAxe facilita a un atacante la creación de un enclave corrupto que pasa el mecanismo de certificación de Intel, lo que resulta en la pérdida de las garantías de seguridad.

"Con las claves de certificación de producción de la máquina comprometidas, cualquier secreto proporcionado por [el] servidor puede ser leído inmediatamente por la aplicación de host no confiable del cliente, mientras que no se puede confiar en la exactitud de todas las salidas supuestamente producidas por enclaves que se ejecutan en el cliente", dijeron los investigadores. "Esto hace que las aplicaciones DRM basadas en SGX sean inútiles, ya que cualquier secreto provisto se puede recuperar trivialmente".

Aunque Intel emitió correcciones para CacheOut en eneroa través de una actualización de microcódigo para proveedores OEM y posteriormente a través de actualizaciones de BIOS para usuarios finales, las mitigaciones para SGAxe requerirán parchear la causa raíz detrás de CacheOut (también conocido como M1 Eviction Sampling).

"Es importante tener en cuenta que SGAxe se basa en CVE-2020-0549 que ha sido mitigado en microcódigo (confirmado por los investigadores en su documento actualizado CacheOut) y distribuido al ecosistema", dijo Intel en un aviso de seguridad .

El fabricante de chips también realizará una recuperación de Trusted Compute Base (TCB) para invalidar todas las claves de certificación previamente firmadas.

"Este proceso garantizará que su sistema se encuentre en un estado seguro de modo que pueda volver a utilizar la certificación remota", declararon los investigadores.

CrossTalk Attack: Fugas de información en núcleos de CPU

CrossTalk ( CVE-2020-0543 ), el segundo exploit SGX, es lo que la Universidad VU llama un ataque MDS (Microarchitectural Data Sampling). Aprovecha un búfer de "puesta en escena" que se puede leer en todos los núcleos de la CPU para montar ataques de ejecución transitorios en los núcleos y extraer la clave privada completa de ECDSA de un enclave seguro que se ejecuta en un núcleo de CPU separado.

"El almacenamiento intermedio de almacenamiento retiene los resultados de instrucciones de ejecución ejecutadas previamente en todos los núcleos de CPU", observaron los investigadores. "Por ejemplo, contiene los números aleatorios devueltos por el DRNG de hardware externo, los hashes de estado de bootguard y otros datos confidenciales".


Dicho de otra manera, CrossTalk funciona leyendo el búfer de ensayo durante la ejecución transitoria para filtrar datos confidenciales a los que acceden las instrucciones de víctimas ejecutadas previamente.

El hecho de que el búfer retiene la salida de las instrucciones RDRAND y RDSEED hace posible que una parte no autorizada rastree los números aleatorios generados y, por lo tanto, compromete las operaciones criptográficas que sustentan el enclave SGX, incluido el proceso de certificación remota antes mencionado .


Con las CPU Intel lanzadas de 2015 a 2019, contando las CPU Xeon E3 y E, susceptibles a los ataques, los investigadores de la Universidad VU dijeron que compartió con Intel una prueba de concepto que demuestra la fuga del contenido del almacenamiento intermedio provisional en septiembre de 2018, seguido de un PoC implementando la filtración RDRAND / RDSEED entre núcleos en julio de 2019.

"Las mitigaciones contra los ataques de ejecución transitorios existentes son en gran medida ineficaces", resumió el equipo. "La mayoría de las mitigaciones actuales dependen del aislamiento espacial en los límites que ya no son aplicables debido a la naturaleza de núcleo cruzado de estos ataques. Las nuevas actualizaciones de microcódigo que bloquean todo el bus de memoria para estas instrucciones pueden mitigar estos ataques, pero solo si hay no hay problemas similares que aún no se han encontrado ".

En respuesta a los hallazgos, Intel abordó la falla en una actualización de microcódigo distribuida a los proveedores de software ayer después de un período de divulgación prolongado de 21 meses debido a la dificultad de implementar una solución.

La compañía ha recomendado a los usuarios de los procesadores afectados que actualicen a la última versión del firmware proporcionada por los fabricantes del sistema para abordar el problema.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las versiones del kernel 4.19 y 5.4 pasarán a estar soportadas durante 6 años en lugar de 2

Algunas versiones LTS del kernel de Linux están soportadas durante dos años. Esto es mucho, pero puede haber un desequilibrio si lo comparamos con el soporte ofrecido por versiones LTS de sistemas operativos como Ubuntu, los cuales son soportadas durante 5 años. Desde esta semana, según ha informado Greg Kroah-Hartman, el desarrollador principal que se encarga de mantener el kernel, ha ampliado el soporte, o retrasado la versión EOL (End Of Life), de dos a seis años para las últimas versiones Long-Term Support del núcleo de Linux.

