FEED Validator

for Atom and RSS and KML

Congratulations!

This is a valid RSS feed.

Recommendations

This feed is valid, but interoperability with the widest range of feed readers could be improved by implementing the following recommendations.

line 33, column 0: Use of unknown namespace: com-wordpress:feed-additions:1 (11 occurrences) [help]
```
<site xmlns="com-wordpress:feed-additions:1">18882688</site>	<item>
```
line 67, column 0: content:encoded should not contain fetchpriority attribute [help]
line 67, column 0: content:encoded should not contain decoding attribute (25 occurrences) [help]
line 67, column 0: content:encoded should not contain sizes attribute (23 occurrences) [help]
line 67, column 0: content:encoded should not contain data-recalc-dims attribute (24 occurrences) [help]
line 368, column 0: content:encoded should not contain loading attribute (22 occurrences) [help]

line 1331, column 0: content:encoded should not contain iframe tag [help]

<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-emb ...

Source: https://www.b1nary0.com.ar/?feed=rss2

<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
xmlns:content="http://purl.org/rss/1.0/modules/content/"
xmlns:wfw="http://wellformedweb.org/CommentAPI/"
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:atom="http://www.w3.org/2005/Atom"
xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
xmlns:georss="http://www.georss.org/georss"
xmlns:geo="http://www.w3.org/2003/01/geo/wgs84_pos#"
>
<channel>
<title>B1nary0's Web</title>
<atom:link href="https://www.b1nary0.com.ar/feed/" rel="self" type="application/rss+xml" />
<link>https://www.b1nary0.com.ar</link>
<description>Seguridad de la información</description>
<lastBuildDate>Tue, 09 Apr 2024 13:07:50 +0000</lastBuildDate>
<language>es</language>
<sy:updatePeriod>
hourly </sy:updatePeriod>
<sy:updateFrequency>
1 </sy:updateFrequency>
<image>
<url>https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2017/12/cropped-b1nary0.jpg?fit=32%2C32&ssl=1</url>
<title>B1nary0's Web</title>
<link>https://www.b1nary0.com.ar</link>
<width>32</width>
<height>32</height>
</image>
<site xmlns="com-wordpress:feed-additions:1">18882688</site> <item>
<title>Credenciales comprometidas y acceso RDP, los canales más comunes del ransomware</title>
<link>https://www.b1nary0.com.ar/credenciales-comprometidas-y-acceso-rdp-los-canales-mas-comunes-del-ransomware/6911/</link>
<comments>https://www.b1nary0.com.ar/credenciales-comprometidas-y-acceso-rdp-los-canales-mas-comunes-del-ransomware/6911/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Tue, 09 Apr 2024 13:07:41 +0000</pubDate>
<category><![CDATA[aprendizaje]]></category>
<category><![CDATA[ciberseguridad]]></category>
<category><![CDATA[concienciar]]></category>
<category><![CDATA[delitos]]></category>
<category><![CDATA[empresas]]></category>
<category><![CDATA[info]]></category>
<category><![CDATA[ransomware]]></category>
<category><![CDATA[seguridad]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6911</guid>
<description><![CDATA[Según nuevos datos de Sophos, el compromiso del protocolo de escritorio remoto (RDP) ha alcanzado niveles récord en ataques de ransomware. La empresa analizó 150 de sus casos de respuesta a incidentes de 2023 y descubrió que el abuso de RDP se presentaba en el 90 % de ellos para brindar a los actores de amenazas acceso remoto a entornos Windows. Sophos describió la tasa de abuso de RDP como “sin precedentes” y dijo que explicaba parcialmente por qué los servicios remotos externos eran la forma más popular para que los actores de amenazas obtuvieran acceso inicial en ataques de ransomware, lo que representó…]]></description>
<content:encoded><![CDATA[
Según nuevos <a href="https://www.sophos.com/en-us/press/press-releases/2024/04/cybercriminals-abuse-remote-desktop-protocol-rdp-90-attacks-handled" rel="noreferrer noopener" target="_blank">datos de Sophos</a>, el compromiso del protocolo de escritorio remoto (RDP) ha alcanzado niveles récord en ataques de ransomware.
La empresa analizó 150 de sus casos de respuesta a incidentes de 2023 y descubrió que el abuso de RDP se presentaba en el 90 % de ellos para brindar a los actores de amenazas acceso remoto a entornos Windows.

Sophos describió la <a href="https://www.infosecurity-magazine.com/news/vpn-rdp-exploitation-common-attack/" target="_blank" rel="noreferrer noopener">tasa de abuso de RDP como “sin precedentes”</a> y dijo que explicaba parcialmente por qué los servicios remotos externos eran la forma más popular para que los actores de amenazas obtuvieran acceso inicial en ataques de ransomware, lo que representó el 65% de los casos el año pasado.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?ssl=1" rel="lightbox-0"><img fetchpriority="high" decoding="async" width="866" height="504" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?resize=866%2C504&ssl=1" alt="" class="wp-image-6912" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?resize=1024%2C596&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?resize=300%2C175&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?resize=768%2C447&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?resize=1536%2C894&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/2024-04-09_10-05.png?w=1557&ssl=1 1557w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
En un caso, los atacantes lograron comprometer a la misma víctima cuatro veces en seis meses a través de puertos RDP expuestos. Una vez dentro, pudieron moverse lateralmente a través de sus redes, descargando archivos binarios maliciosos, deshabilitando la protección de endpoints y estableciendo acceso remoto, dijo Sophos.
RDP ofrece varias ventajas para los actores de ransomware:
<ul>
<li>Es extremadamente popular entre los administradores de red.</li>
<li>Los atacantes pueden abusar de él para acceder de forma remota sin activar ninguna alarma AV o EDR.</li>
<li>Ofrece una GUI fácil de usar.</li>
<li>El servicio a menudo está mal configurado, lo que significa que está expuesto públicamente y protegido sólo con credenciales fáciles de descifrar.</li>
<li>A veces se utilizan cuentas con privilegios elevados para RDP, lo que amplifica el daño que se puede causar.</li>
<li>Los administradores suelen desactivar funciones de seguridad como la autenticación a nivel de red.</li>
<li>Muchas organizaciones olvidan segmentar sus redes, lo que ayuda a los atacantes RDP</li>
</ul>
“Los servicios remotos externos son un requisito necesario, pero riesgoso, para muchas empresas. Los atacantes comprenden los riesgos que plantean estos servicios y buscan activamente subvertirlos debido a la recompensa que se esconde detrás”, argumentó John Shier, CTO de campo de Sophos.
Exponer los servicios sin una cuidadosa consideración y mitigación de sus riesgos conduce inevitablemente a un compromiso. Un atacante no tarda mucho en encontrar y violar un servidor RDP expuesto y, sin controles adicionales, para luego también vulnerar servidores Active Directory que están del otro lado.
Si bien todos los ataques de ransomware tienen resultados negativos, aquellos que comienzan explotando vulnerabilidades sin parches son particularmente brutales para sus víctimas. Las organizaciones afectadas por ataques que comenzaron de esta manera reportan resultados considerablemente más graves que aquellas cuyos <a href="https://news.sophos.com/en-us/2024/04/03/unpatched-vulnerabilities-the-most-brutal-ransomware-attack-vector/" rel="noreferrer noopener" target="_blank">ataques comenzaron con credenciales comprometidas</a>, incluida una mayor propensión a:
<ul>
<li>Tener copias de seguridad comprometidas (tasa de éxito del 75% frente al 54% para credenciales comprometidas)</li>
<li>Tener datos cifrados (tasa de cifrado del 67% frente al 43% para credenciales comprometidas)</li>
<li>Pagar el rescate (tasa de pago del 71% frente al 45% para credenciales comprometidas)</li>
<li>Cubrir el costo total del rescate internamente (el 31% financió el rescate completo internamente frente al 2% para las credenciales comprometidas)</li>
<li>Costos generales de recuperación de ataques 4 veces mayores ($3 millones frente a $750.000 para credenciales comprometidas)</li>
<li>Tiempo de recuperación más lento (el 45% tardó más de un mes frente al 37% para las credenciales comprometidas)</li>
</ul>
El informe completo se puede descargar desde <a href="https://news.sophos.com/en-us/2024/04/03/unpatched-vulnerabilities-the-most-brutal-ransomware-attack-vector/" rel="noreferrer noopener" target="_blank">aquí</a> y <a href="https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-the-series/" rel="noreferrer noopener" target="_blank">aquí</a>.
Fuente: <a href="https://www.infosecurity-magazine.com/news/rdp-abuse-90-ransomware-breaches/">Infosecurity-Magazine</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/credenciales-comprometidas-y-acceso-rdp-los-canales-mas-comunes-del-ransomware/6911/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6911</post-id> </item>
<item>
<title>La puerta trasera XZ: lo que se sabe</title>
<link>https://www.b1nary0.com.ar/la-puerta-trasera-xz-lo-que-se-sabe/6908/</link>
<comments>https://www.b1nary0.com.ar/la-puerta-trasera-xz-lo-que-se-sabe/6908/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Tue, 09 Apr 2024 13:00:55 +0000</pubDate>
<category><![CDATA[bugs]]></category>
<category><![CDATA[codigos]]></category>
<category><![CDATA[riesgos]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[ssh]]></category>
<category><![CDATA[tools]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6908</guid>
<description><![CDATA[El flagelo de los ataques a la cadena de suministro de software es una técnica de ataque informático cada vez más común que oculta código malicioso en un programa legítimo ampliamente utilizado y puede adoptar muchas formas. Los delincuentes informáticos pueden penetrar un servidor de actualización para dejar su malware, o incluso ingresar a la red donde se desarrolló el software para corromperlo desde el código fuente. O, en el caso de un atacante de la cadena de suministro de software como el reciente backdoor en XY Utils, donde los atacante pasaron dos años “ofreciendo ayuda cortésmente”. La puerta trasera en XZ Utils…]]></description>
<content:encoded><![CDATA[
El flagelo de los ataques a la cadena de suministro de software es una técnica de ataque informático cada vez más común que oculta código malicioso en un programa legítimo ampliamente utilizado y puede adoptar muchas formas.
Los delincuentes informáticos pueden penetrar un servidor de actualización para dejar su malware, o incluso ingresar a la red donde se desarrolló el software para corromperlo desde el código fuente. O, en el caso de un atacante de la cadena de suministro de software como el reciente <a href="https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html" target="_blank" rel="noreferrer noopener">backdoor en XY Utils</a>, donde los atacante pasaron dos años “ofreciendo ayuda cortésmente”.

