Como bien saben los que siguen el mercado de las gráficas, Intel tiene previsto volver al mercado de GPU dedicadas a mediados de 2020, si bien no se ha cerrado la puerta a posibles retrasos menores para pulir los productos.

Por lo que han recogido nuestros compañeros de MuyComputer hasta el momento, las GPU dedicadas de Intel utilizarán la duodécima generación (Gen 12) de gráficos de la compañía, la cual ha supuesto un salto enorme frente a lo comercializado hasta ahora y también será empleada por los aceleradores gráficos incluidos en los procesadores Tiger Lake. Sabiendo que hasta ahora los gráficos de Intel se han apoyado en el conjunto estándar de Linux para su soporte, o sea, el kernel y Mesa, los precedentes invitan a ser optimistas en lo que respecta al soporte de las GPU dedicadas en GNU/Linux.

El optimismo inicial con las futuras GPU dedicadas de Intel queda reforzado si tenemos en cuenta que hace unos días se introdujo en Mesa 19.3 una gran cantidad de cambios que afectan a los drivers de OpenGL y Vulkan que serán utilizados por Gen 12. Además de esto, el soporte de OpenGL para Tiger Lake solo llegará mediante Gallium3D, driver con el que Intel pretende dar un salto cualitativo notable el en rendimiento de sus gráficos para Linux, con la expectativa de que sea usado por defecto en todas las generaciones soportadas a partir de Mesa 20.0. Sin embargo, no sería sensato descartar que Intel tome el mismo camino que AMD, ofreciendo un soporte bicéfalo privativo y abierto con distintos drivers en cada frente (y no todos oficiales).

Los motivos de por qué Intel ha decidido volver al mercado de GPU dedicadas posiblemente no van tan ligadas a los juegos como el intentar ofrecer soluciones que cubran mejor sectores como la Inteligencia Artificial y el Aprendizaje Automático. Por otro lado, pese al gran avance que supondrá Gen 12, no pinta que Intel vaya a llegar en condiciones de competir con la gama alta de NVIDIA y AMD, siendo su plan (al menos por lo que se sabe de momento) alcanzarles en potencia en unos años. Esto hace que lo importante no sea tanto empezar fuerte como mejorar constantemente, una situación que los usuarios de GNU/Linux conocemos de sobra con proyectos como Steam Play/Proton.

Todavía es pronto para juzgar la mayoría de los aspectos, pero si Intel consigue engancharse al mercado de GPU dedicadas, hay muchas posibilidades que los usuarios de GNU/Linux tengamos otra opción de gráficos de alto rendimiento que se apoya en el conjunto de gráficos estándar del sistema operativo, mejorando así en aspectos como la posibilidad de elegir el entorno gráfico gracias a la mayor y mejor integración, cosa que en estos momentos queda un tanto limitada con NVIDIA, que hasta hace no tanto se había mostrado como la única opción de gráficos de alto rendimiento para GNU/Linux.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para quienes desconozcan de Pacman, deben saber que este es el gestor de paquetes de Arch Linux, es capaz de resolver las dependencias, y descargar e instalar automáticamente todos los paquetes necesarios. En teoría, el usuario solo necesita ejecutar una única orden para actualizar por completo el sistema.

Pacman utiliza archivos empaquetados en tar y comprimidos en gzip o xz para todos los paquetes, cada uno de los cuales contiene binarios compilados. Los paquetes son descargados a través de FTP, también se puede utilizar HTTP y archivos locales, dependiendo de cómo esté configurado cada repositorio. Cumple con Linux Arch Build System (ABS) utilizados para crear los paquetes desde el código fuente.

Principales novedades de Pacman 5.2

Con el lanzamiento de esta nueva versión de Pacman 5.2, podremos encontrar que como una de las novedades más destacadas es la inclusión del algoritmo zstd que, en comparación con el algoritmo "xz", acelerará la compresión y el desempaquetado de paquetes, al tiempo que preserva el nivel de compresión.

Junto con lo cual se agregó la capacidad de conectar los gestores a makepkg para descargar paquetes fuente y verificar mediante firma digital. Además también se añadió soporte para la compresión de paquetes usando los algoritmos lzip y lz4.

Para el caso de Repo-add, se destaca el soporte añadido para la compresión de la base de datos usando zstd. En un futuro próximo, Arch Linux espera una transición predeterminada al uso de zstd.



Otro de los cambios en Pacman 5.2 es que se eliminó por completo la compatibilidad con las actualizaciones delta, lo que le permite descargar solo los cambios. La capacidad se ha eliminado debido a una vulnerabilidad (CVE-2019-18183), que permite ejecutar comandos arbitrarios en el sistema cuando se utilizan bases de datos sin firmar.

Para un ataque, es necesario que el usuario descargue los archivos preparados por el atacante con la base de datos y la actualización delta. El soporte para actualizaciones delta estaba deshabilitado de manera predeterminada y no se usaba ampliamente. En el futuro, se planea reescribir completamente la implementación de actualizaciones delta.

Por otro lado también se destaca el soporte para descargar claves PGP utilizando Web Key Directory (WKD), cuya esencia es colocar claves públicas en la web con un enlace al dominio especificado en la dirección de correo.

Otro de los cambios que vale la pena tomar en cuenta, es que en esta nueva versión de Pacman 5.2 se eliminó la opción "–force" dado que con su uso puede ocurrir la posibilidad de tener problemas con las dependencias. Ahora en su lugar de se ofrece la opción "–overwrite" que reflejara con mayor precisión.

Mientras que para los resultados de búsqueda de archivos con la opción "-F" proporcionan información ampliada, como el grupo de paquetes y el estado de la instalación.

Finalmente también vale la pena mencionar que con la liberación de Pacman 5.2, una vulnerabilidad se ha corregido en el controlador de comandos XferCommand (CVE-2019-18182), que permite un ataque MITM y una base de datos sin firmar para lograr la ejecución de sus comandos en el sistema.

Y que con Pacman 5.2 es posible construir usando el sistema Meson en lugar de Autotools. En la próxima versión, Meson reemplazará por completo a Autotools.

Actualizar Pacman a la nueva versión

En estos momentos en el que fue escrito el articulo la nueva versión de Pacman aún no ha sido liberada en los repositorios de Arch Linux, por lo que la única manera de tener esta nueva versión de Pacman 5.2 en nuestro sistema es descargando y compilando el código fuente de este en nuestro equipo.

Mientras tanto toca esperar a la notificación en Octopi o esperar a que se refleje la actualización dentro de los repositorios de Arch Linux.


Vía:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bitspower lanza el primer bloque de agua con conexiones laterales para las NVIDIA RTX

En el mundo de la refrigeración líquida es realmente difícil de innovar, ya que los fabricantes se tienen que enfrentar constantemente a las inclemencias de los diseñadores. Si nos referimos a las tarjetas gráficas y sus bloques de agua todo se vuelve más complejo, pero en el caso de Bitspower no parece que esto sea un problema, ya que acaban de presentar el primer bloque de agua con conexiones laterales para las NVIDIA RTX.



El nuevo bloque de agua de Bitspower para las NVIDIA RTX va a hacer las delicias de muchos usuarios, sobre todo de aquellos que tienen un espacio mucho más ajustado para sus loops. Y es que la marca ha renovado el diseño de sus bloques de agua tradicionales incluyendo un nuevo recorrido y forma para este nuevo «Bitspower Lateral VGA water block».

Dicho diseño se cimienta en una reestructuración de muchas partes importantes del propio bloque, ya que la principal novedad es la inclusión de sus tomas G1/4 en la parte posterior y lateral de la tarjeta. Estas entrada/salida modifican la estructura normal de lo que sería un bloque de agua común, ya que en su parte final el bloque se estrecha de forma abrupta hasta las dos tomas.



Lo que se consigue con este diseño es ahorrar mucho material sobrante que no iba a tener repercusión en las temperaturas o flujo interno del bloque, donde además se logra encauzar el flujo de forma más óptima hacia la parte superior del mismo.

Para ello, Bitspower ha tenido que hacer uso del típico sistema de dos secciones divididas, algo necesario para poder solventar la altura que supone las fases de alimentación de la tarjeta, donde de paso se consigue presionar de mejor manera el bloque a los VRM mediante tornillos en los anclajes correspondientes del PCB.