Las últimas versiones LTS del kernel multiplican por tres el tiempo de soporte

Así ha informado en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, donde menciona que tanto Linux 4.19 como Linux 5.4 estarán soportados hasta diciembre de 2024 y diciembre de 2025 respectivamente.

Para explicar un poco cómo funcionan los ciclos de vida del kernel de Linux, hay que dejar claro que hay dos tipos:

Estable: llega una nueva versión cada dos meses aproximadamente. Poco después lanzan la versión EOL y tenemos que actualizar o dejaremos de recibir soporte.

LTS: son las versiones soportadas durante más tiempo. En el pasado, el soporte era sólo de 2 años, pero en 2017 anunciaron que pasarían a estar soportadas durante 6 años. Esto empezó con Linux 4.4, pero el soporte se tiene que extender oficialmente de los 2 a los 6 años como Kroah-Hartman acaba de hacer con Linux 4.19 y Linux 5.4. Y es que es Greg quien decide por cuánto tiempo va a estar soportado una versión del núcleo que él mismo mantiene

No se recomienda tocar demasiado a usuarios nóveles

Explicado todo esto y como recomendación personal e intransferible, yo siempre digo una cosa: no merece la pena «jugar» con el kernel a no ser que tengamos un fallo muy molesto, que suele ser de hardware, con el que no podamos convivir. Por lo general, las distribuciones Linux suelen mantener el kernel de su sistema operativo bien actualizado, tanto las que usan el modelo de desarrollo Rolling Release, que lo llevan al día, como las que lanzan un sistema operativo cada varios meses, quienes aplican todos los parches de seguridad necesarios a la versión que usan hasta que lanzan una nueva versión del sistema operativo y actualizan el kernel a una versión superior. En cualquier caso, ya es oficial: Linux 5.4 y 4.9 estarán soportados hasta 2025 y 2024 respectivamente, así que tranquilidad para todos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es bien sabido que las agencias de investigación de Estados Unidos son bastante especiales, pues cuentan con una gran infinidad de herramientas y métodos para poder localizar y realizar el seguimiento de personas y en esta categoría también entra una de las redes sociales mas famosas, "Facebook".

Y para quienes aun lo duden, los invito a platicar sobre un artículo en particular con su smartphone o Tablet a un lado o realizar alguna búsqueda de ese artículo en el navegador y casualmente aparecerá en la aplicación de Facebook publicidad relacionada con dicho artículo, (coincidencia... no lo creo).

Un fallo zero day en Tails permite obtener la IP real

Recientemente se dio a conocer la noticia de un fallo zero day en el reproductor multimedia de la popular distribución orientada al "anonimato" Tails, que permitió a Facebook y al FBI poder atrapar a un pedófilo.

Y es que aun que algo no concuerda, "anonimato", debemos entender y tener bien claro que ningún sistema es seguro y por mucho que se ofrezca la privacidad, no está exento pues son muchas partes lo que componen al sistema "archivos, bibliotecas, binarios, etc, etc... y si también incluido al usuario" y mientras sea identificado un fallo ese medio se convierte en un blanco a vulnerar.

Y en este caso, Facebook realizo el uso de una herramienta permitió al FBI atrapar al pedófilo "Buster Hernández" el cual utilizaba regularmente la red social para extorsionar con fotos y videos de jóvenes mujeres desnudas, así como enviarles amenazas de violación, bombardeos y tiroteos masivos en las escuelas.

Según documentos judiciales, Hernández se ha dirigido a cientos de niñas menores de edad durante varios años a través del chantaje y las amenazas terroristas.

Además de Facebook, se dice que llamó la atención de las oficinas de campo del FBI en muchos lugares. Pudo escapar de la captura durante tanto tiempo porque estaba usando Tails. El informe señala que el FBI había intentado hackear previamente la computadora de Hernández, pero había fallado porque el enfoque utilizado no era adecuado para Tails. Entonces Facebook se encargó de desenmascararlo.

Sobre el exploit

El exploit desarrollado por los ingenieros de Facebook está dirigido contra la distribución «Tails". Según el informe, el exploit, es un sistema automatizado que informa cuentas creadas recientemente y envía mensajes a menores.