<h3 class="wp-block-heading">La puerta trasera en XZ Utils</h3>
<a href="https://boehs.org/node/everything-i-know-about-the-xz-backdoor" rel="noreferrer noopener" target="_blank">Durante el fin de semana pasado</a>, la comunidad de ciberseguridad y software de código abierto quedó impactada por la <a href="https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html" rel="noreferrer noopener" target="_blank">noticia de que una versión experimental relativamente nueva de XZ Utils</a> (una utilidad de compresión integrada en muchas distribuciones populares de Linux) contenía una puerta trasera que habría permitido a los delincuentes informáticos, en posesión de un clave privada específica, conectarse al sistema de puerta trasera y ejecutar sus propios comandos como administrador.
Sólo un trabajo de detective casual llevado a cabo por un solitario ingeniero de Microsoft, Andrés Freund, que había detectado un extraño retraso en la ejecución del protocolo de conexión remota SSH en una versión de la variante de Linux Debian, captó el truco de espionaje antes de que terminara en muchos millones de sistemas en todo el mundo.
Esa puerta trasera de XZ Utils, ahora está claro, fue insertada nada menos que por el principal mantenedor del código de XZ Utils, un desarrollador que se hacía llamar “Jia Tan”. A raíz del descubrimiento de la puerta trasera, un misterio se filtra en el mundo de la tecnología: ¿quién es Jia Tan y para quién trabajó realmente él o ella (o muy probablemente ellos)?
Jia Tan aprovechó el enfoque de codificación colaborativo del software de código abierto mediante el cual cualquiera puede sugerir cambios a un programa en repositorios de código como GitHub, donde otros programadores revisan los cambios antes de integrarlos en el software. Un vistazo a la <a href="https://boehs.org/node/everything-i-know-about-the-xz-backdoor" target="_blank" rel="noreferrer noopener">historia documentada de Jia Tan</a> en el mundo de la programación de código abierto revela que aparecieron por primera vez en <a href="https://github.com/tukaani-project/xz/pull/7" target="_blank" rel="noreferrer noopener">noviembre de 2021 con el nombre de usuario de GitHub JiaT75</a>, luego hicieron contribuciones a otros proyectos de código abierto usando el nombre Jia Tan, o a veces Jia Cheong Tan, durante más de un año antes de comenzar a enviar cambios a XZ Utils.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?ssl=1" rel="lightbox-0"><img decoding="async" width="1829" height="2560" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?fit=525%2C734&ssl=1" alt="" class="wp-image-6909" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?w=1829&ssl=1 1829w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?resize=214%2C300&ssl=1 214w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?resize=732%2C1024&ssl=1 732w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?resize=768%2C1075&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?resize=1097%2C1536&ssl=1 1097w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?resize=1463%2C2048&ssl=1 1463w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/04/GJ-6mD9aIAARaiY-scaled.jpg?w=1732&ssl=1 1732w" sizes="(max-width: 866px) 100vw, 866px" /></a></figure>
En enero de 2023, el código de Jia Tan se estaba integrando en XZ Utils. Durante el próximo año, tomarían en gran medida el control del proyecto de manos de su mantenedor original, Lasse Collin, un cambio impulsado en parte por correos electrónicos molestos enviados a Collin por un puñado de usuarios quejándose de actualizaciones lentas. No está claro si esos usuarios fueron cómplices involuntarios o si realmente trabajaron con Jia Tan para persuadir a Collin de que renunciara al control. Finalmente, Jia Tan agregó su puerta trasera sigilosa a una versión de XZ Utils en febrero de este año.
Ese enfoque inhumanamente paciente, junto con las características técnicas y la sofisticación de la propia puerta trasera, ha llevado a muchos en el mundo de la ciberseguridad a creer que Jia Tan debe, de hecho, ser un identificador operado por atacantes informáticos patrocinados por el Estado (y muy buenos).
“Esta operación de varios años fue muy astuta y la puerta trasera implantada es increíblemente engañosa”, dice Costin Raiu, quien hasta el año pasado se desempeñó como investigador principal y jefe del equipo de investigación y análisis global de la firma rusa de ciberseguridad Kaspersky. “Yo diría que se trata de un grupo respaldado por un Estado-nación, uno con objetivos a largo plazo en mente y que permite invertir en la infiltración de varios años en proyectos de código abierto”.
En cuanto a qué nación, Raiu nombra a los sospechosos habituales: China, Rusia y Corea del Norte. Dice que todavía es demasiado pronto para conocer al verdadero culpable. “Una cosa está clara. Esto fue más astuto que todos los ataques anteriores a la cadena de suministro de software que he visto”.
<h3 class="wp-block-heading">Un programador muy privado y muy ocupado</h3>
A medida que ha aumentado el escrutinio en torno a Jia Tan desde la revelación de la puerta trasera de XZ Utils el viernes pasado, los investigadores han notado que la persona tiene una seguridad operativa notablemente buena. El reportero de seguridad independiente <a href="https://infosec.exchange/@briankrebs/112197305365490518" rel="noreferrer noopener" target="_blank">Brian Krebs escribe</a> que no pudo encontrar ningún rastro cero de la dirección de correo electrónico de Jia Tan fuera de los mensajes que enviaron a otros contribuyentes de código abierto, incluso después de rastrear las bases de datos violadas. Jia Tan también parece haber enrutado todas sus comunicaciones a través de una <a href="https://boehs.org/node/everything-i-know-about-the-xz-backdoor" rel="noreferrer noopener" target="_blank">VPN con una dirección IP de Singapur</a>.
La falta de cualquier otra presencia en línea vinculada a Jia Tan apunta a que la cuenta es una “persona inventada con un solo propósito” e indica cuánta sofisticación, paciencia y pensamiento se puso en el desarrollo de la puerta trasera, dice Will Thomas, instructor de SANS Institute, una empresa de formación en ciberseguridad. La personalidad de Jia Tan ha desaparecido desde que se descubrió la puerta trasera. La cuenta de GitHub de Jia Tan ha sido suspendida, según le dice a WIRED un portavoz de la compañía.
De hecho, las únicas huellas reales que Jia Tan parece haber dejado atrás fueron sus contribuciones a la comunidad de desarrollo de código abierto, donde fueron un colaborador prolífico: de manera inquietante, el primer cambio de código de Jia Tan fue a la biblioteca de compresión “libarchive”, otro componente muy ampliamente utilizado. Ese primer cambio intercambió una función con una alternativa menos segura, potencialmente intentando otro cambio de código malicioso, <a href="https://boehs.org/node/everything-i-know-about-the-xz-backdoor" rel="noreferrer noopener" target="_blank">señala el desarrollador Evan Boehs en su detallada cronología de Jia Tan</a>, aunque el problema ya se solucionó.
En total, Jia Tan realizó 6.000 cambios de código en al menos siete proyectos entre 2021 y febrero de 2024, según Michael Scott, cofundador de la empresa de ciberseguridad NetRise, que anteriormente trabajó en el grupo de guerra cibernética del Cuerpo de Marines bajo el Comando Cibernético de EE.UU.
Determinar todos los efectos ramificados de esos cambios es casi imposible, afirma Scott. Debido a que esos cambios, conocidos como “confirmaciones”, a menudo se agrupan en colecciones en un proceso conocido como “aplastamiento de confirmaciones”, no siempre es evidente qué cambios exactos realizó Jia Tan. Y la dificultad de rastrear cuál de las muchas versiones de una biblioteca como libarchive terminó en qué software agrega otra capa de ofuscación. “Va a ser un poco complicado tirar de este hilo y tratar de descubrir dónde terminaron todas estas cosas”, dice Scott.
Scott señala que, durante todo este tiempo, Jia Tan también estuvo enviando correos electrónicos a otros contribuyentes, escribiendo en un tono “muy conciso, muy seco”, pero no hostil, que Scott compara con el resultado de ChatGPT. Jordi Mas, un desarrollador que contribuyó a XZ Utils y había enviado “comentarios” por correo electrónico de Jia Tan, dice en retrospectiva que la cuenta fue a niveles adicionales para generar confianza en la persona.
En última instancia, Scott sostiene que esos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear múltiples proyectos de software, sino a construir una historia de credibilidad en preparación para el sabotaje de XZ Utils específicamente, y potencialmente de otros proyectos en el futuro. “Simplemente nunca llegó a ese paso porque tuvimos suerte y encontramos sus cosas. Así que eso ya está quemado y tendrá que volver al punto de partida”.
<h3 class="wp-block-heading">Tics técnicos y zonas horarias</h3>
A pesar de la personalidad de Jia Tan como un solo individuo, su preparación de años es un sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, argumenta Raiu. También lo son las características técnicas del código malicioso XZ Utils que agregó Jia Tan.
Raiu señala que, a primera vista, el código realmente parece una herramienta de compresión. “Está escrito de una manera muy subversiva”, dice. También es una puerta trasera “pasiva”, dice Raiu, por lo que no llegaría a un servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la máquina de destino a través de SSH y se autentique con una clave privada, una generada con una función criptográfica particularmente potente conocida como ED448.
El cuidadoso diseño de la puerta trasera podría ser obra de hackers estadounidenses, señala Raiu, pero sugiere que eso es poco probable, ya que Estados Unidos normalmente no sabotearía proyectos de código abierto y, si lo hiciera, la Agencia de Seguridad Nacional probablemente usaría un sistema criptográfico resistente a los cuánticos. La función ED448 no es. Eso deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, sugiere Raiu, como el <a href="https://www.wired.com/story/carderbee-china-hong-kong-supply-chain-attack/">China’s APT41</a>, <a href="https://www.wired.com/story/3cx-supply-chain-attack-times-two/">North Korea’s Lazarus Group</a>, y <a href="https://www.wired.com/story/the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/">Russia’s APT29</a>.
A primera vista, Jia Tan ciertamente parece del este de Asia, o debería parecerlo. La zona horaria de los compromisos de Jia Tan es UTC+8: esa es la zona horaria de China, y está a sólo una hora de la de Corea del Norte. Sin embargo, un <a href="https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and" rel="noreferrer noopener" target="_blank">análisis realizado por dos investigadores</a>, Rhea Karty y Simon Henniger, sugiere que Jia Tan simplemente pudo haber cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, varias confirmaciones se realizaron con una computadora configurada en una zona horaria de Europa del Este o del Medio Oriente, tal vez cuando Jia Tan olvidó hacer el cambio.
“Otro indicio de que no son de China es el hecho de que trabajaron en días festivos chinos importantes”, dicen Karty y Henniger, estudiantes del Dartmouth College y de la Universidad Técnica de Munich, respectivamente. Señalan que Jia Tan tampoco envió un nuevo código en Navidad o Año Nuevo. Boehs, el desarrollador, añade que gran parte del trabajo comienza a las 9am y termina a las 5pm para las zonas horarias de Europa del Este o Medio Oriente. “El rango de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo”, dice Boehs.
Aunque eso deja a países como Irán e Israel como posibilidades, la mayoría de las pistas conducen a Rusia, y específicamente al grupo de hackers APT29 de Rusia, sostiene Dave Aitel, ex hacker de la NSA y fundador de la empresa de ciberseguridad Immunity.
Aitel señala que APT29, que se cree que trabaja para la agencia de inteligencia extranjera de Rusia, conocida como SVR, tiene una reputación de atención técnica que pocos grupos de hackers tienen. APT29 también llevó a cabo el compromiso de Solar Winds, quizás el ataque a la cadena de suministro de software más hábilmente coordinado y eficaz de la historia. En comparación, esa operación coincide mucho más con el estilo de la puerta trasera de XZ Utils que con los ataques más crudos a la cadena de suministro de APT41 o Lazarus.
“Es muy posible que se trate de otra persona. Pero, si estás buscando los ataques a la cadena de suministro más sofisticados del planeta, esos serán nuestros queridos amigos en el SVR”.
Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que trabaje sola. En cambio, parece claro que la persona era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, una táctica que casi funcionó. Eso significa que deberíamos esperar ver a Jia Tan regresar con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de código abierto, que ocultan las intenciones secretas de un gobierno en sus compromisos de código.
Fuente: <a href="https://www.wired.com/story/jia-tan-xz-backdoor/" target="_blank" rel="noreferrer noopener">Wired</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/la-puerta-trasera-xz-lo-que-se-sabe/6908/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6908</post-id> </item>
<item>
<title>Nuevo ataque acústico determina las pulsaciones de teclas a partir de patrones de escritura</title>
<link>https://www.b1nary0.com.ar/nuevo-ataque-acustico-determina-las-pulsaciones-de-teclas-a-partir-de-patrones-de-escritura/6899/</link>
<comments>https://www.b1nary0.com.ar/nuevo-ataque-acustico-determina-las-pulsaciones-de-teclas-a-partir-de-patrones-de-escritura/6899/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Thu, 21 Mar 2024 11:58:48 +0000</pubDate>
<category><![CDATA[aprendizaje]]></category>
<category><![CDATA[espionaje]]></category>
<category><![CDATA[info]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[teclado]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6899</guid>
<description><![CDATA[Los investigadores han demostrado un nuevo ataque acústico de canal lateral en los teclados que puede deducir la entrada del usuario en función de sus patrones de escritura, incluso en malas condiciones, como entornos con ruido. Aunque el método logra una tasa de éxito promedio del 43%, que es significativamente menor que otros métodos presentados en el pasado, no requiere condiciones de grabación controladas ni una plataforma de escritura específica. Esto lo hace más aplicable en ataques reales y, dependiendo de algunos parámetros específicos del objetivo, puede producir suficientes datos confiables para descifrar la entrada general del objetivo con algún…]]></description>
<content:encoded><![CDATA[
Los investigadores han demostrado un nuevo ataque acústico de canal lateral en los teclados que puede deducir la entrada del usuario en función de sus patrones de escritura, incluso en malas condiciones, como entornos con ruido.
Aunque el método logra una tasa de éxito promedio del 43%, que es significativamente menor que <a href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/" target="_blank" rel="noreferrer noopener">otros métodos presentados en el pasado</a>, no requiere condiciones de grabación controladas ni una plataforma de escritura específica.