Sistema de jet en cover y encauces muy limpios



Salvado el escollo de los VRM, el único problema que tiene el sistema de conexión lateral de la entrada y salida es precisamente que lo primero en ser refrigerado son los mosfet.

Esto puede sumar alguna décima de temperatura al agua y por ende algún grado que otro a la GPU, pero tiene al mismo tiempo una ventaja clave: el encauzamiento del agua hacia el jet es mucho más lineal y limpio.

Esto debe permitir que el flujo interno del bloque sea más alto, donde al mismo tiempo tras el paso del agua por el jet deja una mayor anchura para la salida de esta, refrigerando la parte baja de los VRM antes de salir por la toma inferior.



El bloque como cabía esperar incluye un sistema de iluminación RGB digital (DRGB de 3 pines) patentado por la marca y que es compatible con todas las principales tecnologías de los fabricantes de placas base, incluido el sistema Razer Chroma.

La compatibilidad de este bloque es muy alta, ya que está diseñado para los PCB de referencia de NVIDIA, pero si tenemos alguna duda, siempre podemos acceder a su página web para cerciorarnos de dicha compatibilidad con nuestro modelo.

En cuanto a su precio y disponibilidad, llegará a nuestro país con un precio de 142 euros aproximadamente ya con impuestos, pero si queremos disponer de él ahora mismo, podemos hacerlo desde su web oficial, ya que está disponible para su compra.


Vía: Bitspower

Ayer fue un día importante para los usuarios de Ubuntu o alguno de sus sabores oficiales: se lanzó la versión 19.10, de nombre en clave Eoan Ermine. En total y desde la llegada de Ubuntu Budgie, hay ocho sabores y es difícil destacar uno porque hay para todos los gustos, pero creo que con el paso de KDE 4 a Plasma 5, Kubuntu ha ido ganando popularidad y adeptos. Ayer se lanzó Kubuntu 19.10 y debería haber tenido una función en concreto que aún lo haría mejor, pero ha sido el único componente de la familia Eoan Ermine en no incluirla.

Después de haber probado las últimas Daily Live de Ubuntu 19.10 y tratar de instalar Kubuntu 19.10, hubo algo que me llamó la atención: ¿dónde está la opción de instalar el sistema operativo en ZFS como root? No está. El motivo está explicado en la nota del lanzamiento de la nueva versión del sistema operativo: sencillamente, no tuvieron tiempo, pero prometen que llegará para Kubuntu 20.04 Focal Fossa en abril de 2020.


Novedades de Kubuntu 19.10


- Soportado hasta julio de 2020.
- Sin versión de 32 bits.
- Linux 5.3.
- Plasma 5.16.5.
- KDE Applications 19.04.3.
- Frameworks 5.62.
- Qt 5.12.4.
- LibreOffice 6.3.
- Posibilidad de instalar una sesión Wayland con el paquete plasma-workspace-wayland. El equipo de Kubuntu avisa de que no está soportado, pero añadirá la opción de elegir la sesión Wayland al inicio.
- Drivers de NVIDIA incluidos en la imagen ISO.

En cuanto a las ausencias, solo hay una real:

El soporte para ZFS como root en la instalación llegó demasiado tarde en el ciclo de Eoan para implementarla y probarla en el front end Ubiquity KDE. Esta opción es un objetivo para el lanzamiento 20.04 LTS.

Por otra parte, hay dos puntos mejorables que podemos obtener si añadimos el repositorio Backports de KDE: Plasma 5.17, que tampoco llegó a tiempo e incluye novedades muy interesantes, o KDE Applications 19.08, la segunda versión importante de 2019 de las aplicaciones de KDE que introdujeron nuevas funciones.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según un investigador de seguridad, ingeniero importante en Github, hay un bug en Linux que podría permitir que dispositivos cercanos a nosotros usaran las señales WiFi para bloquear o comprometer los equipos vulnerables. El fallo de seguridad está presente en el driver RTLWIFI, usado para soportar los chips WiFi de Realtek en dispositivos que ejecuten sistemas operativos Linux. Lo peor de todo es que no tenemos que hacer nada para que un usuario malintencionado pueda explotar la vulnerabilidad, solo cumplir con ciertos requisitos.

El bug activa una sobrecarga del buffer en el kernel de Linux cuando un equipo con un chip WiFi de Realtek está dentro del radio de acción de un dispositivo malicioso. En el mejor de los casos, el exploit causaría que el sistema operativo se bloqueara, pero también podría permitir a un atacante conseguir control total del ordenador. En teoría. Lo más preocupante es que el fallo está sin corregir desde que se descubrió en 2013, cuando el kernel más actualizado era Linux 3.10.1.

Un bug presente en Linux desde 2013

El bug se está siguiendo bajo el nombre CVE-2019-17666 y, seis años más tarde, ya se ha propuesto un parche para corregirlo, el pasado miércoles para ser exactos. Se espera que dicho parche se incluya en el kernel de Linux en los próximos días, pero no han dejado claro si esto se traduciría en que el fallo estaría corregido con el lanzamiento de Linux 5.4 que tendrá lugar a finales de noviembre o principios de diciembre.

Pero si hay alguien preocupado por este fallo, es probable que no se haya tomado demasiado en serio por un motivo: Nico Waisman, un investigador de seguridad, dice que aún no ha conseguido una prueba de concepto en la que se explote la vulnerabilidad para ejecutar código malicioso, por lo que aún están hablando de algo teórico. Por otra parte, Waisman dice que "el fallo es serio", por lo que lo mejor es atajarlo antes de que alguien consiga pasar de la teoría a la práctica.

"Todavía estoy trabajando en la explotación, y definitivamente... tomará algo de tiempo (por supuesto, podría no ser posible). Sobre el papel, es un desbordamiento que debería ser explotable. En el peor de los casos, es una denegación de servicio; mejor escenario, obtienes un shell".

Solo los dispositivos con chip Realtek se ven afectados

La vulnerabilidad puede ser activada cuando un dispositivo afectado está dentro del radio de un dispositivo malicioso, siempre y cuando el WiFi esté activado, y no requiere interacción por parte del usuario final, es decir, nosotros. El dispositivo malicioso explota la vulnerabilidad usando la función de ahorro de energía conocida como "Aviso de ausencia" (Notice of Abscence) que incluye Wi-Fi Direct, un estándar que permite que dos dispositivos se conecten a través del WiFi sin la necesidad de un punto de acceso. El ataque funcionará si se añaden elementos de información específica del vendedor a los beacons del WiFi. Cuando un equipo vulnerable los recibe, activa la sobrecarga del buffer del kernel de Linux.



Este bug solo afecta a dispositivos que usen sistemas operativos Linux y un chip Realtek cuando el WiFi esté activado. Si usamos un chip WiFi de otro fabricante o lo tenemos apagado, algo que merece la pena si nos conectamos solo vía Ethernet y no tenemos otros equipos con los que comunicarnos en la misma red, no podrán activar el fallo y la sobrecarga.

Por el momento, nadie de Realtek o Google ha salido al paso con alguna declaración que pueda tranquilizarnos (o preocuparnos), por lo que se desconoce la gravedad real del fallo. Lo único cierto es que seis años son muchos para una vulnerabilidad presente en el núcleo de Linux. Eso y que los fallos de seguridad que se puedan explotar remotamente deben ser atajados cuanto antes, por lo que más pronto que tarde habrá nueva versión del driver de Realtek para Linux que corrija este fallo. Esperemos que sea pronto.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otras variantes de este método inyectaban el malware ocultando sus cargas útiles en archivos de imagen JPEG o PNG usando esteganografía, técnica muy utilizada por los actores de amenazas para ocultar el malware, por lo que resulta curioso que este grupo de hackers haya elegido entregar sus cargas útiles usando archivos de audio maliciosos.



En junio pasado, los especialistas en forense digital de la firma Symantec detectaron a una célula de Turla, grupo de hackers respaldado por el Kremlin (también conocidos como Venomous Bear o Wterburg) entregando a las víctimas la carga útil que contenía el backdoor Metasploit Meterpreter usando una pista de audio en formato WAV.

Ahora, los investigadores han descubierto que un método de esteganografía idéntico es usado para infectar dispositivos con el software de minado XMRig y código de reverse shell Metasploit. "Estos archivos formato WAV se combinan con un poderoso componente para decodificar y ejecutar el contenido malicioso, que está oculto entre los datos del archivo de audio", mencionan los expertos.