Pero no lo hicieron solos. De hecho, para perfeccionar su estrategia, Facebook pagó a una compañía de ciberseguridad de terceros para que la ayudara a encontrar y explotar una falla "zero day» en Tails.

El cual derivo en un error en el reproductor de video que puede encontrar la dirección IP real de una persona que mira un video. Todo lo que quedaba era cebar a Hernández y esperar a que mordiera el anzuelo.

El informe estima que un intermediario pasó la herramienta al FBI, que luego obtuvo una orden de allanamiento para que una de las víctimas enviara un archivo de video modificado a Buster Hernández.

Además, si la persona en cuestión ahora está tras las rejas, quedan muchas preguntas. El primero: ¿el fin justifica los medios?. Si Facebook responde que sí, el hecho es que acaba de abrir una caja de Pandora. Cabe señalar que el desarrollo de exploits en el producto de otra compañía también plantea problemas éticos obvios.

Esto es particularmente cierto para Tails, que fue diseñado para garantizar la seguridad de los usuarios, incluidos periodistas y denunciantes., víctimas de acoso y activistas políticos.

Además, Facebook actuó discretamente sin notificar a los desarrolladores de Tails sobre la violación de seguridad más importante.

Normalmente, Facebook debería hacer esto para permitir que los desarrolladores de Tails desarrollen una corrección de errores. Según el informe, las fuentes dijeron que Facebook no consideró necesario hacerlo debido a una próxima actualización de Tails.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft lanzó su lote de actualizaciones de seguridad de software perteneciente a junio de 2020 que parchea un total de 129 vulnerabilidades recientemente descubiertas que afectan a varias versiones de los sistemas operativos Windows y productos relacionados.

Esta es la tercera actualización de Patch Tuesday desde el comienzo del brote global de Covid-19, lo que ejerce una presión adicional sobre los equipos de seguridad que luchan por mantenerse al día con la administración de parches mientras avanzan con precaución que no debería romper nada durante esta temporada de cierre.

Los 129 errores en el paquete de junio de 2020 para administradores de sistemas y miles de millones de usuarios incluyen 11 vulnerabilidades críticas, todas ellas conducen a ataques de ejecución remota de código, y 118 clasificadas como importantes en severidad, principalmente conducen a escalada de privilegios y ataques de suplantación de identidad.

Según las advertencias que Microsoft lanzó hoy, los hackers, afortunadamente, no parecen estar explotando ninguna de las vulnerabilidades de día cero en la naturaleza, y los detalles de ninguno de los defectos abordados este mes se divulgaron públicamente antes de esta publicación.

Uno de los defectos notables es una vulnerabilidad de divulgación de información ( CVE-2020-1206 ) en el protocolo Server Message Block 3.1.1 (SMBv3) que, según un equipo de investigadores, puede explotarse en combinación con SMBGhost (CVE-2020) previamente divulgado -0796) falla para archivar ataques de ejecución remota de código. Puede encontrar más detalles sobre este defecto aquí.

Tres errores críticos (CVE-2020-1213, CVE-2020-1216y CVE-2020-1260) afectan el motor VBScript y existen en la forma en que maneja los objetos en la memoria, lo que permite a un atacante ejecutar código arbitrario en el contexto del usuario actual.

Microsoft ha enumerado estas fallas como "más probable de explotación", explicando que ha visto a atacantes explotar consistentemente fallas similares en el pasado, y puede llevarse a cabo de forma remota a través del navegador, la aplicación o el documento de Microsoft Office que aloja el motor de renderizado IE.

Uno de los 11 problemas críticos explota una vulnerabilidad ( CVE-2020-1299) en la forma en que Windows maneja los archivos de acceso directo (.LNK), lo que permite a los atacantes ejecutar código arbitrario en los sistemas de forma remota. Como todas las vulnerabilidades anteriores de LNK, este tipo de ataque también podría llevar a las víctimas a perder el control de sus computadoras o que les roben sus datos confidenciales.

El componente GDI + que permite a los programas usar gráficos y texto formateado en una pantalla de video o impresora en Windows también se ha encontrado vulnerable a un error de ejecución remota de código (CVE-2020-1248).

Según Microsoft, la vulnerabilidad GDI + RCE puede explotarse en combinación con una vulnerabilidad de seguridad crítica separada ( CVE-2020-1229 ) que afecta al software Microsoft Outlook que podría permitir a los atacantes cargar automáticamente imágenes maliciosas alojadas en un servidor remoto.