Esto lo hace más aplicable en ataques reales y, dependiendo de algunos parámetros específicos del objetivo, puede producir suficientes datos confiables para descifrar la entrada general del objetivo con algún análisis posterior a la captura.
<h3 class="wp-block-heading">El ataque acústico</h3>
Los investigadores Alireza Taheritajar y Reza Rahaeimehr de la Universidad de Augusta en Estados Unidos han publicado un <a href="https://arxiv.org/pdf/2403.08740.pdf" rel="noreferrer noopener" target="_blank">artículo técnico</a> [PDF] que presenta los detalles de su exclusivo método acústico de canal lateral.
El ataque aprovecha las emisiones de sonido distintivas de diferentes pulsaciones de teclas y el patrón de escritura de los usuarios capturado por software especializado para recopilar un conjunto de datos.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2-1.jpg?ssl=1" rel="lightbox-0"><img decoding="async" width="820" height="210" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2-1.jpg?resize=820%2C210&ssl=1" alt="" class="wp-image-6900" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2-1.jpg?w=820&ssl=1 820w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2-1.jpg?resize=300%2C77&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2-1.jpg?resize=768%2C197&ssl=1 768w" sizes="(max-width: 820px) 100vw, 820px" data-recalc-dims="1" /></a></figure>

Es fundamental recopilar algunas muestras de escritura del objetivo para que las pulsaciones de teclas y palabras específicas puedan correlacionarse con las ondas sonoras.
El documento profundiza en los posibles métodos para capturar texto, pero podría ser a través de malware, sitios web maliciosos o extensiones de navegador, aplicaciones comprometidas, secuencias de comandos entre sitios o teclados USB comprometidos.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3-1.jpg?ssl=1" rel="lightbox-1"><img loading="lazy" decoding="async" width="834" height="211" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3-1.jpg?resize=834%2C211&ssl=1" alt="" class="wp-image-6902" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3-1.jpg?w=834&ssl=1 834w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3-1.jpg?resize=300%2C76&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3-1.jpg?resize=768%2C194&ssl=1 768w" sizes="(max-width: 834px) 100vw, 834px" data-recalc-dims="1" /></a></figure>
La escritura del objetivo puede grabarse usando un micrófono oculto cerca de él o de forma remota usando dispositivos comprometidos en las proximidades, como teléfonos inteligentes, computadoras portátiles o parlantes inteligentes.
El conjunto de datos capturado incluye muestras de tipeo en diversas condiciones, por lo que se deben registrar múltiples sesiones de tipeo, lo cual es crucial para el éxito del ataque. Sin embargo, los investigadores dicen que el conjunto de datos no tiene por qué ser particularmente grande.
Luego, el conjunto de datos se utiliza para entrenar un modelo estadístico que produce un perfil completo de los patrones de escritura individuales del objetivo en función de los intervalos de tiempo entre pulsaciones de teclas.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4-1.jpg?ssl=1" rel="lightbox-2"><img loading="lazy" decoding="async" width="565" height="430" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4-1.jpg?resize=565%2C430&ssl=1" alt="" class="wp-image-6903" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4-1.jpg?w=565&ssl=1 565w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4-1.jpg?resize=300%2C228&ssl=1 300w" sizes="(max-width: 565px) 100vw, 565px" data-recalc-dims="1" /></a></figure>
Los investigadores descubrieron que aceptar una desviación del 5% para el modelo estadístico es crucial, ya que el comportamiento al escribir varía ligeramente incluso cuando una persona escribe la misma palabra dos veces.
Por ejemplo, cualquier intervalo registrado entre A y B que se encuentre entre 95 milisegundos (100 – 5%) y 105 milisegundos (100 + 5%) podría considerarse una coincidencia.
La desviación también ayuda a mitigar el impacto de los errores o el ruido en la grabación, asegurando que las discrepancias menores no provoquen una falta de coincidencia.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5-1.jpg?ssl=1" rel="lightbox-3"><img loading="lazy" decoding="async" width="745" height="428" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5-1.jpg?resize=745%2C428&ssl=1" alt="" class="wp-image-6904" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5-1.jpg?w=745&ssl=1 745w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5-1.jpg?resize=300%2C172&ssl=1 300w" sizes="(max-width: 745px) 100vw, 745px" data-recalc-dims="1" /></a></figure>
El método predice el texto escrito analizando grabaciones de audio de la actividad del teclado, y la precisión se mejora al filtrar las predicciones a través de un diccionario de inglés.
Lo que hace que el ataque sea diferente en comparación con otros enfoques es que puede alcanzar una precisión de predicción de escritura del 43 % (en promedio) incluso cuando:
<ul>
<li>las grabaciones contienen ruido ambiental</li>
<li>las sesiones de escritura grabadas para el mismo objetivo se llevaron a cabo en diferentes modelos de teclado.</li>
<li>las grabaciones fueron tomadas usando un micrófono de baja calidad</li>
<li>el objetivo es libre de utilizar cualquier estilo de escritura</li>
</ul>
Por otro lado, el método tiene limitaciones que en ocasiones hacen que el ataque sea ineficaz.
Por ejemplo, puede ser difícil perfilar a las personas que rara vez usan una computadora y no han desarrollado un patrón de mecanografía consistente, o a los mecanógrafos profesionales que escriben muy rápido.
Los resultados de las pruebas de 20 sujetos de prueba han producido un amplio rango de éxito, desde el 15% hasta el 85%, lo que hace que algunos sujetos sean mucho más predecibles y susceptibles que otros.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/6.jpeg?ssl=1" rel="lightbox-4"><img loading="lazy" decoding="async" width="803" height="553" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/6.jpeg?resize=803%2C553&ssl=1" alt="" class="wp-image-6905" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/6.jpeg?w=803&ssl=1 803w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/6.jpeg?resize=300%2C207&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/6.jpeg?resize=768%2C529&ssl=1 768w" sizes="(max-width: 803px) 100vw, 803px" data-recalc-dims="1" /></a></figure>
Los investigadores también observaron que la amplitud de la forma de onda producida se acentúa menos cuando se utilizan teclados silenciosos (interruptores mecánicos o de membrana con amortiguador de sonido), lo que puede obstaculizar la eficacia del entrenamiento para el modelo de predicción y reducir las tasas de detección de pulsaciones de teclas.
Fuente: <a href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-determines-keystrokes-from-typing-patterns/" target="_blank" rel="noreferrer noopener">BC</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/nuevo-ataque-acustico-determina-las-pulsaciones-de-teclas-a-partir-de-patrones-de-escritura/6899/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6899</post-id> </item>
<item>
<title>El sensor de luz ambiental de los móviles como herramienta espía</title>
<link>https://www.b1nary0.com.ar/el-sensor-de-luz-ambiental-de-los-moviles-como-herramienta-espia/6892/</link>
<comments>https://www.b1nary0.com.ar/el-sensor-de-luz-ambiental-de-los-moviles-como-herramienta-espia/6892/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Wed, 20 Mar 2024 20:33:53 +0000</pubDate>
<category><![CDATA[moviles]]></category>
<category><![CDATA[seguridad]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6892</guid>
<description><![CDATA[Un nuevo estudio sobre algunas inesperadas propiedades de una función estándar de todos los smartphones y tabletas modernas. En un artículo de la revista Science publicado a mediados de enero, se describe un método no trivial de husmear a los usuarios de teléfonos inteligentes a través de un sensor de luz ambiental. Todos los teléfonos inteligentes y tabletas cuentan con este componente integrado, al igual que muchos ordenadores portátiles y televisores. Su objetivo principal es detectar la cantidad de luz ambiental en el entorno en el que se encuentra el dispositivo y adecuar el brillo de la pantalla en consecuencia.…]]></description>
<content:encoded><![CDATA[
Un nuevo estudio sobre algunas inesperadas propiedades de una función estándar de todos los smartphones y tabletas modernas.
<a href="https://www.science.org/doi/10.1126/sciadv.adj3608" target="_blank" rel="noreferrer noopener">En un artículo de la revista Science</a> publicado a mediados de enero, se describe un método no trivial de husmear a los usuarios de teléfonos inteligentes a través de un sensor de luz ambiental.
Todos los teléfonos inteligentes y tabletas cuentan con este componente integrado, al igual que muchos ordenadores portátiles y televisores. Su objetivo principal es detectar la cantidad de luz ambiental en el entorno en el que se encuentra el dispositivo y adecuar el brillo de la pantalla en consecuencia.

