Archivo de etiquetas VPN

León Ramos PorLeón Ramos

41 – Facebook quería software espía de la NSO

Emisión 41

  1. Estafan a adultos mayores con supuestos apoyos del gobierno mexicano
  2. Las amenazas en Zoom.
  3. Gran aumento en el número de ataques a infraestructuras
  4. ¿Las redes 5G están relacionadas con el coronavirus?
  5. ¿Eres una Pyme y no sabes cómo usar una VPN? Aquí te decimos cómo.
  6. Facebook quería software espía de NSO para monitorear a los usuarios, afirma el CEO de NSO

 

Por favor tengan mucho cuidado porque a través de Whatsapp están corriendo links y audios de estafadores quienes pretenden obtener información personal y financiera de las personas mayores bajo la promesa de que les darán un apoyo económico que partirá de los 400 mil millones de pesos que tiene como reserva el gobierno mexicano.

Bajo el tema “Apoyo del gobierno mexicano para que te quedes en casa” prometían dar aproximadamente 2 mil pesos mensuales durante tres meses e indicaba que debíamos darle click a la página de bienestar.gob.mx que llevaba a un formulario para que pusieras tu CURP, nombre, grupo étnico, teléfono, correo electrónico, fecha y lugar de nacimiento, etc. Una vez que el usuario ingresa estos datos, debe esperar a que le llamen para ver si es candidato o candidata a recibir esta ayuda.

La persona corrobora los datos, piden datos de más familiares, preguntan su hay más familiares que ya reciben alguna ayuda del gobierno. Ellos dicen que la ayuda no es en efectivo, sino que será a través de la tarjeta de Bienestar… no entiendo cómo pretenden darle una supuesta prioridad a quienes no están en el programa si les van a pagar a través de los mismos monederos electrónicos.

Una vez que das todos tus datos te piden enviar documentos como acta de nacimiento, comprobante de domicilio, comprobante de ingreso, la portada de tu estado de cuenta, comprobantes de nómina, CURP, INE de todos los familiares y sólo así recibirán un código de registro. Ellos se amparan en que estos documentos no se pueden llevar a sus oficinas porque no están operando debido a la contingencia sanitaria. Después de 5 días hábiles prometen hacer el depósito.

Tanto los correos que envían tiene todos los logotipos del Gobierno de México y Bienestar. Este tipo de mensajes piden que antes de 24 horas se manden los documentos, de lo contrario la solicitud quedará anulada. Esto es un signo inequívoco de phishing. Aseguran que la lista de espera es muy larga y como hay pocos servidores públicos trabajando tienen que acelerar el trámite, motivo por el cual quien pretenda acceder a este apoyo deberá depositar 500 pesos para pagar los gastos de envío de la tarjeta que llegará su domicilio, pues para que no salga. Les dan un número de cuenta del BANAMEX. Estas cuentas son Saldazo normalmente.

Ver video acá


Se acaba de acuñar una nuevo término: El Zoom-bombing. Consiste en personas anónimas que acceden a cuartos de conferencia y se desnudan o agreden con discurso de odio a quien encuentran en la misma conferencia. El CEO de Zoom Eric Yuan, comenta que no estaban preparados para un crecimiento en uso tan masivo como el que tienen ahora pero que están reforzando las medidas de seguridad para proteger a sus usuarios.

Así que ya saben, si crean un meeting público, no posteen la liga de acceso en redes sociales. Otra opción es configurar tus meetings como privadas para que les pida contraseña a los que ingresen. También como organizador acuérdate que puedes configurar un meeting para que sólo el anfitrión pueda compartir pantalla.

Además como mucha gente lo está usando, pues se ha vuelto el objeto de estudio tanto de hackers como de asesores de seguridad. Patrick Wardle, un excolaborador de la NSA, publicó en su blog objective-see.com, dos zero-days que podrían utilizar zoom para darle acceso completo a tu equipo a un atacante. Estos Zero-days fueron publicados el primero de abril pero para el dos de abril ya se encontraba una nueva versión: 4.6.9 que ya resuelve ambos problemas.