"En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando la imagen especialmente diseñada al usuario. Un atacante que explotara con éxito esta vulnerabilidad podría hacer que un sistema cargue imágenes remotas. Estas imágenes podrían revelar la dirección IP del sistema objetivo al atacante ", dice el aviso.

Además de estos, la actualización de junio de 2020 también incluye un parche para un nuevo error crítico de ejecución remota de código ( CVE-2020-9633) que afecta a Adobe Flash Player para sistemas Windows.
Se recomienda que todos los usuarios apliquen los últimos parches de seguridad lo antes posible para evitar que el malware o los malhechores los exploten para obtener control remoto sobre las computadoras vulnerables.

Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows, o seleccionando Buscar actualizaciones de Windows.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hasta que no sea presentado y analizado no se puede asegurar, pero tampoco podemos estar realmente sorprendidos con la arquitectura Tiger Lake de Intel. Y es que filtraciones pasadas dejaban un buen sabor de boca, pero lo que se ha localizado durante el día de ayer deja unas expectativas realmente altas para los de Swan debido a los resultados que han sido filtrados de su nuevo i7-1165G7, una CPU destinada a portátiles que incluye todas las novedades de la compañía.

Intel va a dejar atrás sus 10 nm de primera generación y mira hacia delante con optimismo, puesto que ya tendría listos sus primeros procesadores a 10 nm+. Aunque no serán de alto rendimiento, sí sabemos que son el primer paso para olvidar todos los retrasos y problemas que han enfrentado, donde al parecer y según los datos que vamos a ver, los resultados saltan a la vista.

Y es que Tiger Lake va a representar todas las novedades de la compañía, todos los debuts y principales espadas de cara a este 2020 y con vistas a 2021.

Tiger Lake podría destronar a NVIDIA y AMD de un solo golpe

Aunque hay que matizar que este i7-1165G7 no será la CPU para portátiles más potente de Intel, hará frente a Zen 2 y a Pascal como arquitecturas principales, donde por supuesto también enfrentará a Renoir dentro de las iGPU. Para ponernos en situación y a modo rápido, esta arquitectura principal incluye la nueva arquitectura de núcleos Willow Cove, por lo que estamos ante un paso más que adelante de la compañía en IPC.


Junto al salto en este ámbito que supuso Sunny Cove, Willow Cove trae por fin el rediseño de las cachés y una nueva optimización de los transistores, así como mejoras en seguridad por hardware para terminar con los ataques de ejecución especulativa y un amplio abanico de fallos de seguridad que hemos visto durante el año pasado y parte de este.

Además, Tiger Lake hace debutar a la arquitectura de GPU Xe en PC mediante su iGPU Gen 12 (LP), por lo que las expectativas son realmente altas para poder combatir contra sus dos rivales, los cuales les llevan mucha ventaja a Intel en este apartado.


Centrándonos en el i7-1165G7, en contra de lo visto en filtraciones pasadas que se atribuían a CPUs ES, esta muestra parece realmente más orientada a ser un procesador final, ya que sus frecuencias son más acordes a su consumo, pero sobre todo a su rendimiento. Lo filtrado en 3DMark revela un procesador de 4 núcleos y 8 hilos a una frecuencia base de 2,8 GHz con un Boost de 4,4 GHz para ofrecer 25 vatios en dicha versión.

Esto ha dado unas puntuaciones realmente sorprendentes y que pondrían en jaque tanto a NVIDIA como a AMD.

Intel Core i7-1165G7: aumento espectacular del rendimiento entre filtraciones


Los anteriores datos, sin ser malos, no eran realmente lo esperado para las frecuencias filtradas. Y es que con 300 MHz más en aquella ocasión la puntuación era realmente baja frente a lo que vamos a ver a continuación.

Este i7-1165G7 ha conseguido 11879 puntos en físicas para 3DMark 11 y 6873 puntos para la prueba de gráficos, con una puntuación total de 7370 puntos. Si comparamos la de hace algo más de una semana con los datos de hoy podremos ver que en CPU se ha aumentado la potencia en casi un 50%, mientras que en GPU el salto es de un 10%.

Si comparamos entre arquitecturas (Ice Lake vs Tiger Lake), el aumento de rendimiento es del 25% en CPU y un increíble 50% en iGPU. ¿Deben de estar preocupados en NVIDIA y AMD? Bueno, preocupados podría quedarse corto como tal dadas las fechas en las que nos encontramos.


