- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#312
Foro Libre / Re: Científicos demuestran que el cannabis "no solo provoca esquizofrenia" sino "tod
13 Julio 2018, 18:55 PM
Cada persona es un mundo diferente, yo lo tuve que dejar por problemas similares a los expuestos.
Ahora estoy la mar de contento y sin dependencias de ningún tipo de drogas.
Cada cual que mire los efectos negativos y los positivos y que deduzca por si solo.
Saludos.
Ahora estoy la mar de contento y sin dependencias de ningún tipo de drogas.
Cada cual que mire los efectos negativos y los positivos y que deduzca por si solo.
Saludos.
#313
Noticias / Paquete de javascript comprometido atrapado robando credenciales npm
13 Julio 2018, 10:35 AM
Un hacker ha obtenido acceso a la cuenta npm de un desarrollador e inyectado código malicioso en una popular biblioteca de javascript, código que fue diseñado para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos.
El paquete de javascript (npm) que se vio comprometido se llama eslint-scope, un submódulo del ESLint más famoso, un kit de herramientas de análisis de código javascript.
Hacker obtuvo acceso a la cuenta npm de un desarrollador
El ataque se realizó la noche del 11 al 12 de julio, según los resultados de una investigación preliminar publicada en GitHub hace unas horas.
"Uno de nuestros mantenedores observó que se generó una nueva ficha npm durante la noche (dicho mantenedor estaba dormido)", dijo Kevin Partington, miembro del proyecto ESLint.
Partington cree que el pirata informático usó el token npm recién generado para autenticar e insertar una nueva versión de la biblioteca eslint-scope en el repositorio npm de paquetes javascript.
La versión maliciosa fue eslint-scope 3.7.2, que los responsables del repositorio npm han desconectado recientemente.
El código malicioso roba las credenciales npm
"El código publicado parece robar credenciales npm, por lo que recomendamos que cualquiera que haya instalado esta versión cambie su contraseña npm y (si es posible) revoque sus tokens npm y genere nuevos," Partington recomienda a los desarrolladores que usaron esling-scope .
En un correo electrónico a Bleeping Computer, npm CTO C.J. Silverio puso el incidente en perspectiva.
"Determinamos que se podrían haber obtenido tokens de acceso para aproximadamente 4,500 cuentas antes de actuar para cerrar esta vulnerabilidad. Sin embargo, no hemos encontrado evidencia de que se hayan obtenido o usado tokens para acceder a ninguna cuenta de npmjs.com durante esta ventana", dijo Silverio. dijo.
"Como medida de precaución, npm ha revocado cada token de acceso que se había creado antes de las 2:30 p. M. UTC (7:30 a.m. hora de California) de hoy. Esta medida requiere que cada usuario registrado de npm se vuelva a autenticar en npmjs.com y genere nuevos tokens de acceso, pero aseguran que no hay forma de que la vulnerabilidad de esta mañana persista o se propague. Además, estamos llevando a cabo un análisis forense completo para confirmar que no se haya accedido ni utilizado ninguna otra cuenta para publicar código no autorizado.
"El incidente de esta mañana no ocurrió debido a una violación de npmjs.com, sino a causa de una violación en otro lugar que expuso las credenciales de npm de un editor. Para mitigar este riesgo, alentamos a cada usuario de npmjs.com a habilitar la autenticación de dos factores, con la cual el incidente de la mañana hubiera sido imposible ", agregó Silverio.
El desarrollador que tuvo el compromiso de su cuenta cambió su contraseña npm, habilitó la autenticación de dos factores y generó nuevos tokens para acceder a sus bibliotecas npm existentes.
El incidente es de gran importancia porque las credenciales de npm robadas se pueden usar de manera similar a lo que sucedió ahora. El hacker puede usar cualquiera de las credenciales de npm robadas para envenenar otras bibliotecas de javascript que están disponibles a través de npm - a.k.a. el Administrador de paquetes de nodo, el administrador de paquetes semioficial para el ecosistema de javascript.