Al ser reproducidos se podía apreciar un archivo de música aparentemente convencional, mientras otras muestras recolectadas contenían sólo estática. Al ser analizados minuciosamente los expertos detectaron las cargas útiles de Metasploit y XMRig: "Los hackers planeaban una operación de cryptojacking y conexión inversa de alcance considerable", añaden los expertos.

Durante el análisis, los expertos en forense digital detectaron que las cargas útiles eran decodificadas y ejecutadas de tres formas distintas:

- Usando cargadores que emplean esteganografía de bit menos significativo (LSB) para decodificar y ejecutar un archivo PE

- Cargadores que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar un archivo PE

- Con cargadores que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar shellcode

Cualquiera de estos tres métodos permite a los actores de amenazas ocultar de forma exitosa las cargas útiles dentro de cualquier archivo, sólo deben evitar corromper la estructura y el procesamiento del formato contenedor. Además, al implementar este enfoque se agrega una nueva capa de ofuscación, pues el código subyacente sólo se revela en la memoria, haciendo que la carga útil sea muy difícil de detectar.

Aunque este método de ataque es el mismo usado por el grupo de hackers Turla, los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) consideran que sería un tanto precipitado atribuir todos estos ataques al mismo grupo, ya que prácticamente cualquier hacker podría usar herramientas y métodos similares.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un reporte de especialistas en seguridad de aplicaciones web afirma que la compañía encargada del desarrollo de TeamViewer, el popular software para control remoto de sistemas, fue víctima de hacking. Según se ha mencionado, los atacantes podrían controlar cualquier computadora que haya iniciado sesión en este servicio para realizar actividades arbitrarias. El informe revela que TeamViewer fue hackeado en 2016, incidente que derivó en el robo de información financiera de muchos usuarios en tan sólo 24 horas. 

Christopher Glyer, investigador de la firma de seguridad FireEye, reveló el incidente a través de Twitter, afirmando además que las contraseñas de los usuarios están siendo filtradas. Acorde a esta firma, el incidente de hacking es responsabilidad del grupo APT41, que opera desde Asia, específicamente desde China, y que ha sido vinculado a múltiples operaciones de hacking malicioso de alto perfil




"Este grupo de hackers utiliza variantes de malware altamente sofisticadas, principalmente desarrolladas para el espionaje, por lo que consideramos poco probable que un Estado se encuentre patrocinando sus operaciones", menciona Glyer.

El experto en seguridad de aplicaciones web agrega que, con base en las actividades detectadas, métodos de ataque, además del inusual interés que muestra APT41 en atacar a la industria de los videojuegos, es posible que sus ataques no tengan motivación política alguna, sino que se enfocan en la obtención de ganancias económicas.

Aunque aún se desconocen detalles adicionales como el tiempo que ha estado activa esta campaña de hacking, FireEye es una de las compañías con mayor credibilidad entre la comunidad de la ciberseguridad, por lo que muchos ya se preguntan qué pueden hacer para asegurar sus implementaciones de TeamViewer.

Desafortunadamente, esta no es la primera ocasión que TeamViewer es víctima de actores de amenazas. Hace aproximadamente cuatro años, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que un grupo de hackers logró instalar un backdoor en diversas implementaciones de TeamViewer para extraer información confidencial.

Hasta la fecha la compañía desarrolladora sigue negando el incidente, asegurando que las contraseñas de los usuarios eran extraídas a través de otras aplicaciones comprometidas. 


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tor Browser es la opción más cómoda para acceder a la Deep Web y a cualquier dominio .onion. Su seguridad no ha sido rota todavía ni por el FBI, pero hay hackers que han conseguido crear versiones modificadas del navegador para robar toda la información posible de tu PC, incluyendo tus criptomonedas.

Una versión modificada de Tor Browser pulula por la red

Las criptomonedas son la forma más común de pago en la Dark Web, ya que se pueden hacer transacciones de manera anónima, a cualquier parte del mundo, y sin dejar rastro si se hace bien (con Monero, por ejemplo). Por ello, cualquier persona que busca comprar algo en la Dark Web suele tener un monedero o una cuenta a mano, y una versión modificada de Tor Browser va tras ellos.

Los atacantes han estado promocionando en foros y en PasteBin esta versión en los últimos dos años como la "versión oficial de Tor Browser en ruso". Los enlaces que promocionaban eran dos dominios falsos que también se aprovechaban de quienes escribían mal las URL de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, así como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Al entrar en ellas, se le mostraba al usuario una alerta falsa diciéndoles que tenían una versión antigua del navegador, y les redirigían a un enlace que descargaba el navegador modificado.







En el caso de instalarlo, el navegador funcionaba igual que la versión legítima. Sin embargo, tenía unas cuantas modificaciones al navegador, a los ajustes y a las extensiones. Por ejemplo, se desactivaba el módulo para recibir nuevas actualizaciones, y también se cambiaba un valor para que un servidor pudiera detectar el uso del programa modificado en un ordenador. También se había modificado el sistema de comprobación de firmas de Tor para evitar que un programa externo pueda modificar el navegador. El anonimato estaba desactivado, y los atacantes tenían, en definitiva, control total para modificar, añadir o cambiar add-ons.

El addon HTTPS Everywhere, que viene incluido por defecto, también había sido modificado para incluir un script que enviaba a los atacantes un registro de todas las webs que visitaban a un servidor de control ubicado en la Dark Web. El servidor también enviaba malware, incluyendo un JavaScript orientado a tres mercados negros que operan en Rusia.

Sus «creadores» se han embolsado al menos 4,8 bitcoins

Para hacer una compra en esos mercados era necesario pagar en bitcoins. Cuando el usuario iba a ingresar dinero en su wallet del mercado negro, el malware modificaba la dirección, y ponía en su lugar una que era propiedad de los hackers, de manera que los fondos eran ingresados en su cuenta. El malware también modificaba otras direcciones, como las de monederos del portal de transferencia de dinero QIWI.

Es difícil cuantificar cuántos usuarios se han visto afectados por el malware, pero la página de PasteBin que promocionaba los enlaces falsos tenían más de medio millón de visitas, y las carteras conocidas que eran propiedad de los atacantes tienen 4,8 bitcoins de saldo (unos 34.200 euros al cambio actual). Sin embargo, se estima que la cantidad es mucho mayor.

Este tipo de ataques nos recuerdan lo importante que es descargar software de páginas web y tiendas oficiales en lugar de recurrir a enlaces que encontremos en la red, ya que podemos estar introduciendo un programa modificado en nuestro ordenador que nos robe.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft recompensará a los piratas informáticos por encontrar errores en el software de elección de código abierto

Las elecciones justas son las líneas de vida de la democracia, pero en los últimos años la piratería electoral se ha convertido en un tema candente en todo el mundo.
Ya sea que se trate de máquinas de votación estadounidenses durante las elecciones presidenciales de 2016 o de los EVM de India durante las elecciones generales de 2014, la integridad, la transparencia y la seguridad de las máquinas de votación electrónicas siguen siendo cuestionables, lo que deja una herida en la mente de muchos que es difícil de sanar.

Muchos países, incluida la democracia más grande del mundo, es decir, India, creen que la mejor manera de garantizar la seguridad de los EVM es hacer que su tecnología sea opaca para los malos actores, pero en los últimos años una gran parte de la población está perdiendo la confianza en cualquier sistema que ha sido certificado solo por un grupo cerrado de expertos.

Para lograr un equilibrio entre la transparencia y la seguridad, en mayo de 2019, Microsoft lanzó un kit de desarrollo de software (SDK) gratuito de código abierto llamado ElectionGuard que tiene como objetivo permitir la verificación de votación de extremo a extremo.

El SDK ElectionGuard de Microsoft puede integrarse en los sistemas de votación y ha sido diseñado para "permitir la verificación de punta a punta de las elecciones, abrir resultados a organizaciones de terceros para una validación segura y permitir que los votantes individuales confirmen que sus votos fueron contados correctamente".

Programa ElectionGuard Bug Bounty

Como ningún software está libre de errores, Microsoft finalmente lanzó el programa ElectionGuard Bounty, invitando a investigadores de seguridad de todo el mundo a ayudar a la compañía a descubrir vulnerabilidades de alto impacto en el SDK de ElectionGuard.