De todos modos, primero debemos explicar por qué un atacante usaría una herramienta poco adecuada para obtener imágenes en lugar de la cámara tradicional del dispositivo objetivo. La razón es que estos sensores “inadecuados para la tarea” suelen estar totalmente desprotegidos.
Imaginemos que un atacante engaña a un usuario para que instale un programa malicioso en su teléfono inteligente. El malware se encontrará con ciertas dificultades para acceder a componentes a los que suele dirigirse, como el micrófono o la cámara. Pero ¿al sensor de luz? ¡Pan comido!
Los investigadores demostraron que este sensor de luz ambiental se puede usar en lugar de una cámara; por ejemplo, para obtener una imagen instantánea de la mano del usuario al introducir un PIN en un teclado virtual. En teoría, al analizar dichos datos, es posible reconstruir la contraseña. En esta publicación, explicaremos todos los detalles en palabras simples.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?ssl=1" rel="lightbox-0"><img loading="lazy" decoding="async" width="866" height="326" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?resize=866%2C326&ssl=1" alt="" class="wp-image-6893" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?resize=1024%2C386&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?resize=300%2C113&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?resize=768%2C289&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/1.jpg?w=1097&ssl=1 1097w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">“Toma de fotografías” con un sensor de luz. <a href="https://www.science.org/doi/epdf/10.1126/sciadv.adj3608" target="_blank" rel="noreferrer noopener">Fuente</a>.</figcaption></figure>
<a href="https://media.kasperskydaily.com/wp-content/uploads/sites/88/2024/03/06205325/ambient-light-sensor-privacy-01.jpg" rel="lightbox-1"></a>
El sensor de luz es una tecnología bastante primitiva; se trata de una fotocélula sensible a la luz que mide el brillo de la luz ambiental varias veces por segundo. Las cámaras digitales utilizan sensores de luz muy similares (aunque más pequeños), pero tienen millones de ellos. La lente proyecta una imagen sobre esta matriz de fotocélulas, se mide el brillo de cada elemento y se obtiene una fotografía digital. Por lo tanto, un sensor de luz podría describirse como la cámara digital más primitiva que existe; su resolución es exactamente de un píxel. ¿Cómo podría algo así capturar lo que sucede alrededor del dispositivo?
Los investigadores emplearon el <a href="https://en.wikipedia.org/wiki/Helmholtz_reciprocity" target="_blank" rel="noreferrer noopener">principio de reciprocidad de Helmholtz</a>, formulado a mediados del siglo XIX. Este principio se utiliza mucho en gráficos por ordenador, por ejemplo, ya que simplifica en gran medida los cálculos. En 2005, el principio constituyó la base del método <a href="https://graphics.stanford.edu/papers/dual_photography/DualPhotography.pdf" target="_blank" rel="noreferrer noopener">propuesto</a> de fotografía dual. Tomemos una ilustración de este artículo para poder explicarlo:
<a href="https://media.kasperskydaily.com/wp-content/uploads/sites/88/2024/03/06205915/ambient-light-sensor-privacy-02.jpg" rel="lightbox-2"></a>
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2.jpg?ssl=1" rel="lightbox-3"><img loading="lazy" decoding="async" width="813" height="480" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2.jpg?resize=813%2C480&ssl=1" alt="" class="wp-image-6894" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2.jpg?w=813&ssl=1 813w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2.jpg?resize=300%2C177&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/2.jpg?resize=768%2C453&ssl=1 768w" sizes="(max-width: 813px) 100vw, 813px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">A la izquierda hay una fotografía real del objeto. A la derecha hay una imagen calculada desde el punto de vista de la fuente de luz. <a href="https://graphics.stanford.edu/papers/dual_photography/DualPhotography.pdf" target="_blank" rel="noreferrer noopener">Fuente</a>.</figcaption></figure>
Imagina que estás fotografiando objetos sobre una mesa. Una lámpara emite luz sobre los objetos, la luz reflejada incide en la lente de la cámara y el resultado es una fotografía. Nada fuera de lo común. En la ilustración de arriba, la imagen de la izquierda es precisamente eso: una fotografía normal. A continuación, los investigadores, en términos muy sencillos, comenzaron a alterar el brillo de la lámpara y registrar los cambios en la iluminación. Como resultado, recogieron suficiente información para reconstruir la imagen de la derecha, tomada desde el punto de vista de la lámpara. No hay ninguna cámara en esta posición y nunca la hubo; pero sobre la base de las mediciones, la escena se pudo reconstruir con éxito.
Lo más interesante de todo es que este truco ni siquiera requiere una cámara. Un fotorresistor sencillo servirá, como el de un sensor de luz ambiental. Un fotorresistor (o “cámara de un solo píxel”) mide los cambios en la luz reflejada por los objetos, y estos datos se utilizan para crear una fotografía de ellos. La calidad de la imagen será baja, y se deben tomar cientos o miles de medidas.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3.jpg?ssl=1" rel="lightbox-4"><img loading="lazy" decoding="async" width="580" height="421" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3.jpg?resize=580%2C421&ssl=1" alt="" class="wp-image-6895" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3.jpg?w=580&ssl=1 580w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/3.jpg?resize=300%2C218&ssl=1 300w" sizes="(max-width: 580px) 100vw, 580px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">Configuración experimental: una tableta Samsung Galaxy View y la mano de un maniquí. <a href="https://www.science.org/doi/epdf/10.1126/sciadv.adj3608" target="_blank" rel="noreferrer noopener">Fuente</a>.</figcaption></figure>
Volvamos al estudio y al sensor de luz. Los autores del artículo utilizaron una tableta Samsung Galaxy View bastante grande con una pantalla de 17″. En la pantalla de la tableta, se mostraron varios patrones de rectángulos en blanco y negro. Se colocó un maniquí frente a la pantalla, como si fuera un usuario que introduce algo con el teclado en pantalla. El sensor de luz capturó los cambios de brillo. Con varios cientos de medidas como esta, se creó una imagen de la mano del maniquí. Es decir, los autores aplicaron el principio de reciprocidad de Helmholtz para obtener una fotografía de la mano, tomada desde el punto de vista de la pantalla. De forma bastante eficaz, los investigadores convirtieron la pantalla de la tableta en una cámara de muy baja calidad.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4.jpg?ssl=1" rel="lightbox-5"><img loading="lazy" decoding="async" width="708" height="422" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4.jpg?resize=708%2C422&ssl=1" alt="" class="wp-image-6896" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4.jpg?w=708&ssl=1 708w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/4.jpg?resize=300%2C179&ssl=1 300w" sizes="(max-width: 708px) 100vw, 708px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">Comparación de objetos reales frente a la tableta con lo que capturó el sensor de luz. <a href="https://www.science.org/doi/epdf/10.1126/sciadv.adj3608" target="_blank" rel="noreferrer noopener">Fuente</a>.</figcaption></figure>
<a href="https://media.kasperskydaily.com/wp-content/uploads/sites/88/2024/03/06210147/ambient-light-sensor-privacy-04.jpg" rel="lightbox-6"></a>
Es cierto que la imagen no es la más nítida. La fotografía de arriba a la izquierda muestra lo que se necesitaba capturar: por un lado, la palma abierta del maniquí; por el otro, cómo el “usuario” parece tocar algo en la pantalla. Las imágenes del centro son una “fotografía” reconstruida con una resolución de 32 × 32 píxeles, en la que no se ve casi nada: hay demasiado ruido en los datos. Sin embargo, con la ayuda de algoritmos de aprendizaje automático, se filtró el ruido para crear las imágenes de la derecha, donde podemos distinguir la posición de una mano de la otra. Los autores del artículo dan otros ejemplos de gestos típicos que las personas hacen cuando usan la pantalla táctil de una tableta. O más bien, ejemplos de cómo lograron “fotografiarlos”:
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?ssl=1" rel="lightbox-7"><img loading="lazy" decoding="async" width="866" height="597" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?resize=866%2C597&ssl=1" alt="" class="wp-image-6897" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?resize=1024%2C706&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?resize=300%2C207&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?resize=768%2C529&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/5.jpg?w=1206&ssl=1 1206w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">Captura de manos en varias posiciones mediante un sensor de luz. <a href="https://www.science.org/doi/epdf/10.1126/sciadv.adj3608" target="_blank" rel="noreferrer noopener">Fuente</a>.</figcaption></figure>
<a href="https://media.kasperskydaily.com/wp-content/uploads/sites/88/2024/03/06210252/ambient-light-sensor-privacy-05.jpg" rel="lightbox-8"></a>
Entonces, ¿se puede aplicar este método en la práctica? ¿Es posible supervisar cómo interactúa el usuario con la pantalla táctil de un teléfono inteligente o una tableta? ¿Cómo escribe texto en el teclado en pantalla? ¿Cómo introduce los datos de la tarjeta de crédito? ¿Cómo abre las aplicaciones? Por fortuna, no es tan sencillo. Ten en cuenta los títulos sobre las “fotografías” en la ilustración de arriba. Muestran lo lento que funciona este método. En el mejor de los casos, los investigadores pudieron reconstruir una “fotografía” de la mano en poco más de tres minutos. Se tardó 17 minutos en capturar la imagen de la fotografía anterior. La vigilancia en tiempo real a tales velocidades está fuera de discusión. También está claro ahora por qué la mayoría de los experimentos usaban la mano de un maniquí: un ser humano simplemente no puede mantener su mano inmóvil durante tanto tiempo.
Sin embargo, esto no descarta la posibilidad de que se mejore el método. Reflexionemos sobre el peor de los casos. Si la imagen de cada mano no se puede obtener en tres minutos, sino en, quizás, medio segundo; si el resultado en pantalla no son unas extrañas figuras en blanco y negro, sino un vídeo, un conjunto de fotografías o una animación de interés para el usuario; y si el usuario hace algo que valga la pena espiar, entonces el ataque tendría sentido. Pero incluso si se dan todas las condiciones, no tiene mucho sentido. Todos los esfuerzos de los investigadores se debilitan por el hecho de que si un atacante logró colocar un malware en el dispositivo de la víctima, existen formas mucho más sencillas de engañarla para que introduzca una contraseña o el número de una tarjeta de crédito.
No es la primera vez en la que analizamos este tipo de investigaciones (ejemplos anteriores: <a href="https://www.kaspersky.com/blog/side-eye-attack/49361/" target="_blank" rel="noreferrer noopener">uno</a>, <a href="https://www.kaspersky.com/blog/led-data-exfiltration/48523/" target="_blank" rel="noreferrer noopener">dos</a>, <a href="https://www.kaspersky.es/blog/pc-speaker-data-exfiltration/28632/" target="_blank" rel="noreferrer noopener">tres</a>, <a href="https://www.kaspersky.es/blog/wi-peep-wireless-localization/28220/" target="_blank" rel="noreferrer noopener">cuatro</a>), pero sí es la vez que tenemos más dificultades para imaginar este ataque en la vida real.
Todo lo que podemos hacer es maravillarnos ante la belleza del método propuesto. Esta investigación sirve como otro recordatorio de que los dispositivos que parecen ser familiares y discretos a nuestro alrededor pueden albergar funcionalidades inusuales y menos conocidas.
Dicho esto, para aquellas personas a quienes les preocupa esta posible violación de la privacidad, la solución es sencilla. Estas imágenes son de baja calidad debido a que el sensor de luz toma medidas con bastante poca frecuencia: 10-20 veces por segundo. Los datos de salida también carecen de precisión. Sin embargo, eso solo es relevante para convertir el sensor en una cámara. Para su objetivo principal, medir la luz ambiental, esta tasa es incluso demasiado alta. Podemos “distorsionar” aún más los datos transmitiéndolos, digamos, cinco veces por segundo en lugar de 20. Para hacer coincidir el brillo de la pantalla con el nivel de luz ambiental, esto es más que suficiente. Pero espiar a través del sensor, algo ya improbable, se volvería imposible.
Fuente: <a href="https://www.kaspersky.es/blog/ambient-light-sensor-privacy/29750/" target="_blank" rel="noreferrer noopener">Kaspersky</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/el-sensor-de-luz-ambiental-de-los-moviles-como-herramienta-espia/6892/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6892</post-id> </item>
<item>
<title>Chrome mejora la protección de URL para evitar phishing</title>
<link>https://www.b1nary0.com.ar/chrome-mejora-la-proteccion-de-url-para-evitar-phishing/6889/</link>
<comments>https://www.b1nary0.com.ar/chrome-mejora-la-proteccion-de-url-para-evitar-phishing/6889/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Wed, 20 Mar 2024 20:21:31 +0000</pubDate>
<category><![CDATA[google]]></category>
<category><![CDATA[navegadores]]></category>
<category><![CDATA[phishing]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[updates]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6889</guid>
<description><![CDATA[Google anunció el jueves una versión mejorada de navegación segura para brindar protección de URL en tiempo real, preservando la privacidad y salvaguardando a los usuarios de visitar sitios potencialmente maliciosos. “El modo de protección estándar para Chrome en escritorio e iOS comparará en tiempo real los sitios con la lista de sitios dañinos conocidos”, dijeron Jonathan Li y Jasika Bawa de Google. “Si sospechamos que un sitio representa un riesgo para usted o su dispositivo, verá una advertencia con más información. Al revisar los sitios en tiempo real, esperamos bloquear un 25% más de intentos de phishing”. Hasta ahora,…]]></description>
<content:encoded><![CDATA[
Google anunció el jueves una versión mejorada de navegación segura para brindar protección de URL en tiempo real, preservando la privacidad y salvaguardando a los usuarios de visitar sitios potencialmente maliciosos.
“El modo de protección estándar para Chrome en escritorio e iOS comparará en tiempo real los sitios con la lista de sitios dañinos conocidos”, <a href="https://blog.google/products/chrome/google-chrome-safe-browsing-real-time/" target="_blank" rel="noreferrer noopener">dijeron</a> Jonathan Li y Jasika Bawa de Google. “Si sospechamos que un sitio representa un riesgo para usted o su dispositivo, verá una advertencia con más información. Al revisar los sitios en tiempo real, esperamos bloquear un 25% más de intentos de phishing”.