Más información: https://www.bleepingcomputer.com/news/security/compromised-javascript-package-caught-stealing-npm-credentials/
Saludos.
El paquete de javascript (npm) que se vio comprometido se llama eslint-scope, un submódulo del ESLint más famoso, un kit de herramientas de análisis de código javascript.
Hacker obtuvo acceso a la cuenta npm de un desarrollador
El ataque se realizó la noche del 11 al 12 de julio, según los resultados de una investigación preliminar publicada en GitHub hace unas horas.
"Uno de nuestros mantenedores observó que se generó una nueva ficha npm durante la noche (dicho mantenedor estaba dormido)", dijo Kevin Partington, miembro del proyecto ESLint.
Partington cree que el pirata informático usó el token npm recién generado para autenticar e insertar una nueva versión de la biblioteca eslint-scope en el repositorio npm de paquetes javascript.
La versión maliciosa fue eslint-scope 3.7.2, que los responsables del repositorio npm han desconectado recientemente.
El código malicioso roba las credenciales npm
"El código publicado parece robar credenciales npm, por lo que recomendamos que cualquiera que haya instalado esta versión cambie su contraseña npm y (si es posible) revoque sus tokens npm y genere nuevos," Partington recomienda a los desarrolladores que usaron esling-scope .
En un correo electrónico a Bleeping Computer, npm CTO C.J. Silverio puso el incidente en perspectiva.
"Determinamos que se podrían haber obtenido tokens de acceso para aproximadamente 4,500 cuentas antes de actuar para cerrar esta vulnerabilidad. Sin embargo, no hemos encontrado evidencia de que se hayan obtenido o usado tokens para acceder a ninguna cuenta de npmjs.com durante esta ventana", dijo Silverio. dijo.
"Como medida de precaución, npm ha revocado cada token de acceso que se había creado antes de las 2:30 p. M. UTC (7:30 a.m. hora de California) de hoy. Esta medida requiere que cada usuario registrado de npm se vuelva a autenticar en npmjs.com y genere nuevos tokens de acceso, pero aseguran que no hay forma de que la vulnerabilidad de esta mañana persista o se propague. Además, estamos llevando a cabo un análisis forense completo para confirmar que no se haya accedido ni utilizado ninguna otra cuenta para publicar código no autorizado.
"El incidente de esta mañana no ocurrió debido a una violación de npmjs.com, sino a causa de una violación en otro lugar que expuso las credenciales de npm de un editor. Para mitigar este riesgo, alentamos a cada usuario de npmjs.com a habilitar la autenticación de dos factores, con la cual el incidente de la mañana hubiera sido imposible ", agregó Silverio.
El desarrollador que tuvo el compromiso de su cuenta cambió su contraseña npm, habilitó la autenticación de dos factores y generó nuevos tokens para acceder a sus bibliotecas npm existentes.
El incidente es de gran importancia porque las credenciales de npm robadas se pueden usar de manera similar a lo que sucedió ahora. El hacker puede usar cualquiera de las credenciales de npm robadas para envenenar otras bibliotecas de javascript que están disponibles a través de npm - a.k.a. el Administrador de paquetes de nodo, el administrador de paquetes semioficial para el ecosistema de javascript.
Más información: https://www.bleepingcomputer.com/news/security/compromised-javascript-package-caught-stealing-npm-credentials/
Saludos.
#314
Noticias / Cisco repara errores de alta gravedad en teléfonos VoIP
13 Julio 2018, 10:33 AM
Cisco también parchó tres fallas de seguridad media en sus ofertas de seguridad de red; y, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operadores móviles, StarOS.
Una gama de clientes empresariales podría verse afectada por una falla de seguridad de alta gravedad descubierta en los teléfonos VoIP de Cisco. El vendedor emitió un parche el miércoles.