Y es que una MX350 basada en Pascal en el mismo test consigue unos 6543 puntos en gráficos y con las memorias a 8 Gbps, pero si lo comparamos con la APU más rápida de AMD en la actualidad para portátiles (Ryzen 7 4800U, el 4900U es una quimera a día de hoy) la iGPU Xe de Intel le endosa un 13% de media.

En realidad, esta CPU no compite contra el 4800U por puras prestaciones y núcleos, para ello estará el i7-1185G7, por lo que su rival natural es el Ryzen 7 4700U de 15W o 25W, dependiendo de la configuración escogida.


En este caso comparativo, el i7-165G7 lograría una ventaja en física de aproximadamente un 13,4% y en gráficos un sorprendente 27% frente a Renoir. Estos datos podrían ser menores en la configuración de 25 vatios del AMD, lo cual se acercarían a lo mostrado con el 4800U realmente.

NVIDIA y AMD estarían por detrás pocos meses después de sus últimos lanzamientos
En cualquier caso, Intel va a pillar a NVIDIA y AMD a pie cambiado, ya que ambas lanzaron sus productos hace apenas mes y medio, todavía cuesta encontrarlos en tiendas por los retrasos, mientras que Intel planea el lanzamiento de Tiger Lake en apenas dos meses y si los datos no mienten, pueden estar liderando el mercado de portátiles de bajo consumo, piedra filosofal actualmente en cuanto a ingresos para las tres empresas.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si publicas fotos en Instagram y alguien hace uso de ellas mediante la opción de insertar una publicación, ¿infringe los derechos de autor o no? Pues aunque pudieses pensar que no, lo cierto es que tras una sentencia judicial ya no queda tan claro.

Instagram y los derechos de autor


Ars Technica ha publicado un llamativo artículo en el que recogen lo ocurrido entre Newsweek y el fotógrafo Elliot McGucken. Este realizó una fotografía del lago de Death Valley, el cual está normalmente siempre seco. En aquella ocasión, por las fuertes lluvias, tenía una gran cantidad de agua y eso llamó la atención de Newsweek.

La publicación se puso en contacto con el fotógrafo para licenciar la imagen y poder incluirla en una publicación dentro de su sitio web, pero la respuesta de McGucken fue negativa. Algo que se entiende debido a que éste vende sus imágenes en su web. Por tanto, con la respuesta de Elliot, la solución de Newsweek para usarla fue recurrir a la opción insertar imagen que Instagram ofrece.

Hasta aquí no hubiese pasado nada sino fuese porque el fotógrafo demandó alegando que él no había dado permiso ninguno para su uso en Newsweek y una jueza le dio la razón. Por tanto, Newsweek debía quitar dicha publicación. Algo extraño, porque un caso similar ya ocurrió entre Mashable y otro fotógrafo, pero esta vez el desenlace fue al contrario y la publicación pudo usar dicha API para compartir la imagen.


En aquel momento el argumento que parecía que permitió el uso de la imagen era que Instagram obtenía una sublicencia para poder llevar las imágenes a otras plataformas. Pero parece que realmente no es así. Como la propia Instagram parece haber confirmado a Ars Technica a través de un correo electrónico, ellos ofrecen al usuario la posibilidad de insertar sus imágenes en otros medios, pero no dan ningún tipo de sublilencia para que cualquiera pueda coger dicho código y usarlo en cualquier medio.

Extraño, ¿verdad? Lo cierto es que sí. Si revisamos la mayoría de información publicada al respecto, todo parece indicar que descargarla y subirla a otro servidor sin consentimiento del auto efectivamente sí que infringe los derechos de autor, pero usar la API que permite insertarlas no debería hacerlo. Porque a fin de cuentas el autor está claramente visible, se le reconoce y la imagen permanece en los servidores de Instagram.

Por tanto, Instagram va a tener o debería de aclarar bien sus condiciones de uso del mismo modo que últimamente hizo lo propio con el tema de la música comercial, que se pueda subir o reproducir en las stories, publicaciones del feed o IGTV. Porque insertar una publicación de IG es algo tan común que, si de verdad quieren proteger a sus usuarios, necesitarán aclarar bien todo.