Hasta ahora, el navegador Chrome utilizaba una lista almacenada localmente de sitios inseguros conocidos que se actualiza cada 30 a 60 minutos y luego aprovechaba un <a href="https://security.googleblog.com/2022/08/how-hash-based-safe-browsing-works-in.html" rel="noreferrer noopener" target="_blank">enfoque basado en hash</a> para comparar cada sitio visitado con la base de datos.
<a href="https://thehackernews.com/2023/09/google-chrome-rolls-out-support-for.html" rel="noreferrer noopener" target="_blank">Google reveló</a> sus planes de cambiar a comprobaciones del lado del servidor en tiempo real sin compartir el historial de navegación de los usuarios con la empresa en septiembre de 2023. La razón del cambio está motivada por el hecho de que la lista de sitios web dañinos está creciendo a un ritmo rápido y que el 60% de <a href="https://www.kaspersky.com/about/press-releases/2021_powerful-but-short-lived-one-third-of-phishing-pages-cease-to-be-active-after-a-day" rel="noreferrer noopener" target="_blank">los dominios de phishing existen por menos de 10 minutos</a>, lo que los hace difíciles de bloquear.
No todos los dispositivos tienen los recursos necesarios para mantener esta lista creciente, ni siempre pueden recibir y aplicar actualizaciones a la lista con la frecuencia necesaria para beneficiarse de una protección total. Por lo tanto, con <a href="https://security.googleblog.com/2024/03/blog-post.html" rel="noreferrer noopener" target="_blank">la nueva arquitectura</a>, cada vez que un usuario intenta visitar un sitio web, la URL se compara con las cachés globales y locales del navegador que contienen URL seguras conocidas y los resultados de comprobaciones anteriores de navegación segura para determinar el estado del sitio.
Si la URL visitada no está en las cachés, se realiza una verificación en tiempo real ofuscando la URL en <a href="https://developers.google.com/safe-browsing/v4/urls-hashing" target="_blank" rel="noreferrer noopener">hashes completos de 32 bytes</a>, que luego se truncan en prefijos hash de 4 bytes de largo, se cifran y se envían a un servidor privado.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?ssl=1" rel="lightbox-0"><img loading="lazy" decoding="async" width="866" height="239" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?resize=866%2C239&ssl=1" alt="" class="wp-image-6890" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?resize=1024%2C283&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?resize=300%2C83&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?resize=768%2C213&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?resize=1536%2C425&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?w=2030&ssl=1 2030w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/03/Screenshot-2024-03-13-3.41.41-PM.png?w=1732&ssl=1 1732w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
“El servidor de privacidad elimina los identificadores de usuarios potenciales y reenvía los prefijos hash cifrados al servidor de navegación segura a través de una conexión TLS que combina solicitudes con muchos otros usuarios de Chrome”, explicó Google.
Posteriormente, el servidor de navegación segura descifra los prefijos hash y los compara con la base de datos del lado del servidor para devolver hashes completos de todas las URL no seguras que coinciden con uno de los prefijos hash enviados por el navegador.
Finalmente, en el lado del cliente, los hashes completos se comparan con los hashes completos de la URL visitada y se muestra un mensaje de advertencia si se encuentra una coincidencia.
Google también confirmó que el servidor de privacidad no es más que un retransmisor HTTP Oblivious (OHTTP) operado por Fastly que se ubica entre Chrome y el servidor de Navegación Segura para evitar que este último acceda a las direcciones IP de los usuarios, evitando así correlacionar las comprobaciones de URL con un Historial de navegación en Internet del usuario.
“En última instancia, Safe Browsing ve los prefijos hash de su URL pero no su dirección IP, y el servidor de privacidad ve su dirección IP pero no los prefijos hash. Ninguna parte tiene acceso a su identidad y a los prefijos hash. Como tal, su actividad de navegación permanece privada”.
Fuente: <a href="https://thehackernews.com/2024/03/google-introduces-enhanced-real-time.html" rel="noreferrer noopener" target="_blank">THN</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/chrome-mejora-la-proteccion-de-url-para-evitar-phishing/6889/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6889</post-id> </item>
<item>
<title>Resumen de vulnerabilidades del año 2023</title>
<link>https://www.b1nary0.com.ar/resumen-de-vulnerabilidades-del-ano-2023/6865/</link>
<comments>https://www.b1nary0.com.ar/resumen-de-vulnerabilidades-del-ano-2023/6865/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Fri, 05 Jan 2024 15:41:27 +0000</pubDate>
<category><![CDATA[bugs]]></category>
<category><![CDATA[concienciar]]></category>
<category><![CDATA[empresas]]></category>
<category><![CDATA[info]]></category>
<category><![CDATA[internet]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6865</guid>
<description><![CDATA[Es hora de hacer una pausa y reflexionar. Es hora de evaluar qué funcionó y qué no en 2023, qué nos llamó la atención y causó perturbaciones, y qué pasó desapercibido. Más importante aún, necesitamos saber qué lecciones aprendimos de 2023 para que podamos hacer un mejor trabajo en la gestión del riesgo este nuevo año. En consonancia con esto, la Unidad de Investigación de Amenazas de Qualys (TRU) ha preparado un informe para revisar el panorama de amenazas en 2023. Conclusiones clave Al momento de escribir este artículo, se revelaron 26.447 vulnerabilidades en 2023, eclipsando el número total de vulnerabilidades reveladas…]]></description>
<content:encoded><![CDATA[
Es hora de hacer una pausa y reflexionar. Es hora de evaluar qué funcionó y qué no en 2023, qué nos llamó la atención y causó perturbaciones, y qué pasó desapercibido. Más importante aún, necesitamos saber qué lecciones aprendimos de 2023 para que podamos hacer un mejor trabajo en la gestión del riesgo este nuevo año. En consonancia con esto, la <a href="https://www.qualys.com/tru/" target="_blank" rel="noreferrer noopener">Unidad de Investigación de Amenazas de Qualys (TRU)</a> ha preparado un informe para revisar el panorama de amenazas en 2023.