Cisco también parchó hoy dos fallas de seguridad media en su plataforma de administración FireSIGHT para la seguridad de la red; y un problema de gravedad media en Web Security Appliance. Finalmente, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operador móvil, StarOS.
El más crítico de los defectos, CVE-2018-0341, permitiría la inyección de comandos y la ejecución remota de códigos en teléfonos IP, incluidos los modelos de gama más alta que tienen la funcionalidad de llamadas de video HD. El aviso dijo que gracias a la validación de entrada insuficiente, un usuario autenticado podría enviar comandos de shell especialmente diseñados a un campo de entrada de usuario específico utilizando la interfaz de usuario basada en web que se vincula a los teléfonos. Eso podría resultar en la capacidad de inyectar y ejecutar comandos de shell arbitrarios, abriendo la puerta para que los atacantes escuchen conversaciones, intercepten datos de medios sofisticados, realicen llamadas telefónicas y más.
La vulnerabilidad, encontrada internamente por el proveedor, afecta a los dispositivos de la serie IP Phone 6800, 7800 y 8800 que ejecutan una versión de firmware multiplataforma anterior a la versión 11.2 (1). Aún no se han visto exploits en la naturaleza, dijo Cisco, y el requisito de que un atacante inicie sesión en la interfaz de usuario para lanzar un ataque mitiga de alguna manera la gravedad del problema.
Cisco también envió soluciones para dos fallas de severidad media en el software del sistema Cisco FireSIGHT, que brinda administración centralizada para seguridad de red y funciones operativas para Cisco ASA con servicios FirePOWER y dispositivos de seguridad de red Cisco FirePOWER. Automáticamente agrega y correlaciona la información de amenazas cibernéticas para los usuarios comerciales.
El primer problema es una vulnerabilidad de omisión de políticas de archivos (CVE-2018-0383), que se encuentra en el motor de detección de FireSIGHT. Un atacante remoto no autenticado podría enviar una conexión FTP creada con fines malintencionados para transferir un archivo a un dispositivo afectado; ese archivo podría contener malware creado para desactivar los mecanismos de detección en el sistema o llevar a cabo otras acciones nefastas.
Más información: https://threatpost.com/cisco-patches-high-severity-bug-in-voip-phones/133905/
Saludos.
Una gama de clientes empresariales podría verse afectada por una falla de seguridad de alta gravedad descubierta en los teléfonos VoIP de Cisco. El vendedor emitió un parche el miércoles.
Cisco también parchó hoy dos fallas de seguridad media en su plataforma de administración FireSIGHT para la seguridad de la red; y un problema de gravedad media en Web Security Appliance. Finalmente, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operador móvil, StarOS.
El más crítico de los defectos, CVE-2018-0341, permitiría la inyección de comandos y la ejecución remota de códigos en teléfonos IP, incluidos los modelos de gama más alta que tienen la funcionalidad de llamadas de video HD. El aviso dijo que gracias a la validación de entrada insuficiente, un usuario autenticado podría enviar comandos de shell especialmente diseñados a un campo de entrada de usuario específico utilizando la interfaz de usuario basada en web que se vincula a los teléfonos. Eso podría resultar en la capacidad de inyectar y ejecutar comandos de shell arbitrarios, abriendo la puerta para que los atacantes escuchen conversaciones, intercepten datos de medios sofisticados, realicen llamadas telefónicas y más.
La vulnerabilidad, encontrada internamente por el proveedor, afecta a los dispositivos de la serie IP Phone 6800, 7800 y 8800 que ejecutan una versión de firmware multiplataforma anterior a la versión 11.2 (1). Aún no se han visto exploits en la naturaleza, dijo Cisco, y el requisito de que un atacante inicie sesión en la interfaz de usuario para lanzar un ataque mitiga de alguna manera la gravedad del problema.
Cisco también envió soluciones para dos fallas de severidad media en el software del sistema Cisco FireSIGHT, que brinda administración centralizada para seguridad de red y funciones operativas para Cisco ASA con servicios FirePOWER y dispositivos de seguridad de red Cisco FirePOWER. Automáticamente agrega y correlaciona la información de amenazas cibernéticas para los usuarios comerciales.