"El programa ElectionGuard Bounty invita a los investigadores de seguridad a asociarse con Microsoft para proteger a los usuarios de ElectionGuard, y es parte del compromiso más amplio de Microsoft para preservar y proteger los procesos electorales bajo el Programa Defending Democracy", dice la compañía en una publicación de blog publicada hoy.

"Los investigadores de todo el mundo, ya sean profesionales de ciberseguridad a tiempo completo, aficionados a tiempo parcial o estudiantes, están invitados a descubrir vulnerabilidades de alto impacto en áreas específicas del SDK de ElectionGuard y compartirlas con Microsoft bajo la Divulgación de vulnerabilidad coordinada (CVD)".

ElectionGuard Bounty ofrece a los investigadores de ciberseguridad una recompensa de hasta $ 15,000 por envíos elegibles con una prueba de concepto (POC) clara y concisa para demostrar cómo se puede explotar la vulnerabilidad descubierta para lograr un impacto de seguridad en el alcance.

Los componentes de ElectionGuard que actualmente están en el alcance de premios de recompensas de errores incluyen ElectionGuard API SDK, especificación y documentación de ElectionGuard, e implementación de referencia de verificador.
Sin embargo, el gigante tecnológico dice que actualizará el alcance de la recompensa ElectionGuard con componentes adicionales para otorgar más investigaciones en el futuro.

Después de habilitar la función de seguridad ' Site Isolation ' en Chrome para computadoras de escritorio el año pasado, Google finalmente ha introducido 'la línea de defensa adicional' para los usuarios de teléfonos inteligentes Android que navegan por Internet a través del navegador web Chrome.

En resumen, Site Isolation es una característica de seguridad que agrega un límite adicional entre sitios web al garantizar que las páginas de diferentes sitios terminen en diferentes procesos de espacio aislado en el navegador.

Dado que cada sitio en el navegador tiene su propio proceso aislado, en caso de una falla en el navegador o una vulnerabilidad de canal lateral como Spectre, la característica hace que sea más difícil para los atacantes o sitios web maliciosos acceder o robar datos de sus cuentas en otros sitios web .

Site Isolation ayuda a proteger muchos tipos de datos confidenciales, incluidas cookies de autenticación, contraseñas almacenadas, datos de red, permisos almacenados, así como mensajes de origen cruzado que ayudan a los sitios a pasar mensajes de forma segura a través de dominios.



La característica llamó la atención en enero de 2018, cuando estaba en la zona experimental y se descubrieron dos vulnerabilidades críticas de la CPU , llamadas Spectre y Meltdown , que permitieron a los sitios web maliciosos lanzar ataques especulativos de canal lateral directamente desde el navegador.

"Incluso si ocurriera un ataque de Spectre en una página web maliciosa, los datos de otros sitios web generalmente no se cargarían en el mismo proceso y, por lo tanto, habría muchos menos datos disponibles para el atacante", dijo Google. "Esto reduce significativamente la amenaza que representa Spectre".

Poco después de eso, en julio de 2018, Google decidió habilitar la función de aislamiento del sitio en Chrome para computadoras de escritorio y prometió, en la misma medida, a los usuarios de Chrome en Android para ayudarlos a defenderse contra procesos incluso totalmente comprometidos.

Compensación de rendimiento: Chrome para Android solo aísla los sitios con inicio de sesión

Hoy, el gigante tecnológico finalmente ha anunciado la disponibilidad de esta función con el lanzamiento de Chrome 77 para Android, que ahora se ha habilitado para el 99% de los usuarios que ejecutan dispositivos Android con una cantidad suficiente de RAM, es decir, al menos 2 GB, con un 1% de retención para monitorear y mejorar el rendimiento.

Lo que es más importante, debe tenerse en cuenta que, a diferencia de Chrome para equipos de escritorio, la función de aislamiento del sitio en Chrome para Android no protege todos los sitios web.

En cambio, en un intento de mantenerse al día con el rendimiento del dispositivo, el aislamiento del sitio en Chrome 77 para Android se ha rediseñado para proteger solo los sitios web de alto valor donde los usuarios inician sesión con contraseñas.

"Queríamos asegurarnos de que el aislamiento del sitio no afecte negativamente la experiencia del usuario en un entorno con recursos limitados como Android", dijo Google hoy en su última  publicación de blog .

"Esta es la razón por la cual, a diferencia de las plataformas de escritorio donde aislamos todos los sitios, Chrome en Android utiliza una forma más delgada de aislamiento del sitio, protegiendo menos sitios para mantener bajos los gastos generales. Esto protege los sitios con datos confidenciales que probablemente interesen a los usuarios, como bancos o compras sitios, al tiempo que permite compartir procesos entre sitios menos críticos ".

Por ejemplo, cuando visita un sitio de banca o comercio electrónico dentro del navegador Chrome en su teléfono Android e inicia sesión en su cuenta, Chrome observará una interacción de contraseña y activará automáticamente la función de aislamiento del sitio.



Finalmente, el navegador representará ese sitio en su propio proceso de representación dedicado, lo que ayudará a proteger su información confidencial en ese sitio de todos los demás sitios.

Además, Chrome mantendrá una lista de sus sitios aislados almacenados localmente en su dispositivo, lo que ayuda al navegador a activar automáticamente la función cada vez que vuelva a visitar uno de esos sitios.

Sin embargo, si desea habilitar forzosamente esta protección para aislar todos los sitios web sin preocuparse por el rendimiento de su dispositivo, puede optar manualmente por el aislamiento completo del sitio a través de chrome: // flags / # enable-site-per-process page page .


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones". Parece ser un SMS de Correos, pero realmente se trata de una estafa. Un caso recurrente que cada cierto tiempo vuelve a aparecer y afecta a centenares de usuarios. Estos días, tal y como han mostrado muchas personas en las redes sociales, ha vuelto a circular.

Pero uno de los peligros de estos mensajes es que no parecen enviarse desde una cuenta extraña, sino que aparecen en la misma sección donde anteriormente habíamos recibido otros SMS de Correos. Una maniobra para confundir al usuario e intentar que el SMS trampa genere más confianza.

Se trata de un claro caso de phishing, un uso fraudulento donde se nos reclama pagar para recibir el supuesto paquete retenido. Te contamos qué ocurre con estos SMS, cuál es nuestra recomendación ante estos casos y cómo han logrado los atacantes hacerse pasar por Correos.

Una estafa que vuelve periódicamente

El mecanismo del SMS-estafa de Correos es sencillo. En primer lugar recibimos el mensaje de alerta con un remitente conocido y una advertencia que a la mayoría de usuarios le puede interesar. El "pago de tasas por aduana" es un cebo que no tiene por qué encajar con todos, pero sí despierta la curiosidad.

En caso de hacer clic en el enlace, se nos deriva a una web con un Captcha y el diseño de Correos. Esta web es aparentemente segura, pues dispone de un certificado SSL auténtico y dominio 'https' para darle veracidad. Sin embargo se encuentra en el dominio 'You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login', lo que ya nos indica que algo extraño ocurre. Posteriormente al Captcha, es donde el SMS nos solicita nuestros datos personales y la tarjeta de crédito.



Llegados a este punto, queda claro que la recomendación es no abrir el enlace y no ofrecer ningún dato personal. En caso de haber abierto el enlace no hay problema, pero si por casualidad llegaste a dar tus datos bancarios, recomendamos acudir al banco y cambiar la contraseña de tu cuenta.

Desde Correos explican a Xataka que "estos intentos de phishing se producen periódicamente". La último oleada reconocida por la propia Correos fue a principios del pasado mes de septiembre, donde desde sus redes sociales ya enviaron un mensaje de advertencia. Como se puede ver por las imágenes, en aquel momento el SMS hacía referencia a la fecha 02/09, mientras que en los SMS recibidos durante los últimos días se habla del 11/10.



"Correos no envía por SMS aquellas comunicaciones que requieran acción del usuario, simplemente notificaciones", nos explica la compañía. Es un patrón que también aplica a otras entidades como los bancos, donde siempre que hay algún problema no es directamente a través de un enlace donde se nos ofrece la solución. Esto es así para evitar intentos de phishing.