<h3 class="wp-block-heading has-green-color has-text-color has-link-color wp-elements-91bc20d365676400991e4ea9b5f44e46">Conclusiones clave</h3>
<ul>
<li>Menos del uno por ciento de las vulnerabilidades contribuyeron al mayor riesgo y fueron explotadas rutinariamente en la naturaleza.</li>
<li>97 vulnerabilidades de alto riesgo, probablemente explotadas, no formaban parte del catálogo de vulnerabilidades conocidas explotadas <a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-133a" rel="noreferrer noopener" target="_blank">(KEV) de CISA</a>.</li>
<li>El 25 por ciento de estas vulnerabilidades fueron inmediatamente objeto de explotación, y el exploit se publicó el mismo día en que la vulnerabilidad en sí se reveló públicamente.</li>
<li>1/3 de las vulnerabilidades de alto riesgo afectaron a dispositivos de red y aplicaciones web.</li>
<li>La explotación de servicios remotos, la explotación de aplicaciones públicas y la explotación para escalar privilegios son las tres principales tácticas de MITRE ATT&CK.</li>
</ul>
Al momento de escribir este artículo, se revelaron 26.447 vulnerabilidades en 2023, eclipsando el número total de vulnerabilidades reveladas en 2022 en más de 1.500 CVE. Esto continúa la trayectoria de años en la que se han encontrado más vulnerabilidades que el año anterior.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="462" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?resize=866%2C462&ssl=1" alt="" class="wp-image-6866" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?resize=1024%2C546&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?resize=300%2C160&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?resize=768%2C410&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_01.webp?w=1500&ssl=1 1500w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
Sin embargo, no todas las vulnerabilidades presentan un riesgo elevado; de hecho, un pequeño subconjunto (menos del 1%) aporta el mayor riesgo. Estas vulnerabilidades particularmente críticas son aquellas que tienen un exploit armado, son explotadas activamente por ransomware, actores de amenazas y malware, o tienen evidencia confirmada de explotación en la naturaleza. Son estas vulnerabilidades las que examinaremos en detalle.
<h3 class="wp-block-heading">Panorama de amenazas de vulnerabilidad para 2023</h3>
La Unidad de Investigación de Amenazas (TRU) de Qualys analizó las vulnerabilidades de alto riesgo para obtener más información y discutir tendencias comunes. La TRU inspeccionó cuáles eran los más explotados, qué métodos y tácticas de ataque se utilizaron y qué estrategias podemos utilizar para fortalecer las defensas contra ellos. Algunos aspectos destacados de sus hallazgos:
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="437" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?resize=866%2C437&ssl=1" alt="" class="wp-image-6867" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?resize=1024%2C517&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?resize=300%2C152&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?resize=768%2C388&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_02.webp?w=1536&ssl=1 1536w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
<ul>
<li>Más de 7.000 vulnerabilidades tenían código de explotación de prueba de concepto. Estas vulnerabilidades podrían resultar en una explotación exitosa; sin embargo, el código de explotación suele ser de menor calidad, lo que puede reducir la probabilidad de que un ataque tenga éxito.</li>
<li>206 vulnerabilidades tenían disponible un código de explotación armado. Es muy probable que los exploits para estas vulnerabilidades comprometan el sistema de destino si se utilizan.</li>
<li>Hubo 115 vulnerabilidades explotadas habitualmente por actores de amenazas, malware y grupos de ransomware como CL0P.</li>
<li>De las vulnerabilidades observadas, 109 tenían evidencia conocida de explotación y estaban enumeradas en el CISA KEV.</li>
<li>Se explotaron 97 vulnerabilidades en estado salvaje, pero no se incluyeron en la lista CISA KEV. Nota: Las organizaciones que priorizan según CISA KEV deben prestar especial atención a estos CVE.</li>
<li>Grupos de ransomware como LockBit y Cerber explotaron 20 vulnerabilidades.</li>
<li>Además, 15 vulnerabilidades fueron explotadas por grupos de malware y botnets.</li>
</ul>
<h3 class="wp-block-heading">Principales tipos de vulnerabilidad</h3>
Más de un tercio de las vulnerabilidades de alto riesgo identificadas podrían explotarse de forma remota. Los cinco tipos de vulnerabilidades más frecuentes representaron más del 70 por ciento del total descubierto. Esto subraya la necesidad crítica de una estrategia integral de gestión de vulnerabilidades que incluya capacidades de escaneo remoto, y no dependa únicamente de métodos basados en agentes.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="438" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?resize=866%2C438&ssl=1" alt="" class="wp-image-6868" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?resize=1024%2C518&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?resize=300%2C152&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?resize=768%2C388&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?resize=1536%2C776&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?w=2048&ssl=1 2048w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_03.webp?w=1732&ssl=1 1732w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
<h3 class="wp-block-heading">Tiempo medio para explotar las vulnerabilidades de alto riesgo en 2023</h3>
En 2023, fuimos testigos de una tendencia crítica en la explotación de vulnerabilidades de alto riesgo. El análisis revela una visión sorprendente de la rapidez con la que los atacantes aprovechan estas vulnerabilidades.
El tiempo medio para explotar las vulnerabilidades en 2023 será de 44 días (aproximadamente un mes y medio). Sin embargo, este promedio oculta la urgencia de la situación. En numerosos casos, las vulnerabilidades tenían un exploit disponible el mismo día de su publicación. Esta acción inmediata representa un cambio en el modus operandi de los atacantes, destacando su creciente eficiencia y la ventana cada vez menor para la respuesta de los defensores.
El veinticinco por ciento de las CVE de alto riesgo se explotaron el día de la publicación: estas vulnerabilidades de seguridad fueron inmediatamente objeto de explotación, y el exploit se publicó el mismo día en que la vulnerabilidad en sí se reveló públicamente. Esta estadística sirve como una llamada de atención para que las organizaciones adopten una postura proactiva hacia la gestión de parches y la inteligencia sobre amenazas.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="473" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?resize=866%2C473&ssl=1" alt="" class="wp-image-6869" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?resize=1024%2C559&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?resize=300%2C164&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?resize=768%2C419&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_04.webp?w=1536&ssl=1 1536w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
Ventana de tres semanas: el 75 por ciento de las vulnerabilidades fueron explotadas dentro de los 19 días (aproximadamente tres semanas) posteriores a su publicación. Este cronograma ofrece una ventana crucial para que las organizaciones prioricen y aborden las vulnerabilidades más críticas.
<h3 class="wp-block-heading">Un tercio de las vulnerabilidades de alto riesgo encontradas en infraestructura de red y aplicaciones web</h3>
Un sustancial 32,5% de las 206 vulnerabilidades identificadas residen dentro de la infraestructura de redes o dominios de aplicaciones web, sectores tradicionalmente difíciles de salvaguardar por medios convencionales.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="780" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?resize=866%2C780&ssl=1" alt="" class="wp-image-6870" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?resize=1024%2C922&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?resize=300%2C270&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?resize=768%2C691&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?resize=1536%2C1383&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_05.webp?w=1662&ssl=1 1662w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
Esto pone de relieve la necesidad de una estrategia integral de gestión de la vulnerabilidad. Al implementar una variedad de métodos de gestión de vulnerabilidades, incluidas técnicas basadas en agentes, sin agentes y basadas en redes, las organizaciones pueden garantizar una protección amplia y proactiva en todos los activos de TI.
Una estrategia de múltiples frentes de este tipo es esencial para detectar y remediar amenazas de manera efectiva, reforzando así la seguridad y el cumplimiento en áreas particularmente susceptibles a riesgos cibernéticos sofisticados.
<h3 class="wp-block-heading">Más del 50 por ciento de las vulnerabilidades de alto riesgo explotadas por actores de amenazas y grupos de ransomware</h3>
De las 206 vulnerabilidades de alto riesgo, más del 50 por ciento fueron aprovechadas por actores de amenazas, ransomware o malware para comprometer los sistemas.
<ul>
<li>115 explotados por actores de amenazas nombrados.</li>
<li>20 explotados por ransomware.</li>
<li>15 explotados por malware y botnets.</li>
</ul>
Las vulnerabilidades identificadas abarcan un amplio conjunto de sistemas y aplicaciones, incluidos, entre otros, PaperCut NG, MOVEit Transfer, varios sistemas operativos Windows, Google Chrome, Atlassian Confluence y Apache ActiveMQ. Esta amplitud demuestra que ninguna aplicación está fuera del alcance de los atacantes, quienes están decididos a explotar cualquier vulnerabilidad para comprometer los sistemas.
En particular, muchas de estas vulnerabilidades, como las que se encuentran en MOVEit Transfer, Windows SmartScreen y Google Chrome, se pueden explotar de forma remota, lo que evita la necesidad de acceso físico al sistema objetivo.
Ciertas vulnerabilidades permiten a los atacantes eludir los mecanismos de autenticación, como se observa con las vulnerabilidades en PaperCut NG, o escalar sus privilegios, como con las vulnerabilidades del controlador del sistema de archivos de registro común de Windows. Este tipo de vulnerabilidades son particularmente alarmantes debido a su potencial para otorgar a los atacantes mayores niveles de acceso, simplificando así el compromiso del sistema y los esfuerzos de filtración de datos.
Además, las vulnerabilidades encontradas en plataformas como Fortra GoAnywhere MFT y Apache ActiveMQ son capaces de facilitar la ejecución remota de código o la inyección de comandos. Estos permiten a los atacantes ejecutar comandos arbitrarios, lo que podría llevar al control total del sistema.
Las amenazas a la ciberseguridad, que a menudo apuntan a versiones de software específicas, como se ve en MOVEit Transfer, requieren una estrategia dinámica e integral. Esto incluye actualizaciones periódicas, parches, evaluaciones de vulnerabilidades y autenticación sólida. Las medidas proactivas y preventivas son cruciales para una defensa eficaz contra estas amenazas complejas y en evolución, en lugar de respuestas meramente reactivas.
<h3 class="wp-block-heading">Principales tácticas y técnicas de MITRE ATT&CK</h3>
En 2023, las 206 vulnerabilidades del conjunto de datos se utilizaron como armas, lo que ofrece una visión clara de las tácticas empleadas por los ciberadversarios. Aquí, analizamos las principales técnicas y métodos de MITRE ATT&CK utilizados en estos exploits, arrojando luz sobre las vías más frecuentes de ataques cibernéticos:
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="415" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?resize=866%2C415&ssl=1" alt="" class="wp-image-6871" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?resize=1024%2C491&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?resize=300%2C144&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?resize=768%2C368&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?resize=1536%2C737&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?w=2048&ssl=1 2048w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2024/01/Fig_06.webp?w=1732&ssl=1 1732w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
<ul>
<li>Explotación de servicios remotos (T1210 y T0866): este es el método observado con más frecuencia, con 72 ocurrencias en entornos empresariales y 24 en sistemas de control industrial (ICS). Esta técnica, utilizada para el acceso inicial y el movimiento lateral, resalta la importancia de proteger los protocolos de servicio remoto contra el acceso y la explotación no autorizados.</li>
<li>Explotación de aplicaciones públicas (T1190 y T0819): esta técnica, que ocurre 53 veces en dominios empresariales y 19 veces en ICS, se dirige a aplicaciones accesibles desde Internet. Es una ruta de acceso inicial favorita para los atacantes, lo que muestra la necesidad crítica de una seguridad sólida de las aplicaciones externas.</li>
<li>Explotación para escalada de privilegios (T1068): Esta técnica, mencionada 20 veces, implica que los atacantes exploten vulnerabilidades para obtener mayores privilegios dentro de un sistema. Su aparición subraya la necesidad de una gestión y supervisión de privilegios eficaces dentro de las redes empresariales.</li>
</ul>
Además de los métodos dominantes, en 2023 también se vieron otras tácticas que contribuyeron a la diversa matriz de amenazas, como:
<ul>
<li>Explotación para ejecución de cliente (T1203)</li>
<li>Escalada de privilegios en dispositivos móviles (T1404)</li>
<li>Explotación de aplicaciones/sistemas (T1499.004)</li>
<li>Servicios remotos externos (T1133)</li>
<li>Compromiso de paso (T1189)</li>
<li>Escalada de privilegios en ICS (T0890)</li>
<li>Enlace malicioso (T1204.001)</li>
<li>Explotación de Servicios Remotos en Móvil (T1428)</li>
</ul>
Cada una de estas técnicas representa un desafío distinto en ciberseguridad y ofrece información sobre las tácticas en evolución de los ciberadversarios. Desde explotar aplicaciones públicas hasta aprovechar servicios remotos y ejecutar escalada de privilegios, estos métodos describen un panorama de amenazas sofisticado y multifacético. Comprender estas técnicas de ataque predominantes es crucial para desarrollar estrategias de defensa más efectivas y reforzar las medidas de ciberseguridad contra estas amenazas predominantes.
<h3 class="wp-block-heading">Amenazas más activas</h3>
Este año, ciertas vulnerabilidades destacaron como las más explotadas. Éstas incluyen:
CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880, CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE- 2023-29059, CVE-2023-34362
El volumen de aprovechamientos de estas vulnerabilidades indica tendencias en los vectores de ataque y enfatiza la necesidad de estrategias defensivas específicas. Se puede <a href="https://blog.qualys.com/qualys-insights/2023/09/26/qualys-survey-of-top-10-exploited-vulnerabilities-in-2023">consultar la publicación del blog de TRU</a> para obtener una lista detallada de las vulnerabilidades más explotadas.
<figure class="wp-block-table"><table><thead><tr><th>CVE</th><th>Title</th><th>Qualys Score (QVS)</th></tr></thead><tbody><tr><td>CVE-2023-0669</td><td>Fortra GoAnywhere Managed File Transfer (MFT) RCE Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-20887</td><td>VMware Aria Operations for Networks Command Injection Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-22952</td><td>SugarCRM Remote Code Execution (RCE) Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-23397</td><td>Microsoft Outlook Elevation of Privilege Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-24880</td><td>Windows SmartScreen Security Feature Bypass Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-27350</td><td>PaperCut NG/MF Multiple Security Vulnerabilities</td><td>100</td></tr><tr><td>CVE-2023-28252</td><td>Windows Common Log File System Driver Elevation of Privilege Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-2868</td><td>Barracuda Email Security Gateway Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-29059</td><td>3CX Desktop Client Supply Chain Vulnerability</td><td>95</td></tr><tr><td>CVE-2023-34362</td><td>MOVEit Transfer Injection Vulnerability</td><td>100</td></tr></tbody></table></figure>
<h3 class="wp-block-heading">Actores de amenazas más activos de 2023</h3>
En 2023, el panorama cibernético se vio sacudido por TA505, también conocido como CL0P Ransomware Gang. Este grupo planeó un ciberataque de alto perfil mediante la explotación de vulnerabilidades de día cero, y en particular explotaron vulnerabilidades de día cero en plataformas clave como GoAnywhere MFT, PaperCut, MOVEit y SysAid.
Su uso sofisticado de diversos tipos de malware para recopilar información y facilitar ataques los marcó como una amenaza importante. La gravedad de sus acciones provocó avisos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI), destacando la necesidad de mejorar las medidas de ciberseguridad.
<h3 class="wp-block-heading">El malware más activo de 2023</h3>
En 2023, <a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a" rel="noreferrer noopener" target="_blank">LockBit</a> y Clop se han destacado en el ámbito del ransomware. LockBit, utilizando su modelo avanzado de ransomware como servicio, se ha dirigido a una variedad de organizaciones, incluso en los sectores de TI y finanzas. En particular, LockBit aprovechó vulnerabilidades como CVE-2023-27350 en PaperCut NG y CVE-2023-0699 en Google Chrome, lo que permitió a atacantes remotos eludir la autenticación y explotar la corrupción del montón.
Clop, conocido por explotar vulnerabilidades, ha llevado a cabo extensos ataques contra grandes empresas, especialmente en los sectores de finanzas, TI y atención médica. Las actividades de Clop incluyeron la explotación de CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 y CVE-2023-35036. Estas vulnerabilidades iban desde la inyección de SQL en MOVEit Transfer, que permite el acceso a la base de datos, hasta una inyección de comando de autenticación previa en GoAnywhere MFT y eludir la autenticación en PaperCut NG.
El panorama de la ciberseguridad está evolucionando, con la proliferación de herramientas y conocimientos de piratería que permiten a los piratas informáticos menos capacitados explotar vulnerabilidades que antes solo eran accesibles a atacantes altamente sofisticados. Esto amplía el espectro de atacantes para incluir piratas informáticos avanzados, actores cibernéticos maliciosos con menos experiencia y activistas digitales, lo que marca un cambio significativo en la dinámica de las amenazas cibernéticas.
Estos casos resaltan la velocidad con la que las vulnerabilidades pueden pasar de la publicación a la explotación armada y luego a la explotación e ilustran la inmediatez con la que las amenazas cibernéticas evolucionan tras la divulgación de las vulnerabilidades. Esta rápida evolución desde la publicación hasta la explotación y el uso de armas enfatiza la necesidad crítica de que las organizaciones monitoreen de cerca las divulgaciones e implementen mecanismos de respuesta rápida para mitigar posibles ataques.
<h3 class="wp-block-heading">Conclusión</h3>
Al concluir el análisis del panorama de amenazas en 2023, es evidente que el rápido ritmo de utilización de vulnerabilidades como arma y la diversidad de actores de amenazas plantean desafíos importantes para las organizaciones a nivel mundial. Aquí hay algunas recomendaciones clave para reducir el riesgo:
<ul>
<li>Para evaluar con precisión el riesgo genuino que presentan las vulnerabilidades abiertas dentro de su organización, es esencial que las empresas empleen un conjunto completo de sensores, que van desde agentes hasta escáneres de red y escáneres externos.</li>
<li>Realice un inventario exhaustivo de todas las aplicaciones públicas y servicios remotos para garantizar que no sean vulnerables a vulnerabilidades de alto riesgo.</li>
<li>Emplear un enfoque multifacético para la priorización de vulnerabilidades. Concéntrese en aquellos que se sabe que son explotados en la naturaleza (comience con el CISA KEV), aquellos con una alta probabilidad de explotación (indicada por una puntuación EPSS alta) y aquellos con código de explotación disponible como arma.</li>
</ul>
Estas recomendaciones ayudarán a reforzar la necesidad crítica de un enfoque sólido y proactivo para la gestión de vulnerabilidades y riesgos, especialmente en una era cada vez más sofisticada y generalizada de amenazas cibernéticas.
Fuente: <a href="https://blog.qualys.com/vulnerabilities-threat-research/2023/12/19/2023-threat-landscape-year-in-review-part-one" target="_blank" rel="noreferrer noopener">Qualys</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/resumen-de-vulnerabilidades-del-ano-2023/6865/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6865</post-id> </item>
<item>
<title>Monkey365: herramienta para revisiones de Microsoft 365, Azure y Microsoft Entra ID</title>
<link>https://www.b1nary0.com.ar/monkey365-herramienta-para-revisiones-de-microsoft-365-azure-y-microsoft-entra-id/6862/</link>
<comments>https://www.b1nary0.com.ar/monkey365-herramienta-para-revisiones-de-microsoft-365-azure-y-microsoft-entra-id/6862/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Fri, 29 Dec 2023 14:54:18 +0000</pubDate>
<category><![CDATA[cloud]]></category>
<category><![CDATA[empresas]]></category>
<category><![CDATA[hardening]]></category>
<category><![CDATA[microsoft]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[tools]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6862</guid>
<description><![CDATA[Monkey365 es una herramienta de seguridad de código abierto que permite realizar revisiones de configuración de seguridad Microsoft 365, Azure y Microsoft Entra ID sin el peso significativo de las API de herramientas de aprendizaje o paneles de administración complejos. Monkey365 también ofrece más de 160 pruebas y distintas maneras de identificar brechas de seguridad en la configuración y configuración del tenant deseado. Monkey365 ofrece recomendaciones valiosas sobre cómo configurar mejor esos ajustes para sacar el máximo provecho de Microsoft 365 o de la suscripción de Azure. Monkey365 es un módulo PowerShell basado en colector que se puede utilizar para revisar la postura…]]></description>
<content:encoded><![CDATA[
<a href="https://github.com/silverhack/monkey365" target="_blank" rel="noreferrer noopener">Monkey365</a> es una herramienta de seguridad de código abierto que permite realizar revisiones de configuración de seguridad Microsoft 365, Azure y Microsoft Entra ID sin el peso significativo de las API de herramientas de aprendizaje o paneles de administración complejos.
<div class="wp-block-image">
<figure class="aligncenter size-full is-resized"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/181045413-1d17333c-0533-404a-91be-2070ccc6ee29.png?ssl=1" rel="lightbox-0"><img loading="lazy" decoding="async" width="573" height="610" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/181045413-1d17333c-0533-404a-91be-2070ccc6ee29.png?resize=573%2C610&ssl=1" alt="" class="wp-image-6863" style="width:345px;height:auto" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/181045413-1d17333c-0533-404a-91be-2070ccc6ee29.png?w=573&ssl=1 573w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/181045413-1d17333c-0533-404a-91be-2070ccc6ee29.png?resize=282%2C300&ssl=1 282w" sizes="(max-width: 573px) 100vw, 573px" data-recalc-dims="1" /></a></figure></div>