El primer problema es una vulnerabilidad de omisión de políticas de archivos (CVE-2018-0383), que se encuentra en el motor de detección de FireSIGHT. Un atacante remoto no autenticado podría enviar una conexión FTP creada con fines malintencionados para transferir un archivo a un dispositivo afectado; ese archivo podría contener malware creado para desactivar los mecanismos de detección en el sistema o llevar a cabo otras acciones nefastas.
Más información: https://threatpost.com/cisco-patches-high-severity-bug-in-voip-phones/133905/
Saludos.
#315
Noticias / Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básico
13 Julio 2018, 10:30 AM
Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos
Las operaciones de seguridad de hoy en día se asemejan a un "¿Dónde está Wally?" a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la "mutabilidad de Wally": el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a "nuestro Wally".
Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.
Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.
En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).
Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).
Un EDR ofrece:
Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.
Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.
Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.).
Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular "Wally".
Más información: http://blog.elevenpaths.com/2018/07/deteccion-respuesta-ciberinteligencia.html
Saludos.
Las operaciones de seguridad de hoy en día se asemejan a un "¿Dónde está Wally?" a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la "mutabilidad de Wally": el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a "nuestro Wally".
Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.
Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.
En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).
Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).
Un EDR ofrece:
Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.
Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.
Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.).
Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular "Wally".
Más información: http://blog.elevenpaths.com/2018/07/deteccion-respuesta-ciberinteligencia.html
Saludos.
#316
Análisis y Diseño de Malware / Armar la vulnerabilidad de ejecución de código AppleKari WebKit (CVE-2018-4192)
12 Julio 2018, 20:44 PM
Armar la vulnerabilidad de ejecución de código AppleKari WebKit (CVE-2018-4192) en el navegador web Safari desde un solo clic de una víctima desprevenida
Más información: http://blog.ret2.io/2018/07/11/pwn2own-2018-jsc-exploit/
Saludos.
Más información: http://blog.ret2.io/2018/07/11/pwn2own-2018-jsc-exploit/
Saludos.
#317
Noticias / Tus recuerdos en las redes sociales pueden haber sido comprometidos
12 Julio 2018, 20:19 PM
¿Recuerdas Timehop, la aplicación de "nostalgia digital"?
No, ni nosotros, pero la compañía todavía tiene una base de datos de aproximadamente 21,000,000 de usuarios que le han dado permiso a la aplicación para revisar sus fotos digitales y publicaciones en las redes sociales, incluso si ya no usan activamente el servicio Timehop.
La idea es que la aplicación se convierta todos los días en un aniversario, recordándole lo que estaba haciendo en este día del año pasado, hace tres años, hace cinco años, y así sucesivamente.
La aplicación fue brevemente popular hace unos años, antes de que Facebook construyera una función similar, conocida como On This Day, en su propia red social.
La buena noticia es que una aplicación de terceros como Timehop no puede funcionar sin su permiso.
La aplicación Timehop debe ser autorizada por usted y provista con claves criptográficas (conocidas en la jerga como tokens de acceso) para acceder a los diversos servicios en línea desde donde desea que raspe fotos y publicaciones.
Los tokens de este tipo de acceso por usuario y por servicio son una gran idea (en particular, este sistema significa que nunca tendrá que compartir sus contraseñas reales con un tercero), siempre y cuando la compañía que tenga los tokens no permita que los ladrones se desvíen y robarlos.
La mala noticia es que Timehop acaba de anunciar una violación de datos.
El 4 de julio de 2018, Timehop experimentó una intrusión en la red que provocó la violación de algunos de sus datos. Nos enteramos de la infracción mientras todavía estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Mientras continúa nuestra investigación sobre este incidente (y la posibilidad de que ocurran otros anteriores), estamos escribiendo para proporcionar a nuestros usuarios y socios toda la información relevante lo más rápido posible.