A diferencia de los correos engañosos que algunos atacantes envían, este SMS-estafa tiene la particularidad que se "cuela" entre el resto de SMS verídicos. ¿Se han visto los sistemas de Correos comprometidos? ¿Han aprovechado los atacantes un fallo de seguridad para enviar estos mensajes? "No, se trata de un mensaje de phishing habitual", responden desde Correos. "

Esta última oleada de SMS ha coincidido en el tiempo con el hackeo de la cuenta de Correos Atiende. Sin embargo, desde Correos nos explican que se trata de un problema puntual de esa red social y ya se trabaja para solucionarlo con Twitter España. "En ningún caso los dos temas están relacionados", aseguran.

Qué es el SMS spoofing o cómo falsificar el remitente de los SMS

¿Cómo logran los atacantes enviar estos SMS haciéndose pasar por Correos? La respuesta nos la apunta Deepak Daswani, experto en ciberseguridad y cofundador de Hackron, el Congreso anual de Hacking en Tenerife. "Hay formas de hacerlo, pero lo más fácil es contratar un servicio de SMS para dar forma al ID del usuario o remitente".

"Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tu quieras", nos explica Deepak. Es lo que se conoce como el SMS Spoofing, una técnica que permite enviar un mensaje desde una fuente desconocida, haciéndote pasar por una fuente conocida.

La técnica del 'Spoofing' también se aplica a correos electrónicos, llamadas o incluso direcciones IP o DNS. En todos ellos el objetivo es el mismo; suplantar una identidad concreta para hacer creer que el mensaje o llamada lo envía una persona de confianza. Algo que en estos SMS-estafa sería Correos.

Y es que falsificar mensajes es tan fácil, que incluso los Tribunales deberían ser cautelosos a la hora de permitir utilizarlo como única evidencia en un juicio. Falsificar un SMS es trivial, pues existen una gran variedad de aplicaciones y páginas web que ofrecen estos servicios, incluyendo mensajes de WhatsApp o Telegram.



Una de las webs que nos enseña Deepak es 'SMSGang.com'. "Si quieres probar a enviar texto de verdad, generalmente te piden que pagues". Se refiere a los créditos que solicitan estas páginas para poder enviar los 'fake SMS', porque pese a que sí existen webs gratuitas como 'Sendanonymoussms.com', aquellas que permiten modificar el campo del remitente suelen ser de pago.

Con webs como SMSGang podemos observar que el mecanismo es sencillo. En un primer campo nos solicita el número de teléfono al que queremos enviar el SMS, en un segundo campo está el "from", el apartado más importante pues será el identificador del remitente. Aquí hay servicios que únicamente permiten añadir un número de hasta 11 caracteres, pero también hay otros que permiten escribir un texto.

Precisamente con los SMS-estafa, los atacantes habrían utilizado la técnica del SMS Spoofing para escribir "from:Correos". Después únicamente fue necesario que la aplicación de mensajes del móvil, tanto en Android como en iOS, identificase que los SMS mantienen el mismo ID o remitente y los colocase en la misma sección.



Como nos explica Román Ramírez, organizador de RootedCON y experto en el mundo de la ciberseguridad en España: "El protocolo funciona así. No te haces pasar por Correos, pones 'CORREOS' en el from. Hay ocho mil servicios como este, en muchos solamente te dejan falsear el número origen, pero en otros puedes poner "dios"". Una técnica que como nos cuenta, da lugar a todo tipo de anécdotas.

Con una búsqueda rápida encontramos servicios como 'Spoofbox', 'Spoofmytextmessage' o 'Pranktexts'. Este último dispone de una sección de "cómo funciona" donde explica, entre otros detalles, que en caso de responder a uno de estos mensajes, el SMS irá directamente al remitente real.

Cómo protegerse de estos ataques de phishing

"Prácticamente no hay nada que se pueda hacer para evitar esto, al menos en móviles viejos es la operadora la que tendría que filtrar estos mensajes falsos", explican desde Spamloco. ¿Significa esto que no hay manera de detectar cuando el remitente es falso? No necesariamente, pero sí es un problema muy ligado a cómo funciona el protocolo SMS.

La primera recomendación es buscar indicios que nos hagan dudar de la legitimidad del mensaje. Aquí entran desde faltas de ortografía, frases inconsistentes o errores sin sentido. En otras ocasiones el nombre del remitente no es exacto. También ocurre que la URL de la página web que nos enlazan no es la habitual. Independientemente, la recomendación habitual de los expertos en seguridad es que nunca hagamos clic en estos enlaces que nos envían por SMS, mucho menos realizar gestiones desde ahí y en ningún caso añadir nuestros datos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad que se ha solucionado en versiones anteriores en Android desde principios del año pasado, ha resurgido, pues recientemente se descubrió que los atacantes estaban explotando activamente una vulnerabilidad "zero-day" en Android que les permite tomar el control total de varios modelos de teléfonos, incluidos 4 modelos Google Pixel, Huawei, dispositivos Xiaomi, Samsung y otros, dijo un miembro del Google Zero Project Research Group.

La vulnerabilidad ha sido calificada como "de alta gravedad" en Android y lo que es peor, el exploit requiere poca o ninguna personalización para rootear completamente los teléfonos vulnerables. Un mensaje del grupo de investigación de Google sugirió que el error, descubierto la semana pasada, fue explotado activamente, ya sea por NSO Group o por uno de sus clientes.

Sin embargo, los representantes del grupo declinaron cualquier responsabilidad por la explotación del error. NSO Group es un desarrollador de exploits y spyware que vende a varias entidades gubernamentales.

En un correo electrónico, los representantes del Grupo NSO escribieron después de la divulgación del exploit:

"NSO no ha vendido y nunca venderá exploits o vulnerabilidades. Esta hazaña no tiene nada que ver con NSO; nuestro trabajo se centra en el desarrollo de productos diseñados para ayudar a las agencias de inteligencia y agencias de aplicación de la ley a salvar vidas ".


El grupo, con sede en Israel y especializado en asistencia técnica a gobiernos para el espionaje de terminales móviles y el desarrollo de "armas digitales", ha sido ilustrado como tal con el descubrimiento en 2016 y 2017, por investigadores del Citizen Lab de la Universidad de Toronto, un software espía móvil avanzado que desarrolló y bautizó Pegasus.

Google también ha sido diligente y puntual con los parches de seguridad (tan recientemente como el mes pasado, Google lanzó parches de seguridad para teléfonos Google Pixel y para muchos otros teléfonos). Pero todo esto no evitó nuevas vulnerabilidades en Android.

Este exploit es una escalada de privilegios de kernel que utilizan una vulnerabilidad, lo que permite al atacante comprometer completamente un dispositivo vulnerable y rootearlo. Debido a que también se puede acceder al exploit desde el sandbox de Chrome, también se puede entregar a través de la web una vez que se combina con un exploit que apunta a una vulnerabilidad en el código de Chrome que se utiliza para representar el contenido.

Esta vulnerabilidad se creía que fue corregida a principios de 2018 en Linux Kernel LTS versión 4.14 pero sin seguimiento CVE. La solución se incorporó a las versiones 3.18, 4.4 y 4.9 del kernel de Android. Sin embargo, la solución no llegó a las actualizaciones de seguridad de Android que siguieron, dejando varios dispositivos vulnerables a esta falla que ahora se rastrea como CVE-2019-2215.

Maddie Stone, miembro del Proyecto Cero, dijo en un mensaje que "el error es una vulnerabilidad que aumenta los privilegios locales y permite un compromiso completo de un dispositivo vulnerable".

Es decir, un atacante puede instalar una aplicación maliciosa en los dispositivos afectados y llegar al root sin el conocimiento del usuario, para que pueda tener el control total del dispositivo. Y dado que se puede combinar con otro exploit en el navegador Chrome, el atacante también puede entregar la aplicación maliciosa a través del navegador web, eliminando la necesidad de acceso físico al dispositivo.

La lista "no exhaustiva" de dispositivos que el grupo de investigación de Google ha publicado como dispositivos afectados es:

- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Teléfonos LG
- Samsung S7
- Samsung S8
- Samsung S9

El equipo de investigación de Project Zero compartió una prueba de explotación de concepto local para demostrar cómo se puede utilizar este error para obtener una lectura/escritura arbitraria del núcleo durante la ejecución local.