Por otro lado zoom genera un directorio de asistentes que participan en una conferencia y que luego los propios asistentes pueden usar para marcarse entre sí. Esto es completamente funcional en una conferencia corporativa, pero cuando te estás conectando a un meeting con extraños para divertirte deja de ser un feature y se convierte en una fuga de información.

Según Casey Newton en su artículo en The Verge, otro problema con Zoom radica en la encripción. En realidad la encripción prometida es punto a punto, sin embargo, la encripción sólo es en realidad de medios y todas las conversaciones o meetings pueden ser vistas por Zoom mismo ya que está en medio de las conversaciones. Piénselo como un man in the middle.


La compañía AMD señaló que un pirata informático obtuvo archivos de origen para algunas de sus GPU actuales y futuras, incluidos detalles sobre la Serie X de Xbox.
«En diciembre de 2019, nos contactó alguien que afirmó tener archivos de prueba relacionados con un subconjunto de nuestros actuales y futuros productos gráficos, algunos de los cuales se publicaron recientemente en línea, pero desde entonces han sido retirados «, señaló un portavoz de AMD en un comunicado.
La firma AMD presentó múltiples avisos de eliminación a GitHub, propiedad de Microsoft, donde los repositorios alojaban el código fuente robado de la GPU Navi.
TorrentFreak informa que el código incluía detalles para las GPU Navi 10, Navi 21 y Arden de AMD, y los avisos de eliminación de GitHub dicen que incluía propiedad intelectual » robada de AMD».

Se cree que la GPU Arden de AMD es el nombre en clave de lo que se usa en la consola Xbox Series X de próxima generación de Microsoft. Algunos detalles previamente filtrados en diciembre sobre Arden, relacionados con los archivos de prueba que también se publicaron en GitHub.


Gran aumento en el número de ataques a infraestructuras. Servidores Microsoft SQL con credenciales de acceso débiles están siendo blanco de ataques que instalan backdoors, malware y mineros. Investigadores han descubierto que han sido comprometidos de 2,000 a 3,000 servidores como parte de una campaña llamada Vollgar. La compañía Guardicore ha lanzado un script para ayudar a los administradores a detectar cuantos y cuales de sus servidores han sido comprometidos. https://github.com/guardicore/labs_campaigns/tree/master/Vollgar. Los servidores Microsoft SQL no son los únicos que están bajo ataque en estos dias, existe otra campaña enfocada a sistemas Docker a través del malware Kinsing que escanea los puertos abiertos de la API que interactúa con el Docker Engine en busca de malas configuraciones para minar criptomonedas El patrón de ataque comienza con los atacantes que identifican un puerto API de Docker mal configurado que se ha dejado abierto a Internet. Luego acceden a ese puerto abierto y a la instancia de Docker conectada, y ejecutan un contenedor de Ubuntu falso. El contenedor emite un comando que recupera el malware Kinsing, que a su vez descarga y ejecuta un cryptominer. En la etapa final de la infección, Kinsing intenta propagarse a otros contenedores y hosts.



¿Las redes 5G están relacionadas con el coronavirus?

Sí, suena a una de esas pláticas de gorro de aluminio que tanto te gustan León, pero algo serio está pasando con la teorías de la conspiración relacionadas con la implementación de tecnologías 5G y el coronavirus… tanto así que en el Reino Unido se han quemado varias antenas de las ciudades de Liverpool, Melling, Birmingham y Aigburth, de acuerdo a un reporte de BBC: Existen varios videos en youtube que relacionan los altos niveles de radiación que emite con el aumento de la temperatura corporal, lo que baja las defensas y hace a los humanos más vulnerables ante las enfermedades.

La Organización Mundial de la Salud y el gobierno británico ya salió a desmentir estas teorías amparándose en que no existen estudios serios que avalen esta teoría.