Timehop dice que la siguiente información fue robada:
Acceda a tokens a sus redes sociales y servicios de fotos en línea. (Todos los 21,000,000 usuarios afectados)
Cualquiera o todos sus nombres de registro, dirección de correo electrónico y número de teléfono. (No todos los usuarios completaron todos estos campos. Por ejemplo, solo 4.7 millones de usuarios, menos de una cuarta parte, entregaron sus números de teléfono).
Timehop ya ha invalidado todos los tokens de acceso que tenía en el archivo, desconectando de manera efectiva cada cuenta de Timehop de cada servicio y evitando que se haga más daño.
Si usted es un usuario de Timehop y desea que la aplicación siga funcionando, deberá volver a conectarla a los diversos servicios que elija.
La compañía dice que no hay evidencia de que ninguno de los datos robados haya sido utilizado con fines delictivos, aunque, por supuesto, cualquier dirección de correo electrónico y número de teléfono robados podrían ser objeto de abuso en el futuro, arrojados en línea gratis o vendidos a otros ladrones a su debido tiempo. curso.
Más información: https://nakedsecurity.sophos.com/2018/07/09/your-social-media-memories-may-have-been-compromised/
Saludos.
No, ni nosotros, pero la compañía todavía tiene una base de datos de aproximadamente 21,000,000 de usuarios que le han dado permiso a la aplicación para revisar sus fotos digitales y publicaciones en las redes sociales, incluso si ya no usan activamente el servicio Timehop.
La idea es que la aplicación se convierta todos los días en un aniversario, recordándole lo que estaba haciendo en este día del año pasado, hace tres años, hace cinco años, y así sucesivamente.
La aplicación fue brevemente popular hace unos años, antes de que Facebook construyera una función similar, conocida como On This Day, en su propia red social.
La buena noticia es que una aplicación de terceros como Timehop no puede funcionar sin su permiso.
La aplicación Timehop debe ser autorizada por usted y provista con claves criptográficas (conocidas en la jerga como tokens de acceso) para acceder a los diversos servicios en línea desde donde desea que raspe fotos y publicaciones.
Los tokens de este tipo de acceso por usuario y por servicio son una gran idea (en particular, este sistema significa que nunca tendrá que compartir sus contraseñas reales con un tercero), siempre y cuando la compañía que tenga los tokens no permita que los ladrones se desvíen y robarlos.
La mala noticia es que Timehop acaba de anunciar una violación de datos.
El 4 de julio de 2018, Timehop experimentó una intrusión en la red que provocó la violación de algunos de sus datos. Nos enteramos de la infracción mientras todavía estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Mientras continúa nuestra investigación sobre este incidente (y la posibilidad de que ocurran otros anteriores), estamos escribiendo para proporcionar a nuestros usuarios y socios toda la información relevante lo más rápido posible.
Timehop dice que la siguiente información fue robada:
Acceda a tokens a sus redes sociales y servicios de fotos en línea. (Todos los 21,000,000 usuarios afectados)
Cualquiera o todos sus nombres de registro, dirección de correo electrónico y número de teléfono. (No todos los usuarios completaron todos estos campos. Por ejemplo, solo 4.7 millones de usuarios, menos de una cuarta parte, entregaron sus números de teléfono).
Timehop ya ha invalidado todos los tokens de acceso que tenía en el archivo, desconectando de manera efectiva cada cuenta de Timehop de cada servicio y evitando que se haga más daño.
Si usted es un usuario de Timehop y desea que la aplicación siga funcionando, deberá volver a conectarla a los diversos servicios que elija.
La compañía dice que no hay evidencia de que ninguno de los datos robados haya sido utilizado con fines delictivos, aunque, por supuesto, cualquier dirección de correo electrónico y número de teléfono robados podrían ser objeto de abuso en el futuro, arrojados en línea gratis o vendidos a otros ladrones a su debido tiempo. curso.