Sin embargo, otro miembro del equipo Zero Project de Google dijo que la vulnerabilidad ya se corregirá en la actualización de seguridad de Android de octubre, que probablemente estará disponible en los próximos días.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Canonical ha lanzado un parche de seguridad urgente para el paquete SUDO siguiendo el descubrimiento de una vulnerabilidad mayor.

Un arreglo critico ha sido lanzado a todas las versiones actuales de Ubuntu; Ubuntu 16.04 LTS, 18.04 LTS, 19.04 y 19.10 (y Ubuntu 14.04 ESR), los usuarios pueden actualizar ejecutando el código sudo apt upgrade.

Pero ¿De qué trata esta vulnerabilidad mayor? Si no has estado al tanto de las redes debes saber que alguien publico la vulnerabilidad en el sitio oficial de CVE (Common Vulnerabilities and Exposures) el 14 de octubre y la noticia se extendió rápidamente.

El exploit, descrito por TheHackerNews menciona un problema en la política de seguridad del paquete Sudo que podría permitir que un usuario o programa malicioso ejecute comandos con permisos root en un sistema incluso cuando la configuración del sudo deshabilita explícitamente este acceso.

Si bien, las vulnerabilidades de seguridad parecen siempre lejanas, está en específico puede suceder en casi cualquier maquina corriendo Linux, por lo que es muy importante actualizar cuanto antes.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un malware de botnet de una década de antigüedad que actualmente controla más de 450,000 computadoras en todo el mundo ha cambiado recientemente sus operaciones de infectar máquinas con ransomware o cripto mineros a abusar de ellas por enviar correos electrónicos de distorsión sexual a millones de personas inocentes.

La extorsión por correo electrónico está creciendo significativamente, con un gran número de usuarios quejándose recientemente de recibir correos electrónicos de sextortion que intentan extorsionar a las personas chantajeándolas para exponer su contenido sexual.

Aunque hasta ahora, no estaba claro cómo los estafadores enviaban cantidades tan enormes de correos electrónicos sin ser incluidos en la lista negra por los proveedores de correo electrónico, los investigadores de seguridad de CheckPoint finalmente encontraron el bloque que faltaba en este rompecabezas.

En su último informe compartido con The Hacker News antes del lanzamiento, la firma de seguridad con sede en Tel Aviv CheckPoint revela que una botnet, llamada Phorpiex , se ha actualizado recientemente para incluir un bot de spam diseñado para usar computadoras comprometidas como servidores proxy para enviar más de 30,000 correos electrónicos de sextortion por hora, sin el conocimiento de los propietarios de las computadoras infectadas.

¿Cómo funciona Phorpiex Spam Bot?

El módulo de spambot de Phorpiex descarga la lista de direcciones de correo electrónico de sus destinatarios / recibos desde un servidor remoto de comando y control y utiliza una implementación simple del protocolo SMTP para enviar correos electrónicos de distorsión sexual.



"Luego, se selecciona aleatoriamente una dirección de correo electrónico de la base de datos descargada, y un mensaje se compone de varias cadenas codificadas. El bot de spam puede producir una gran cantidad de correos electrónicos no deseados, hasta 30,000 por hora. Cada campaña de spam individual puede cubrir hasta 27 millones de víctimas potenciales ", explican los investigadores.

"El bot de spam crea un total de 15,000 hilos para enviar mensajes de spam desde una base de datos. Cada hilo toma una línea aleatoria del archivo descargado. El siguiente archivo de base de datos se descarga cuando finalizan todos los hilos de spam. Si consideramos los retrasos, podemos estimar ese bot puede enviar unos 30,000 correos electrónicos en una hora ".

Para intimidar a los destinatarios inocentes, los delincuentes detrás de estas campañas de sextortion también agregan una de las contraseñas en línea de las víctimas en la línea de asunto o el contenido del correo electrónico de sextortion, lo que hace que sea más convincente que el hacker conozca sus contraseñas y pueda tener acceso a su contenido privado.

En realidad, estas combinaciones de direcciones de correo electrónico y contraseñas de destinatarios fueron seleccionadas de varias bases de datos previamente comprometidas. Por lo tanto, las contraseñas que se muestran a las víctimas no necesariamente pertenecen a sus cuentas de correo electrónico; podría ser antiguo y estar relacionado con cualquier servicio en línea.

"La base de datos descargada es un archivo de texto que contiene hasta 20,000 direcciones de correo electrónico. En varias campañas, observamos de 325 a 1363 bases de datos de correo electrónico en un servidor de C&C. Por lo tanto, una campaña de spam cubre hasta 27 millones de víctimas potenciales. Cada línea de este archivo contiene correo electrónico y contraseña delimitados por dos puntos ", dicen los investigadores.

La misma campaña de sextortion impulsada por una botnet similar o la misma también ha sido nombrada como ataques de malware " Save Yourself " por otros equipos de investigadores.

En más de cinco meses, los ciberdelincuentes detrás de esta campaña han obtenido más de 11 BTC, lo que equivale a aproximadamente $ 88,000. Aunque la cifra no es enorme, los investigadores dicen que los ingresos reales obtenidos por los piratas informáticos podrían ser mayores, ya que no monitorearon las campañas de sextortion en los años anteriores.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tras una serie de percances de seguridad y abuso de datos a través de su plataforma de redes sociales, Facebook amplía hoy su programa de recompensas de errores de una manera muy única para reforzar la seguridad de las aplicaciones y sitios web de terceros que se integran con su plataforma.

El año pasado, Facebook lanzó el programa " Data Abuse Bounty " para recompensar a cualquiera que informe eventos válidos de aplicaciones de terceros que recopilan datos de usuarios de Facebook y los pasan a partes maliciosas, violando las políticas de datos renovadas de Facebook.

Aparentemente, resulta que la mayoría de las veces, los datos de los usuarios de Facebook que habían sido mal utilizados estaban expuestos en primer lugar como resultado de una vulnerabilidad o debilidad de seguridad. en aplicaciones o servicios de terceros.

El ecosistema de Facebook contiene millones de aplicaciones de terceros, y desafortunadamente, muy pocas de ellas tienen un programa de divulgación de vulnerabilidades u ofrecen recompensas de recompensas por errores a los piratas informáticos de sombrero blanco por informar de manera responsable los errores en su base de código.

Debido a esta brecha de comunicación entre los investigadores y los desarrolladores de aplicaciones afectados, los programas de seguridad de Facebook para aplicaciones y sitios web de terceros estaban, hasta ahora, limitados a "observar pasivamente las vulnerabilidades".

Aunque Facebook una vez expandió su programa de recompensas de errores para aplicaciones de terceros a fines del año pasado, el esquema solo se limitó a la presentación de informes válidos para la exposición de los tokens de acceso de los usuarios de Facebook que permiten a las personas iniciar sesión en otra aplicación usando Facebook.

Esfuerzos para fomentar la colaboración entre hackers y desarrolladores

Ahora, para alentar a los desarrolladores de aplicaciones de terceros a que tomen más en serio la seguridad de sus aplicaciones y establezcan un programa de divulgación de vulnerabilidades, Facebook ha decidido pagar a los investigadores de sombrero blanco de su propio bolsillo, incluso si los desarrolladores de aplicaciones no tienen su propia recompensa. programa.

"Aunque estos errores no están relacionados con nuestro propio código, queremos que los investigadores tengan un canal claro para informar estos problemas si pudieran hacer que los datos de nuestros usuarios pudieran ser mal utilizados", dice Facebook .

"También queremos incentivar a los investigadores para que se centren en aplicaciones, sitios web y programas de recompensas por errores que de otra manera no recibirían tanta atención o no tendrían recursos para incentivar a la comunidad de recompensas por errores".

"Al comprometernos a recompensar informes válidos sobre errores en aplicaciones y sitios web de terceros que afectan los datos de Facebook, esperamos alentar a la comunidad de seguridad a interactuar con más desarrolladores de aplicaciones".

En otras palabras, los desarrolladores de aplicaciones pueden aprovechar este programa simplemente configurando su propia política de divulgación de vulnerabilidad, que luego ayudaría a los investigadores a ser elegibles para encontrar errores en su código y reclamar recompensas de Facebook.

Esto se debe a que un informe de una vulnerabilidad en aplicaciones de terceros enviadas a Facebook solo se considerará válido cuando los investigadores incluyan una prueba de autorización otorgada por el desarrollador externo al enviar sus informes al programa de recompensas de errores de Facebook.