Monkey365 también ofrece más de 160 pruebas y distintas maneras de identificar brechas de seguridad en la configuración y configuración del tenant deseado. Monkey365 ofrece recomendaciones valiosas sobre cómo configurar mejor esos ajustes para sacar el máximo provecho de Microsoft 365 o de la suscripción de Azure.
Monkey365 es un módulo PowerShell basado en colector que se puede utilizar para revisar la postura de seguridad de su entorno en la nube. Con Monkey365 puedes escanear posibles configuraciones erróneas y problemas de seguridad en las cuentas públicas de acuerdo con las mejores prácticas de seguridad y las normas de cumplimiento, en aplicaciones básicas de Azure, Microsoft Entra ID y Microsoft 365.
Por defecto, el informe se basa en los estándares CIS (Center for Internet Security), aunque posiblemente se extienda a otros. Los parámetros CIS para Azure y Microsoft 365 son directrices para las mejores prácticas de seguridad y cumplimiento.
<ul>
<li>CIS Microsoft Azure Foundations Benchmark v1.4.0</li>
<li>CIS Microsoft 365 Foundations Benchmark v1.4.0</li>
<li>CIS Microsoft Azure Foundations Benchmark v1.5.0</li>
<li>CIS Microsoft 365 Foundations Benchmark v1.5.0</li>
</ul>
La forma de instalación y uso se puede ver en el <a href="https://github.com/silverhack/monkey365" rel="noreferrer noopener" target="_blank">repositorio de su autor Juan Garrido</a> (aka <a href="https://twitter.com/tr1ana" rel="noreferrer noopener" target="_blank">tr1ana</a>)
Fuente: <a href="https://github.com/silverhack/monkey365" target="_blank" rel="noreferrer noopener">SilverHack</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/monkey365-herramienta-para-revisiones-de-microsoft-365-azure-y-microsoft-entra-id/6862/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6862</post-id> </item>
<item>
<title>dns0 servicio gratuito de DNS pensado para seguridad</title>
<link>https://www.b1nary0.com.ar/dns0-servicio-gratuito-de-dns-pensado-para-seguridad/6859/</link>
<comments>https://www.b1nary0.com.ar/dns0-servicio-gratuito-de-dns-pensado-para-seguridad/6859/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Fri, 29 Dec 2023 14:50:07 +0000</pubDate>
<category><![CDATA[DNS]]></category>
<category><![CDATA[dominios]]></category>
<category><![CDATA[internet]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[servicios web]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6859</guid>
<description><![CDATA[La organización sin ánimo de lucro francesa dns0 ha lanzado un servicio público europeo de DNS que, según sus fundadores, debería proteger a los ciudadanos y organizaciones de la UE. Aumenta enormemente la tasa de detección de dominios maliciosos, especialmente en sus primeras horas críticas, combinando inteligencia de amenazas examinada por humanos con heurística avanzada que identifica automáticamente patrones de alto riesgo. dns0 apoya los protocolos de DNS modernos (DNS‑over‑HTTPS, DNS‑over‑TLS, DNS‑over‑QUIC, DNS‑over‑HTTP/3, DDR Encrypted Upgrade) que no son vulnerables a las escuchas y manipulaciones por parte de intermediarios de red malintencionados, o comprometidos, que enrutan paquetes entre tu dispositivo y nuestro…]]></description>
<content:encoded><![CDATA[
La organización sin ánimo de lucro francesa <a href="https://www.dns0.eu/es/" rel="noreferrer noopener" target="_blank">dns0</a> ha lanzado un servicio público europeo de DNS que, según sus fundadores, debería proteger a los ciudadanos y organizaciones de la UE.
Aumenta enormemente la tasa de detección de dominios maliciosos, especialmente en sus primeras horas críticas, combinando inteligencia de amenazas examinada por humanos con heurística avanzada que identifica automáticamente patrones de alto riesgo.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/DNS-over-HTTPS-1.webp?ssl=1"><img loading="lazy" decoding="async" width="700" height="315" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/DNS-over-HTTPS-1.webp?resize=700%2C315&ssl=1" alt="" class="wp-image-6860" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/DNS-over-HTTPS-1.webp?w=700&ssl=1 700w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/DNS-over-HTTPS-1.webp?resize=300%2C135&ssl=1 300w" sizes="(max-width: 700px) 100vw, 700px" data-recalc-dims="1" /></a></figure>

dns0 apoya los protocolos de DNS modernos (<a href="https://blog.segu-info.com.ar/2019/11/servidores-dns-over-tls-dot-y-dns-over.html" rel="noreferrer noopener" target="_blank">DNS‑over‑HTTPS, DNS‑over‑TLS</a>, DNS‑over‑QUIC, DNS‑over‑HTTP/3, DDR Encrypted Upgrade) que no son vulnerables a las escuchas y manipulaciones por parte de intermediarios de red malintencionados, o comprometidos, que enrutan paquetes entre tu dispositivo y nuestro servicio.
Además, dns0 ofrece un <a href="https://www.dns0.eu/es/kids" rel="noreferrer noopener" target="_blank">Internet “amigable para niños”</a> sin anuncios, pornografía, citas, piratería y vídeos de YouTube para adultos. Al filtrar el contenido de Internet que no es adecuado para los niños, puede proporcionar un entorno en línea seguro para los niños en el hogar, la escuela y mientras viajan.
La configuración está disponible para todos los sistemas operativos y móviles.
<ol>
<li>Por ejemplo, en Windows, abrir Ajustes.</li>
<li>Ir a Red e Internet.</li>
<li>Hacer clic en Wi-Fi (o Ethernet).</li>
<li>Hacer clic en Propiedades de hardware, o ignore este paso si hizo clic en Ethernet.</li>
<li>Hacer clic en el botón Editar junto a Asignación de servidor DNS.</li>
<li>Selecciona Manual.</li>
<li>Habilita IPv4.
<ul>
<li>Introducir 193.110.81.9 como DNS preferido.</li>
<li>Introducir 185.253.5.9 como DNS alternativo.</li>
</ul>
</li>
<li>Hacer clic en Guardar.</li>
</ol>
Dns0 ha sido creada por Romain Cointepas y Olivier Poitrey, cofundadores del proveedor de DNS NextDNS.
Fuente: <a href="http://dns0.eu/es">dns0.eu/es</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/dns0-servicio-gratuito-de-dns-pensado-para-seguridad/6859/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6859</post-id> </item>
<item>
<title>Desmantelan al ransomware #BlackCat y obtienen algunas de las claves de descifrado</title>
<link>https://www.b1nary0.com.ar/desmantelan-al-ransomware-blackcat-y-obtienen-algunas-de-las-claves-de-descifrado/6631/</link>
<comments>https://www.b1nary0.com.ar/desmantelan-al-ransomware-blackcat-y-obtienen-algunas-de-las-claves-de-descifrado/6631/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Wed, 20 Dec 2023 15:41:17 +0000</pubDate>
<category><![CDATA[empresas]]></category>
<category><![CDATA[encriptacion]]></category>
<category><![CDATA[info]]></category>
<category><![CDATA[ransomware]]></category>
<category><![CDATA[seguridad]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6631</guid>
<description><![CDATA[El Departamento de Justicia de EE.UU. (DoJ) anunció oficialmente la interrupción de la operación del ransomware BlackCat y creó una herramienta de descifrado que las víctimas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware. Los documentos judiciales muestran que el FBI contó con la ayuda de una fuente humana confidencial (CHS) para actuar como afiliado de BlackCat y obtener acceso a un panel web utilizado para gestionar a las víctimas de la pandilla, en lo que es un caso de “hackear a los hackers”. El mensaje de incautación indica que la operación policial fue realizada por la policía y agencias de investigación de EE.UU.,…]]></description>
<content:encoded><![CDATA[
El Departamento de Justicia de EE.UU. (DoJ) <a href="https://www.justice.gov/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant" rel="noreferrer noopener" target="_blank">anunció oficialmente</a> la interrupción de la operación del ransomware BlackCat y creó una herramienta de descifrado que las víctimas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.
Los documentos judiciales muestran que <a href="https://www.documentcloud.org/documents/24231386-blackcat-alphv-search-warrant" target="_blank" rel="noreferrer noopener">el FBI contó con la ayuda de una fuente humana confidencial (CHS)</a> para <a href="https://twitter.com/vxunderground/status/1737134562675679315" target="_blank" rel="noreferrer noopener">actuar como afiliado de BlackCat</a> y obtener acceso a un panel web utilizado para gestionar a las víctimas de la pandilla, en lo que es un caso de “hackear a los hackers”.