Claro que la solución más sencilla sería añadir una nueva opción que, sin necesidad de volver privado el perfil, sí que permita desactivar la opción de insertar. Sería algo similar a lo que ofrece Twitter para decidir quién podrá o no contestar a un tweet.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cada cierto tiempo, WhatsApp se ve afectada por una vulnerabilidad en la app. Estas vulnerabilidades han llegado a permitir que cualquier persona con tu número de teléfono podía acceder a tus mensajes y fotos con sólo enviar un GIF o realizar una llamada a tu móvil. Ahora, un nuevo fallo de seguridad permite a cualquier persona conocer tu número de teléfono.

Así lo ha desvelado un investigador de India, que afirma que habría entre 29.000 y 300.000 números de teléfono filtrados en Google en texto plano. Aunque el investigador menciona Estados Unidos, Reino Unido o India como principales países afectados, también hay otros muchos afectados, entre los que se encuentra España.


850 números de WhatsApp en España, filtrados en Google

Si buscamos site:wa.me «+», aparecen unos 254.000 resultados con números de teléfono de todo el mundo. Y si filtramos con site:wa.me «+34», entonces encontramos 850 resultados de números de teléfono de España que se han filtrado. El investigador que lo ha descubierto dice que muchos números son de empresa, pero como podemos ver en los resultados, hay muchos de particulares; y algunos relacionados con contenido erótico, ya que en el enlace generado puede escribirse un mensaje.


Este bug es parecido al que ocurrió hace unos meses con los enlaces para entrar a grupos, los cuales aparecían también en Google. En este caso la culpable es la función de Click to Chat, que permite iniciar un chat de WhatsApp con otra persona sin tener que guardar su número de teléfono en los contactos. El fallo en ambos casos es no haber incluido en el "robots.txt" el "noindex" para que no fuese indexado por los buscadores. También, si se cifrasen los números de teléfono, no aparecían en el buscador.

Como saber si tu número se ha filtrado

Facebook eliminó hace un año la función de buscar usuarios a través de sus números de teléfono. Sin embargo, WhatsApp lanzó hace unos días una función que permitía añadir a amigos con sólo escanear un código QR. Quien haya utilizado esa función, ahora es probable que tenga su número de teléfono indexado en Google. Para buscarlo, tan sólo tienes que buscar tu número con site:wa.me + 34 000 00 00 00, donde tenemos que poner nuestro número donde aparecen los ceros, respetando los espacios.

Si tienes puesto tu perfil de WhatsApp como público, un atacante puede conocer tu foto de perfil, nombre y estado, además del número de teléfono. Así, pueden aprovecharlo para enviarte phishing a través de SMS. Además, si tenemos puesta la misma foto en WhatsApp que en otras redes sociales, un atacante puede obtener aún más información sobre nosotros, suponiendo una grave vulneración de nuestra privacidad en WhatsApp.

El investigador contactó con Facebook para que resolvieran la filtración de datos, pero la compañía afirma que la solución a este tipo de abusos sólo puede aplicarse en Facebook, y no en WhatsApp, ya que dicen que un usuario puede bloquear mensajes no deseados. Por tanto, contactar con WhatsApp no ha servido de nada porque no han pagado ninguna recompensa al investigador y no han aplicado ninguna solución. Esto demuestra que a la compañía no le importa la seguridad de sus usuarios a pesar de que el número de teléfono esté asociado a todo tipo de elementos personales, incluyendo cuentas bancarias, cuenta de Google y mucho más. Y tiene aún más gravedad el hecho de que la solución sea añadir una simple línea de código al robots.txt.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fiel a su calendario bisemanal, y tras la v5.9, el proyecto que desarrolla este software de «no emulación» de aplicaciones de Windows ha lanzado WINE 5.10. Como es habitual, han introducido muchos pequeños cambios y corrección de errores, pero la lista de novedades destacadas sólo menciona 6 nuevas funciones. Entre ellas también hay alguna antigua, como que han seguido con el progreso del backend WineD3D Vulkan o que han mejorado el soporte para los drivers del kernel anti-cheat.

Por otra parte, en la sección en la que detallan todo lo que han cambiado mencionan que han corregido 47 fallos y han introducido 397 cambios, siendo el desarrollador que más ha colaborado esta vez Nikolay Sivov con un total de 68. A continuación tenéis las novedades más destacadas que menciona WineHQ en la nota del lanzamiento de WINE 5.10.

Fiel a su calendario bisemanal, y tras la v5.9, el proyecto que desarrolla este software de «no emulación» de aplicaciones de Windows ha lanzado WINE 5.10. Como es habitual, han introducido muchos pequeños cambios y corrección de errores, pero la lista de novedades destacadas sólo menciona 6 nuevas funciones. Entre ellas también hay alguna antigua, como que han seguido con el progreso del backend WineD3D Vulkan o que han mejorado el soporte para los drivers del kernel anti-cheat.