Sin embargo, si los desarrolladores de terceros ya tienen su propio programa de recompensas de errores, los investigadores pueden reclamar recompensas de ambas partes.

La recompensa de Facebook se emitirá dependiendo del impacto potencial y la gravedad de la vulnerabilidad informada responsablemente, con un pago mínimo de $ 500.

Los programas de recompensas de errores por abuso de datos y aplicaciones de terceros que afectan a todo el ecosistema son una tendencia creciente en seguridad cibernética. Más recientemente, Google también amplió su programa de recompensas Pay Storerecompensar a los hackers por encontrar errores en cualquier aplicación de Android que tenga más de 100 millones de descargas.

Sin embargo, en ese caso, Google asume la responsabilidad de colaborar con los desarrolladores de aplicaciones, mientras que el último esquema de Facebook también es una excelente manera de permitir que los investigadores trabajen directamente con desarrolladores externos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se descubrió una nueva campaña de criptojacking utilizando imágenes de Docker para entregar un gusano que sigue un plan aparentemente errático en el que el minero está activo durante aproximadamente cuatro minutos a la vez en un host infectado.

Llamado Graboid, después del gusano de arena en la película de 1990 "Tremors", el malware se propaga a los sistemas con un motor Docker no seguro.
Los contenedores Docker son entornos aislados del sistema operativo con código y dependencias que necesita una aplicación para ejecutarse en cualquier infraestructura compatible.

Más de 2,000 hosts vulnerables / infectados

Al buscar en el motor de búsqueda Shodan, los investigadores de Palo Alto Networks encontraron más de 2,000 servicios inseguros de Docker expuestos a la web pública. Esto es forraje para Graboid.

En su análisis, los investigadores descubrieron una secuencia de comandos del servidor de comando y control (C2) de Graboid que recuperó una lista con más de 2,000 direcciones IP, lo que sugiere que el atacante ya escaneó en busca de hosts vulnerables.

No está claro cuántos de ellos se infectaron, ya que el malware selecciona los siguientes objetivos al azar de la lista.

Después de comprometer a uno de ellos, el atacante envía comandos remotos para descargar la imagen Docker "pocosow / centos" de Docker Hub y la implementa.
La imagen tiene el cliente Docker que se utiliza para comunicarse con otros hosts Docker. La actividad de criptominería (Monero) se realiza a través de un contenedor separado llamado 'gakeaws / nginx', que se hace pasar por el servidor web nginx.
'pocosow / centos' también se usa para descargar del C2 un conjunto de cuatro scripts y ejecutarlos:

•   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login : envía información sobre las CPU disponibles en el host comprometido
•   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login : descarga la lista de hosts vulnerables, selecciona nuevos objetivos e implementa 'pocosow / centos' en ellos a través del cliente Docker
•   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login : detiene la actividad de criptominería en un host aleatorio
•   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login : selecciona una dirección aleatoria de la lista de hosts vulnerables e implementa el contenedor de criptominería 'gakeaws / nginx'

Palo Alto Networks descubrió que Graboid recibe comandos de 15 hosts comprometidos, 14 de ellos presentes en la lista de IP vulnerables y el último con más de 50 vulnerabilidades conocidas, una clara indicación de que el atacante los comprometió específicamente con fines de control de malware.
Los dos contenedores involucrados en la operación de criptojacking Graboid se han descargado miles de veces. El enmascarador CenOS tiene más de 10,000 tiradas, mientras que el nginx poser tiene alrededor de 6,500.



Graboid consulta constantemente el servidor C2 en busca de nuevos hosts vulnerables y utiliza la herramienta de cliente Docker para descargar e implementar de forma remota el contenedor infectado.

- Actividad aleatoria aparente
- Actividad aleatoria aparente

Graboid sigue un patrón que puede parecer inconstante y la razón de esto sigue sin estar clara. Las teorías como el mal diseño, la evasión o la sostenibilidad son explicaciones plausibles, dicen los investigadores en un informe de hoy.

Cada minero está activo alrededor del 60% del tiempo y la minería está limitada a 250 segundos por sesión. Además, los mineros no trabajan al mismo tiempo y ni siquiera comienzan en el momento en que se instalan.

"Elige aleatoriamente tres objetivos en cada iteración. Instala el gusano en el primer objetivo, detiene al minero en el segundo objetivo y comienza el minero en el tercer objetivo. Este procedimiento conduce a un comportamiento minero muy aleatorio" - Palo Alto Networks

En pocas palabras, los hosts comprometidos en la botnet controlan el proceso de minería en otros hosts infectados al indicarles que inicien o detengan la sesión.
En una simulación de la actividad del gusano, los investigadores determinaron que Graboid necesita aproximadamente una hora para extenderse a 1.400 hosts Docker comprometidos. Si cada uno de ellos tuviera una CPU, la red de bots tendría una potencia de minería de 900 CPU en todo momento.

En el pasado, se han informado campañas de criptojacking que involucran contenedores Docker. Un informe en noviembre del año pasado de Juniper Networks reveló que los ciberdelincuentes se estaban aprovechando de los servicios de Docker mal configurados para agregar contenedores con un script de minería Monero.
El troyano Dofloo, una botnet conocida por lanzar ataques DDoS y actividad de criptominería, durante el verano apuntó a API mal configuradas de la utilidad DevOps Docker Engine-Community.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

System76, el conocido fabricante de ordenadores Linux estadounidense, ha anunciado la actualización de dos de sus modelos de portátiles para incluirles procesadores Intel Core de 10ª generación (Comet Lake).

Según cuenta Liliputing, los modelos actualizados han sido el Galago Pro, de 14 pulgadas, y el Darter Pro, de 15,6 pulgadas. Además del cambio de procesador, estos portátiles han pasado a usar Coreboot como firmware en lugar de la BIOS privativa, lo que supone un paso importante en lo que se refiere a ofrecer computadoras totalmente libres, si bien los modelos que vende System76 todavía requieren de blobs privativos para ofrecer una funcionalidad plena, con especial mención a los de Intel.

Profundizando en las características de las computadoras, el nuevo Galago Pro tiene un precio base de 949 dólares estadounidenses e incluye en su configuración básica un Intel Core i5-10210U como procesador, 8GB de RAM, 240GB de almacenamiento interno mediante SSD y una pantalla mate a resolución FullHD (1920×1080). Obviamente, conforme se vaya ampliando y/o mejorando los componentes en el proceso de compra el precio irá subiendo. Sus medidas son de 33 centímetros de ancho, 22,1 centímetros de fondo y 1,78 centímetros de alto y su peso de 1,32 kilos aproximadamente. A nivel de conexiones incluye Gigabit Ethernet, Wi-Fi 802.11ac, Bluetooth 5, un puerto Thunderbolt 3, puertos USB 3.1 Type-A (los rectangulares de toda la vida), Mini DisplayPort, HDMI y un lector de tarjetas SD. La batería, por su parte, es de 35,3 Wh.




El Darter Pro no solo es más grande con unas medidas de 36,1 centímetros de ancho, 24,38 centímetros de fondo, 2,03 centímetros de alto y un peso de 1,63 kilos, sino también más caro al ser su precio base de 999 dólares. Su configuración base y a nivel de conexiones es muy similar, aunque con la salvedad de que solo dispone de una ranura M.2 en lugar de soportar una configuración de almacenamiento dual como el Galago Pro, por lo que como máximo soporta 2TB en esta área frente a los 6TB del otro modelo.



Como vemos, System76 pone de su parte para que sus portátiles sigan estando al pie del cañón en un sector en el que la competencia cada vez es más feroz. Más allá de su objetivo de ofrecer ordenadores realmente Open Source, el fabricante estadounidense intenta centrarse en el usuario profesional que pueda necesitar de un ordenador con Linux como entorno de trabajo.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El pasado marzo, Feral Interactive trajo el juego DiRT 4 a Linux. Gracias a la compañía británica, los usuarios que usamos un sistema operativo cuyo kernel desarrolla Linus Torvalds podemos disfrutar de un buen juego de Rallys, pero no era la primera ni será la última vez que hizo algo parecido. De hecho, hace unos instantes ha anunciado que lo volverá a hacer, en esta ocasión con un título relacionado a Lara Croft.