Más información: https://nakedsecurity.sophos.com/2018/07/09/your-social-media-memories-may-have-been-compromised/
Saludos.
#318
Noticias / ElevenPaths adquiere Dinoflux para reforzar las capacidades de detección y respu
12 Julio 2018, 20:15 PM
En el último Security Day, celebrado el pasado 30 de mayo, ElevenPaths anunció la adquisición de una nueva start-up del sector: Dinoflux. El "dino" es una herramienta de ciberseguridad que genera inteligencia para combatir las diferentes amenazas de malware actuales.
Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.
Más información: http://blog.elevenpaths.com/2018/07/elevenpaths-adquiere-dinoflux-malware-ciberseguridad.html
Saludos.
Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.
Más información: http://blog.elevenpaths.com/2018/07/elevenpaths-adquiere-dinoflux-malware-ciberseguridad.html
Saludos.
#319
Noticias / Sitio popular de software pirateado para redirigir a los usuarios a Keylogger, I
12 Julio 2018, 20:13 PM
Los piratas informáticos han violado el sitio web de VSDC, una popular empresa que ofrece software gratuito de edición y conversión de audio y video.
Se han registrado tres incidentes diferentes durante los cuales los piratas informáticos modificaron los enlaces de descarga en el sitio web de VSDC con enlaces que iniciaron descargas desde los servidores operados por los atacantes.
A continuación se muestra una línea de tiempo de los hacks y los swaps de enlaces, según la firma china de seguridad Qihoo 360 Total Security, cuyos expertos detectaron los secuestros la semana pasada.
Primer hack: 18 de junio
Enlace de descarga intercambiado con: hxxp: //5.79.100.218/_files/file.php
Segundo hack: 2 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Tercer hack: 6 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Los expertos de Qihoo dijeron que el primer y el tercer secuestro fueron los que afectaron a la mayoría de los usuarios.
Usuarios infectados con tres cepas de malware diferentes
Los usuarios que descargaron el software VSDC en esos días han sido infectados con tres cepas de malware diferentes. Qihoo dice que las víctimas recibieron un archivo javascript disfrazado como software VSDC. Este archivo descargaría un script de PowerShell, que, a su vez, descargaría otros tres archivos: infostealer, keylogger y un troyano de acceso remoto (RAT).
Infostealer es capaz de recuperar contraseñas de cuenta de Telegram, contraseñas de cuenta de Steam, chats de Skype, datos de monedero Electrum, y también puede tomar capturas de pantalla de la PC de la víctima. Todos los datos recopilados se cargan en el servidor de un atacante en system-check.xyz
El keylogger no tiene nada de especial, recolecta las pulsaciones de teclas y las carga en wqaz.site.
Qihoo describe el tercer archivo como un módulo VNC que otorga al atacante control sobre la PC de un usuario infectado. Pero aunque Qihoo no identificó específicamente este malware, Ivan Korolev, un investigador de seguridad con Dr.Web, dice que el archivo era una versión de DarkVNC, una RAT menos conocida.
Más información: https://www.bleepingcomputer.com/news/security/popular-software-site-hacked-to-redirect-users-to-keylogger-infostealer-more/
Saludos.
Se han registrado tres incidentes diferentes durante los cuales los piratas informáticos modificaron los enlaces de descarga en el sitio web de VSDC con enlaces que iniciaron descargas desde los servidores operados por los atacantes.
A continuación se muestra una línea de tiempo de los hacks y los swaps de enlaces, según la firma china de seguridad Qihoo 360 Total Security, cuyos expertos detectaron los secuestros la semana pasada.
Primer hack: 18 de junio
Enlace de descarga intercambiado con: hxxp: //5.79.100.218/_files/file.php
Segundo hack: 2 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Tercer hack: 6 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Los expertos de Qihoo dijeron que el primer y el tercer secuestro fueron los que afectaron a la mayoría de los usuarios.