Por otra parte, en la sección en la que detallan todo lo que han cambiado mencionan que han corregido 47 fallos y han introducido 397 cambios, siendo el desarrollador que más ha colaborado esta vez Nikolay Sivov con un total de 68.

Si, como hasta ahora, no hay sorpresas, la próxima versión será WINE 5.11. Llegará el próximo viernes 19 de junio y entre sus novedades se espera que sigan mejorando la biblioteca Unix separada para NTDLL y añadan varios centenares más de pequeñas funciones.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Libre de elementos y componentes patentados

La Fundación Latinoamericana de Software Libre dio a conocer hace poco la publicación de la nueva versión completamente "libre" del Kernel de Linux 5.7 "Linux-libre 5.7-gnu" cuya característica principal es que es libre de elementos de firmware y controladores que contienen componentes patentados o partes del código cuya aplicación está limitada por el fabricante.

Linux-libre es el núcleo recomendado por la Free Software Foundation y una pieza principal de las distribuciones GNU totalmente libres de fragmentos privativos o firmwares incluidos en Linux sirven para inicializar los dispositivos o aplicarles parches que solventan fallas del hardware que no pudieron ser corregidas antes de ser puestos a disposición de los usuarios.

El firmware es cargado en el dispositivo por el controlador, formando parte de este y por consiguiente del núcleo. Es conocido que dichos firmwares contienen vulnerabilidades que pueden afectar a Linux pese a usar controladores libres, como es el caso del Intel Management Engine.

En algunos casos sin el firmware no es posible hacer funcionar el dispositivo, quedando éste inutilizado. Esto lleva a que hay menor cantidad de hardware compatible con Linux-libre que con Linux.

Sobre Linux-Libre

Al hablar de dispositivos se incluye también la CPU de la computadora. Esto significa que las computadoras pueden quedar totalmente inservibles si su microprocesador también requiere de un firmware corrector para funcionar adecuadamente

Además, Linux-libre deshabilita las funciones del kernel para cargar componentes no libres que no forman parte del suministro del kernel y elimina la mención del uso de componentes no libres de la documentación.

Para limpiar el kernel de partes no libres, se creó un script de shell universal como parte del proyecto Linux-libre, que contiene miles de plantillas para determinar la presencia de insertos binarios y eliminar falsos positivos.

Los parches listos para usar basados ​​en el uso del script anterior también están disponibles para descargar.

Se recomienda el uso del kernel Linux-libre en distribuciones que cumplan los criterios de Open Source Foundation para la construcción de distribuciones GNU/Linux completamente libres. Por ejemplo, el kernel Linux-libre se usa en distribuciones como Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix y Kongoni.

Aun que la principal desventaja de utilizar este kernel y que por defecto se conoce es la eliminación de firmware de determinado hardware tales como algunas tarjetas wifi, tarjetas de sonido y tarjetas gráficas con especial énfasis en NVIDIA

Principales novedades de Linux-libre 5.7

En esta nueva version del Kernel Linux-Libre 5.7 el trabajo se centró en la eliminación de código de algunos controladores.

Tal es el caos del código deshabilitado que se encarga de la carga de blobs en los controladores para Marvell OcteonTX CPT, Mediatek MT7622 WMAC, Qualcomm IPA, Azoteq IQS62x MFD, IDT 82P33xxx PTP y autobuses MHI.

Además de que se realizó también la limpieza y modificación del código de blobs para tener en cuenta la nueva interfaz de carga de firmware y los nuevos blobs en controladores y subsistemas GPU AMD, Arm64 DTS, Meson VDec, Realtek Bluetooth, m88ds3103 frontend dvb, Mediatek mt8173 VPU, Qualcomm Venus, Broadcom FMAC, Mediatek 7622/7663 wifi.

De los demás cambios que se mencionan en el anuncio:

-  Se consideró el movimiento del controlador mscc y la documentación en wd719x.
- El controlador i1480 uwb ha dejado de limpiar debido a su eliminación del núcleo.
- Se eliminaron los blobs ejecutables decorados como conjuntos de números agregados en el controlador i915 y utilizados para las GPU Gen7.
- En la secuencia de comandos deblob-check, se resolvieron problemas con la autocomprobación y se rehicieron algunas plantillas de resaltado de blobs estándar.