El mensaje de incautación indica que la operación policial fue realizada por la policía y agencias de investigación de EE.UU., Europol, Dinamarca, Alemania, Reino Unido, Países Bajos, Alemania, Australia, España y Austria.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?ssl=1"><img loading="lazy" decoding="async" width="866" height="639" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?resize=866%2C639&ssl=1" alt="" class="wp-image-6632" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?resize=1024%2C755&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?resize=300%2C221&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?resize=768%2C566&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?resize=1536%2C1132&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/alphv-seizure-page.webp?w=1600&ssl=1 1600w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>

BlackCat, también llamado ALPHV y Noberus, <a href="https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html" target="_blank" rel="noreferrer noopener">surgió en diciembre de 2021</a> y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo después de LockBit. También es la primera cepa de ransomware basada en lenguaje Rust detectada en la naturaleza.
El desarrollo <a href="https://thehackernews.com/2023/12/double-extortion-play-ransomware.html" rel="noreferrer noopener" target="_blank">pone fin a las especulaciones</a> sobre una supuesta acción policial después de que su portal de filtración en <a href="https://www.bleepingcomputer.com/news/security/alphv-ransomware-site-outage-rumored-to-be-caused-by-law-enforcement/" rel="noreferrer noopener" target="_blank">la web oscura se desconectara el 7 de diciembre</a>, solo para resurgir cinco días después con una sola víctima.
De todos modos el grupo dice que sigue trabajando y <a href="https://twitter.com/vxunderground/status/1737164418557833686" target="_blank" rel="noreferrer noopener">ya han creado un nuevo sitio web</a>.
<figure class="wp-block-image size-large"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?ssl=1" rel="lightbox-0"><img loading="lazy" decoding="async" width="866" height="303" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?resize=866%2C303&ssl=1" alt="" class="wp-image-6633" srcset="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?resize=1024%2C358&ssl=1 1024w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?resize=300%2C105&ssl=1 300w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?resize=768%2C268&ssl=1 768w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?resize=1536%2C536&ssl=1 1536w, https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/GBulyZ0WMAAhM8v.png?w=1735&ssl=1 1735w" sizes="(max-width: 866px) 100vw, 866px" data-recalc-dims="1" /></a></figure>
El FBI dijo que trabajó con docenas de víctimas en los EE.UU. para implementar el descifrador, salvándolas de demandas de rescate por un total de alrededor de 68 millones de dólares y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves públicas/privadas utilizadas por el grupo.
BlackCat, al igual que otras bandas de ransomware, utiliza un modelo de ransomware como servicio que involucra una combinación de desarrolladores principales y afiliados, que alquilan la carga útil y son responsables de identificar y atacar a instituciones víctimas de alto valor.
También emplea el esquema de doble extorsión para presionar a las víctimas para que paguen extrayendo datos confidenciales antes del cifrado. Con este acceso, el FBI supervisó silenciosamente la operación de ransomware durante meses mientras extraía claves de descifrado. Estas claves de descifrado permitieron al FBI ayudar a 500 víctimas a recuperar sus archivos de forma gratuita, ahorrando aproximadamente 68 millones de dólares en demandas de rescate.
“Los afiliados de BlackCat han obtenido acceso inicial a las redes de víctimas a través de varios métodos, incluido el aprovechamiento de credenciales de usuario comprometidas para obtener acceso inicial al sistema de víctimas”, dijo el Departamento de Justicia.
En total, se estima que el actor con motivación financiera comprometió las redes de más de 1.000 víctimas en todo el mundo para ganar cientos de millones de dólares en ingresos ilegales.
En todo caso, la caída <a href="https://thehackernews.com/2023/12/double-extortion-play-ransomware.html" rel="noreferrer noopener" target="_blank">ha demostrado ser una “bendición” para grupos rivales como LockBit</a>, que ya está capitalizando la situación <a href="https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-poaching-blackcat-noescape-affiliates/" rel="noreferrer noopener" target="_blank">reclutando activamente afiliados</a> desplazados y ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.
Fuente: <a href="https://thehackernews.com/2023/12/fbi-takes-down-blackcat-ransomware.html" target="_blank" rel="noreferrer noopener">THN</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/desmantelan-al-ransomware-blackcat-y-obtienen-algunas-de-las-claves-de-descifrado/6631/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6631</post-id> </item>
<item>
<title>LogoFAIL: ataque al firmware, que afecta a Windows y Linux</title>
<link>https://www.b1nary0.com.ar/logofail-ataque-al-firmware-que-afecta-a-windows-y-linux/6600/</link>
<comments>https://www.b1nary0.com.ar/logofail-ataque-al-firmware-que-afecta-a-windows-y-linux/6600/#respond</comments>
<dc:creator><![CDATA[b1nary0]]></dc:creator>
<pubDate>Wed, 13 Dec 2023 13:23:30 +0000</pubDate>
<category><![CDATA[0-day]]></category>
<category><![CDATA[bugs]]></category>
<category><![CDATA[linux]]></category>
<category><![CDATA[seguridad]]></category>
<category><![CDATA[windows]]></category>
<guid isPermaLink="false">https://www.b1nary0.com.ar/?p=6600</guid>
<description><![CDATA[Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema y que hacen más de una década que están allí. Un reporte de ArsTechnica detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de las computadoras. En el marco de la Conferencia Black Hat Europa 2023, los de investigadores de Binarly revelaron que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en sistemas Windows y Linux. LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque.…]]></description>
<content:encoded><![CDATA[
Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema y que hacen más de una década que están allí.
<div class="wp-block-image">
<figure class="aligncenter size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/logofail.png?ssl=1" rel="lightbox-0"><img loading="lazy" decoding="async" width="276" height="183" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/logofail.png?resize=276%2C183&ssl=1" alt="" class="wp-image-6602" data-recalc-dims="1"/></a></figure></div>

Un reporte de <a href="https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/">ArsTechnica</a> detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de las computadoras. En el marco de la Conferencia Black Hat Europa 2023, <a href="https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html">los de investigadores de Binarly revelaron</a> que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en sistemas Windows y Linux.
<figure class="wp-block-image size-full"><a href="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/3-steps-of-logofail.jpg?ssl=1" rel="lightbox-1"><img loading="lazy" decoding="async" width="640" height="791" src="https://i0.wp.com/www.b1nary0.com.ar/wp-content/uploads/2023/12/3-steps-of-logofail.jpg?resize=640%2C791&ssl=1" alt="" class="wp-image-6601" data-recalc-dims="1"/></a></figure>
LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender la computadora por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe (por ahora) ninguna solución de seguridad que pueda detenerlo.
Para sacar provecho, el atacante debe reemplazar primero la imagen del logotipo que se encuentra en la partición que almacena el cargador de arranque (bootloader). Al reiniciar el equipo, el archivo infectado ejecutará el código malicioso durante la fase del entorno de ejecución del controlador (DXE), que es donde se realiza la mayor parte de inicialización del sistema. Esto impide que pueda ser detectado por cualquier solución de seguridad del CPU o del sistema operativo. Una vez instalado, LogoFAIL crea un kit de arranque para permanecer en la computadora “para siempre” y sobrevive a cualquier formateo del disco.
<h3 class="wp-block-heading">Cómo eliminar LogoFAIL de Linux y Windows.</h3>
Debido a que LogoFAIL aprovecha <a href="https://hipertextual.com/2020/03/intel-vuelve-hacer-nuevo-fallo-pone-peligro-seguridad-sus-procesadores">las vulnerabilidades en la interfaz unificada de firmware extensible</a>, cualquier placa madre que utilice UEFI está en riesgo. “Estas vulnerabilidades están presentes en la mayoría de los casos dentro del código de referencia, lo que afecta no a un solo proveedor sino a todo el ecosistema de este código y a los proveedores de dispositivos donde se utiliza”, <a href="https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html">declaró Alex Matrosov</a>, director ejecutivo de Binarly.
Los investigadores efectuaron una demostración de LogoFAIL en una computadora Lenovo ThinkCentre M70s con procesador Intel y medidas de seguridad de hardware activadas.
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe title="Finding LogoFAIL: The Dangers of Image Parsing During System Boot" width="866" height="487" src="https://www.youtube.com/embed/EufeOPe6eqk?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>
Debido a que el exploit afecta a todos los sistemas Intel, AMD y ARM, es necesario esperar a un parche del fabricante. Algunos equipos Dell y las Mac con procesadores Intel son inmunes a cualquier ataque de LogoFAIL. Esto se debe a que cuentan con mecanismos de seguridad que impiden la sustitución de los logotipos UEFI.
Hasta el momento no existe evidencia de que algún atacante haya sacado provecho, aunque los investigadores dejan claro que no hay modo de saberlo. Un atacante habría modificado el logotipo de la computadora sin que el usuario se percate, puesto que las vulnerabilidades tienen más de una década.
Fuente: <a href="https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/" target="_blank" rel="noreferrer noopener">ARSTechnica</a>
]]></content:encoded>
<wfw:commentRss>https://www.b1nary0.com.ar/logofail-ataque-al-firmware-que-afecta-a-windows-y-linux/6600/feed/</wfw:commentRss>
<slash:comments>0</slash:comments>
<post-id xmlns="com-wordpress:feed-additions:1">6600</post-id> </item>
</channel>
</rss>

If you would like to create a banner that links to this page (i.e. this validation result), do the following:

Download the "valid RSS" banner.
Upload the image to your own server. (This step is important. Please do not link directly to the image on this server.)
Add this HTML to your page (change the image src attribute if necessary):

<a href="http://www.feedvalidator.org/check.cgi?url=https%3A//www.b1nary0.com.ar/%3Ffeed%3Drss2"><img src="valid-rss-rogers.png" alt="[Valid RSS]" title="Validate my RSS feed" /></a>

If you would like to create a text link instead, here is the URL you can use:

http://www.feedvalidator.org/check.cgi?url=https%3A//www.b1nary0.com.ar/%3Ffeed%3Drss2

Home · About · News · Docs · Terms