Usuarios infectados con tres cepas de malware diferentes
Los usuarios que descargaron el software VSDC en esos días han sido infectados con tres cepas de malware diferentes. Qihoo dice que las víctimas recibieron un archivo javascript disfrazado como software VSDC. Este archivo descargaría un script de PowerShell, que, a su vez, descargaría otros tres archivos: infostealer, keylogger y un troyano de acceso remoto (RAT).
Infostealer es capaz de recuperar contraseñas de cuenta de Telegram, contraseñas de cuenta de Steam, chats de Skype, datos de monedero Electrum, y también puede tomar capturas de pantalla de la PC de la víctima. Todos los datos recopilados se cargan en el servidor de un atacante en system-check.xyz
El keylogger no tiene nada de especial, recolecta las pulsaciones de teclas y las carga en wqaz.site.
Qihoo describe el tercer archivo como un módulo VNC que otorga al atacante control sobre la PC de un usuario infectado. Pero aunque Qihoo no identificó específicamente este malware, Ivan Korolev, un investigador de seguridad con Dr.Web, dice que el archivo era una versión de DarkVNC, una RAT menos conocida.
Más información: https://www.bleepingcomputer.com/news/security/popular-software-site-hacked-to-redirect-users-to-keylogger-infostealer-more/
Saludos.
#320
GNU/Linux / Filesystem Sandbox for Linux – FSSB
12 Julio 2018, 20:09 PM
En muchas ocasiones, necesitamos un sandbox (caja de arena) de nuestro sistema de ficheros, para poder analizar qué ficheros crea, lee o modifica una determinada aplicación o herramienta.
Esto es muy útil para poder realizar diferentes pruebas, en un entorno seguro. De esta manera, podemos analizar desde aplicaciones en las que estemos trabajando, hasta herramientas que hayamos descargado, siendo muy amplio el abanico de posibilidades que nos ofrece.
En Linux, tenemos multitud de formas de hacer esto. Una herramieta, que aún estando en estado Alpha, promete bastante, es FSSB (https://github.com/adtac/fssb). Utiliza un mecanismo bastante curioso:
Primero, intercepta las llamadas al sistema para la apertura, creación, modificación, renombrado, y borrado de ficheros.
Detiene la ejecución del binario en cuestión, crea el fichero en un contenedor (crea un directorio en /tmp por cada ejecución)
Devuelve el control al binario, haciéndole ver que, el fichero que intentaba crear, modificar, abrir, etc. es ese.
Una vez que el binario termina su ejecución, en el contenedor creado, tendremos los diferentes ficheros que ha creado la herramienta. Además, dado que los nombres son aleatorios, tendremos otro con un mapeo de los mismos.
Para instalarlo, en el caso de distribuciones basadas en Debian, bastará con disponer de OpenSSL en el sistema. Necesitaremos instalar libssl-dev. En otros sistemas, en principio, con instalar el paquete correspondiente para disponer de las cabeceras y demás de OpenSSL para C, debería ser suficiente.
Hecho esto, bastará clonar el repositorio y compilar el binario:
Una vez compilado, su utilización es muy sencilla. Por ejemplo:
Dispone de varias opciones, que podemos consultar con ./fssb -h:
-d <nombre_fichero> Con esta opción nos va a crear un fichero que contendrá todas las llamadas al sistema que ha realizado el binario.
-o <nombre_fichero> Para grabar la salidas del propio fssb en un fichero.
-r Elimina los ficheros temporales creados al finalizar.
-m Imprime el contenido del fichero con el mapeo realizado.
Un ejemplo de uso:
Primero creamos un archivo, por ejemplo "programa.py", con el siguiente contenido:
Puede observarse que es un pequeño programa en python que crea un fichero llamado prueba en el directorio actual y, después, lo abre e imprime el contenido. Al ejecutar programa.py, la salida sería:
Podemos comprobar que ha creado un archivo:
Ejecutamos fssb:
Podemos comprobar que no hay ningún fichero creado:
El archivo se ha creado en un directorio temporal:
Aún le faltan muchas llamadas al sistema por implementar y portarlo a otras arquitecturas (sólo está disponible para x86_64, por ahora). Aún así, me ha resultado muy interesante la forma que han tenido de resolver el sandbox. Veamos cómo evoluciona el proyecto.