El título elegido en esta ocasión es Shadow of the Tomb Raider, más concretamente la Definitive Edition, un título que hace poco menos de un año que está disponible en otras plataformas como PlayStation, Xbox o Windows. Como todos los Tomb Raider, se trata de un juego acción, misterio y puzzles, pero no penséis que se trata de unir fragmentos para crear imágenes. Los puzzles de este tipo de juegos se traducen en que tenemos que investigar cómo hacer las cosas para poder seguir avanzando en el juego.

Feral Interactive portará el último Tomb Raider a macOS y Linux

En una apasionante aventura de acción llena de misterio y amenaza, Lara Croft debe salvar al mundo de un apocalipsis maya y forjarse en la saqueadora de tumbas en la que está destinada a convertirse. Combinando el juego base, los siete DLC de tumbas de desafío, así como todas las armas, atuendos y habilidades descargables, Shadow of the Tomb Raider Definitive Edition es la mejor manera de experimentar el momento decisivo de Lara.


Además del vídeo anterior, Feral Interactive también ha publicado un enlace en el que podemos ver algunas imágenes reales del título. La Definitive Edition ofrecerá una experiencia más completa, puesto que incluye toda la colección del DLC. El juego estará disponible para Linux y macOS a partir del próximo 5 de noviembre a través de Steam.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A la hora de navegar por Internet podemos sufrir numerosos tipos de ataques. Nuestros dispositivos pueden ser hackeados por diferentes medios y nuestra información personal estar en peligro. Esto puede ocurrir sin importar el tipo de dispositivo o sistema operativo que estamos utilizando. Podemos sufrir muchos tipos de ataques en la red. Hoy vamos a hablar del secuestro de direcciones IP. Vamos a explicar en qué consiste y conocer un poco más sobre IP hijacking.

La seguridad en la red, un factor fundamental

Hoy en día existen muchos riesgos de seguridad, como hemos mencionado. Sin embargo es un factor fundamental para los usuarios. Conviene siempre tenerlo en cuenta y evitar que nuestros dispositivos puedan verse afectados por alguno de los muchos problemas que hay en Internet. El hecho de mantener seguros los sistemas también hará que nuestra privacidad esté siempre a salvo.

Eso sí, hay que tener en cuenta que también tenemos a nuestra disposición un gran abanico de posibilidades para protegernos. Hay muchas herramientas que podemos utilizar para evitar la entrada de malware y analizar el sistema en busca de amenazas. También el sentido común juega un papel fundamental para no caer en errores que provoquen un mal funcionamiento de los equipos.

Por tanto podemos decir que sí, que la seguridad en la red es un factor fundamental para los usuarios. Por ello el hecho de que existen métodos y ataques como el del secuestro de direcciones IP puede provocar un problema importante para los usuarios. Vamos a explicar en qué consiste exactamente esta amenaza.

El secuestro de direcciones IP, un método de ataque extendido

Dentro de todos los tipos de ataques que podemos encontrar en la red, uno de ellos es el secuestro de direcciones IP. Según informan un grupo de investigadores de seguridad de los cuales nos hacemos eco, se trata de un método que está muy extendido hoy en día, aunque no es para nada nuevo.

Si tiramos de datos, los números en 2017 indican que aproximadamente el 10% de las direcciones IP de los routers del mundo fueron afectadas por este tipo de ataques. Sin duda estamos ante cifras bastante importantes.

El secuestro de direcciones IP es una forma de ataque que utiliza direcciones IP para mover datos a través de la red. Básicamente se basa en vulnerabilidades en las IP generales y en el Border Gateway Protocol, o en español podríamos decir protocolo de puerta de enlace de frontera. Esto último por ejemplo es necesario para los proveedores de servicio.

En el caso de BGP lo que hace un atacante es "convencer" a las redes cercanas de que la mejor ruta para llegar a una dirección IP en concreto es a través de su red. BGP no tiene un procedimiento de seguridad para evitarlo, por lo que es algo relativamente sencillo de llevar a cabo.

Este problema no es algo nuevo y ha causado importantes preocupaciones en los últimos años. Han sido testigos de grandes fraudes que han dejado diferentes áreas de Internet vulnerables a ataques.



Qué objetivo tiene el secuestro de direcciones IP

Ahora bien, cada ataque que puede ocurrir en la red tiene un objetivo concreto. Por ejemplo los ataques Phishing tienen como fin robar las credenciales y contraseñas de las víctimas. El secuestro de direcciones IP también tiene diferentes objetivos.

Uno de los objetivos de que puedan realizar un secuestro de direcciones IP es el envío de Spam, por ejemplo. Pueden llevar a cabo diferentes actividades maliciosas. También podrían utilizarlo para realizar ataques de denegación de servicio. Incluso podrían distribuir malware.

También es posible que este tipo de ataques sea utilizado para el espionaje. Se han dado casos de que incluso gobiernos de algunos países lo han utilizado para espiar a sus propios ciudadanos.

Ha habido en la Dark Web organizaciones fraudulentas que vendían direcciones IP secuestradas. Estas direcciones pueden ser utilizadas para el envío de correos fraudulentos dentro de un rango IP legítimo.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft, en su afán de hacer que sus sistemas operativos sean más seguros, ha activado una nueva función. Se trata de Tamper Protection, y está disponible para usuarios domésticos y empresas en Windows 10. Se trata de una función para evitar manipulaciones en Windows Defender. Una nueva configuración para protegernos frente a cambios en las características de clave de seguridad. Esto incluye la limitación de los cambios que no son realizados directamente a través de la aplicación.

Windows habilita Tamper Protection

Hay que mencionar que Tamper Protection ya llevaba un año disponible pero únicamente para Windows Insiders. Estuvo en pruebas durante unos meses y desde marzo de este año ya estuvo disponible la versión completa. Como sabemos se trata del programa en pruebas donde llegan algunas novedades y funciones que posteriormente pasarán a formar parte del sistema operativo.

Se trata de una función más para mejorar la seguridad, que es un factor fundamental para los usuarios. Tamper Protection está ya disponible para todos los usuarios de Windows 10. Es posible habilitarla o deshabilitarla desde la aplicación de seguridad de Windows. De forma predeterminada viene habilitada tanto para usuarios domésticos, aunque no así para los empresariales que utilicen este sistema operativo de Microsoft.

Hay que tener en cuenta que esta nueva función se acaba de activar. Esto significa que irá llegando progresivamente a los usuarios. Es posible que algunos lectores ya tengan la oportunidad de contar con ella pero otros tengan que esperar aún un tiempo. Eso sí, es imprescindible que tengamos instalada la última versión de Windows 10. Ya sabemos que tener el sistema actualizado nos permitirá siempre contar con las más recientes novedades que en muchas ocasiones mejorarán la seguridad.

Como hemos indicado, el objetivo de Tamper Protection es proteger a los usuarios contra posibles manipulaciones que busquen realizar cambios maliciosos e indeseados en la configuración de seguridad del dispositivo. Una manera más de aumentar la protección y hacer que los sistemas sean más fiables.

Por ejemplo Tamper Protection nos protege contra amenazas que puedan deshabilitar la protección en tiempo real, la protección de la nube, desactivar actualizaciones de seguridad o evitar que monitorice comportamientos sospechosos. Todas estas funciones sirven para mejorar nuestra seguridad. Sin embargo puede ocurrir que ciertas amenazas tengan como objetivo deshabilitarlas para poder así atacar más fácilmente.

Cómo asegurarse de tener Tamper Protection

Como hemos mencionado es necesario contar con la última versión de Windows 10. En este caso estamos hablando de la versión a partir de 1903.

Si tenemos esta versión de Windows instalada podemos comprobar si tenemos ya esta función activada. Para ello hay que ir a Configuración, entramos en Actualización y seguridad, vamos a Seguridad de Windows y accedemos a Abrir seguridad de Windows, que aparece arriba.



Una vez aquí seleccionamos Protección antivirus y contra amenazas. Si tenemos ya en nuestro sistema Tamper protection aparecerá aquí en esta lista. Simplemente tenemos que darle a activar, en caso de que no lo esté, y podremos disfrutar de su protección.

Como hemos mencionado se trata de una nueva función que Microsoft acaba de activar. Esto significa que al tiempo de escribir este artículo serán muchos los usuarios que aún no tengan esta novedad en su equipo y tendrán que esperar un tiempo.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login