Para quienes estén interesados en poder probar este Kernel de Linux-Libre, la principal recomendación para aquellos que no se sientan seguros o no cuenten con los conocimientos necesarios para realizar la compilación, mejor opten por utilizar alguna de las distribución antes mencionadas que hacen uso de este Kernel.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según una investigación recientemente publicada por Kaspersky, un actor chino de amenazas ha desarrollado nuevas capacidades para apuntar a sistemas con espacios de aire en un intento de filtrar datos confidenciales para espionaje.

La APT, conocida como Cycldek, Goblin Panda o Conimes, emplea un extenso conjunto de herramientas para el movimiento lateral y el robo de información en las redes de víctimas, que incluyen herramientas personalizadas, tácticas y procedimientos previamente no reportados en ataques contra agencias gubernamentales en Vietnam, Tailandia y Laos.

"Una de las herramientas recientemente reveladas se llama USBCulprit y se ha descubierto que depende de los medios USB para filtrar los datos de las víctimas", Kasperskydijo. "Esto puede sugerir que Cycldek está tratando de llegar a redes con espacios de aire en entornos de víctimas o depende de la presencia física para el mismo propósito".

Observado por primera vez por CrowdStrike en 2013, Cycldek tiene una larga historia de señalar los sectores de defensa, energía y gobierno en el sudeste asiático, particularmente Vietnam, utilizando documentos señuelo que explotan vulnerabilidades conocidas (por ejemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) en Microsoft Office para colocar un malware llamado NewCore RAT.

Extraer datos a unidades extraíbles

El análisis de Kaspersky de NewCore reveló dos variantes diferentes (llamadas BlueCore y RedCore) centradas en dos grupos de actividad, con similitudes tanto en código como en infraestructura, pero también contienen características que son exclusivas de RedCore: un registrador de teclas y un registrador RDP que captura detalles sobre usuarios conectados a un sistema a través de RDP.


"Cada grupo de actividad tenía un enfoque geográfico diferente", dijeron los investigadores. "Los operadores detrás del clúster BlueCore invirtieron la mayor parte de sus esfuerzos en objetivos vietnamitas con varios valores atípicos en Laos y Tailandia, mientras que los operadores del clúster RedCore comenzaron con un enfoque en Vietnam y se desviaron a Laos a fines de 2018".

Los implantes BlueCore y RedCore, a su vez, descargaron una variedad de herramientas adicionales para facilitar el movimiento lateral (HDoor) y extraer información (JsonCookies y ChromePass) de los sistemas comprometidos.

El principal de ellos es un malware llamado USBCulprit que es capaz de escanear una serie de rutas, recopilar documentos con extensiones específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) y exportarlos a una unidad USB conectada.

Además, el malware está programado para copiarse selectivamente en ciertas unidades extraíbles para que pueda moverse lateralmente a otros sistemas con espacio de aire cada vez que se inserta una unidad USB infectada en otra máquina.

Un análisis de telemetría de Kaspersky descubrió que la primera instancia del binario se remonta a 2014, con las últimas muestras registradas a fines del año pasado.

El mecanismo de infección inicial se basa en aprovechar los binarios maliciosos que imitan componentes antivirus legítimos para cargar USBCulprit en lo que se conoce como secuestro de órdenes de búsqueda de DLL antes de proceder a recopilar la información relevante, guardarla en forma de un archivo RAR cifrado y filtrar los datos a un Dispositivo extraíble conectado.

"Las características del malware pueden dar lugar a varias suposiciones sobre su propósito y casos de uso, uno de los cuales es alcanzar y obtener datos de máquinas con espacios de aire", dijeron los investigadores. "Esto explicaría la falta de comunicación de red en el malware y el uso de medios extraíbles solo como medio para transferir datos entrantes y salientes".

En última instancia, las similitudes y diferencias entre las dos piezas de malware son indicativas del hecho de que los actores detrás de los clústeres comparten código e infraestructura, mientras operan como dos ramificaciones diferentes en una sola entidad más grande.

"Cycldek es un ejemplo de un actor que tiene una capacidad más amplia de lo que se percibe públicamente", concluyó Kaspersky. "Si bien las descripciones más conocidas de su actividad dan la impresión de un grupo marginal con capacidades inferiores, la gama de herramientas y el intervalo de tiempo de las operaciones muestran que el grupo tiene un amplio punto de apoyo dentro de las redes de objetivos de alto perfil en el sudeste asiático".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login