Saludos.
Esto es muy útil para poder realizar diferentes pruebas, en un entorno seguro. De esta manera, podemos analizar desde aplicaciones en las que estemos trabajando, hasta herramientas que hayamos descargado, siendo muy amplio el abanico de posibilidades que nos ofrece.
En Linux, tenemos multitud de formas de hacer esto. Una herramieta, que aún estando en estado Alpha, promete bastante, es FSSB (https://github.com/adtac/fssb). Utiliza un mecanismo bastante curioso:
Primero, intercepta las llamadas al sistema para la apertura, creación, modificación, renombrado, y borrado de ficheros.
Detiene la ejecución del binario en cuestión, crea el fichero en un contenedor (crea un directorio en /tmp por cada ejecución)
Devuelve el control al binario, haciéndole ver que, el fichero que intentaba crear, modificar, abrir, etc. es ese.
Una vez que el binario termina su ejecución, en el contenedor creado, tendremos los diferentes ficheros que ha creado la herramienta. Además, dado que los nombres son aleatorios, tendremos otro con un mapeo de los mismos.
Para instalarlo, en el caso de distribuciones basadas en Debian, bastará con disponer de OpenSSL en el sistema. Necesitaremos instalar libssl-dev. En otros sistemas, en principio, con instalar el paquete correspondiente para disponer de las cabeceras y demás de OpenSSL para C, debería ser suficiente.
Hecho esto, bastará clonar el repositorio y compilar el binario:
Código [Seleccionar]
git clone https://github.com/adtac/fssb
cd fssb
makeUna vez compilado, su utilización es muy sencilla. Por ejemplo:
Código [Seleccionar]
./fssb -m -- binarioDispone de varias opciones, que podemos consultar con ./fssb -h:
-d <nombre_fichero> Con esta opción nos va a crear un fichero que contendrá todas las llamadas al sistema que ha realizado el binario.
-o <nombre_fichero> Para grabar la salidas del propio fssb en un fichero.
-r Elimina los ficheros temporales creados al finalizar.
-m Imprime el contenido del fichero con el mapeo realizado.
Un ejemplo de uso:
Primero creamos un archivo, por ejemplo "programa.py", con el siguiente contenido:
Código [Seleccionar]
with open("prueba", "w") as f:
f.write("Feliz Martes!")
with open("prueba", "r") as f:
print(f.read())Puede observarse que es un pequeño programa en python que crea un fichero llamado prueba en el directorio actual y, después, lo abre e imprime el contenido. Al ejecutar programa.py, la salida sería:
Código [Seleccionar]
$ python programa.py
Feliz Martes!Podemos comprobar que ha creado un archivo:
Código [Seleccionar]
$ cat prueba
Feliz Martes!Ejecutamos fssb:
Código [Seleccionar]
$ ./fssb -m -- python programa.py
Feliz Martes!
fssb: child exited with 0
fssb: sandbox directory: /tmp/fssb-1
+ 25fa8325e4e0eb8180445e42558e60bd = pruebaPodemos comprobar que no hay ningún fichero creado:
Código [Seleccionar]
$ cat prueba
cat: prueba: No such file or directoryEl archivo se ha creado en un directorio temporal:
Código [Seleccionar]
$ cat /tmp/fssb-1/25fa8325e4e0eb8180445e42558e60bd
Feliz Martes!Aún le faltan muchas llamadas al sistema por implementar y portarlo a otras arquitecturas (sólo está disponible para x86_64, por ahora). Aún así, me ha resultado muy interesante la forma que han tenido de resolver el sandbox. Veamos cómo evoluciona el proyecto.
Saludos.