En México, una de las promotoras de esta idea fue la actriz Patricia Navidad quien publicó en Twitter algunos mensajes como “ El último gran salto electromagnético ha sido el de las ondas 5G, seis meses antes de que se iniciara la epidemia del CORONAVIRUS.¿Por qué se les llama infecciones «virales»? Porque las personas son envenenadas y, por ello, expulsan toxinas que son equivalentes a virus patógenos”

Por otra parte YouTube está comenzando a bloquear videos que compartan esta teoría … ¿Qué tal eh? Todo indica que la lucha en contra de las noticias falsas se está tomando un curso muy definitivo y de un solo lado, porque tenemos que recordar que de esta misma manera bajó los videos de el Presidente de Brasil, Jair Bolsonaro quien hablaba de no seguir las medidas de seguridad ante la pandemia del coronavirus…


Con éstos días llenos de trabajo desde casa, se escuchan una y otra vez frases como: “Es que no tengo instalada la VPN en mi lap”, “Es que se cayó la VPN y no puedo entrar a la oficina”, “Compre ahora su concentrador de VPNs y continúe trabajando desde casa”. ¿Pero qué significa una VPN y cómo se usa?

En esta emisión quiero hablar de tres esquemas de VPN sencillos que pueden ser de utilidad para una Pyme. Para los computólogos que nos escuchan esto puede sonarles muy básico pero rolen este podcast a las empresas o a sus amigos que les hagan ésta pregunta que de seguro se las están haciendo una y otra vez estos días.

¿Qué es una VPN? La VPN significa Virtual Private Network o en español Red Privada Virtual. Y prácticamente lo que hace es que el tráfico de un punto sea encriptado y asegurado para hacerlo llegar a otro punto. Entonces casi todas las tecnologías VPN buscan evitar que nadie más pueda leer la información que envías de un lado a otro. Además, una VPN te da la sensación de que estás en la misma red que otros dispositivos firmados si así la configuras.

Una VPN para tu oficina. Si tienes un enlace con una ip pública dinámica (Telmex) o una IP pública homologada, como le dicen algunos proveedores, y tienes un servidor o un equipo con información en tu oficina a la que quieras acceder desde casa. Instalar un servidor o equipo VPN es muy viable. Se tienen que abrir algunos puertos en el firewall y puedes comprar un equipo sin renta mensual adicional. Sólo lo que te cueste el servidor. También es ideal si tienes un conmutador IP en tus oficinas y deseas arrancar el teléfono de tu escritorio y llevártelo a tu casa. (Aquí hay que validar la compatibilidad de tus teléfonos IP, pero aunque las llamadas se pueden cortar un poco, puedes contestar tu número de oficina de CDMX desde cualquier parte del mundo donde estés pasando la cuarentena.) La ventaja es que compras un equipo y no pagas una renta. La desventaja es que todos los que se conectan a esa VPN comparten el enlace de internet de tu oficina para bajar o subir información, así que puede sentirse algo lento.

Si en tu oficina no tienes IP pública o no te interesa abrir puertos en tu modem, simplemente debemos de mover el servidor de lugar. En este caso podrías rentar un servidor en alguna nube y convertirlo en el concentrador VPN. Acá hay que configurar los clientes VPN en los equipos que quieras enlazar entre sí y listo. La ventaja es que no importa qué internet tengas en tu oficina. La desventaja es que adquieres una renta mensual y tu información viaja siempre a la nube del servidor añadiendo un poco de retraso.

Una VPN para disfrazar tu ubicación. Los dos escenarios anteriores tienen el propósito de enlazar tu oficina con los empleados haciendo homeoffice, sin embargo, este último escenario es distinto y lo usan mucho los gamers. El propósito es hacerle creer a quienes revisan el tráfico y la geoubicación por IP que te encuentras en otro lugar del mundo. Es muy útil para usar servicios de Internet disponibles únicamente en ciertas regiones del mundo, también para saltarte restricciones aplicadas en tu entorno y por último para confundir a quienes quieren ubicarte en todo momento. Acá el servicio se paga mensualmente y puede incrementarse con cada dispositivo o volumen de navegación que envíes por ese túnel.


Facebook quería software espía de NSO para monitorear a los usuarios, afirma el CEO de NSO. Los representantes de Facebook se acercaron al controvertido proveedor de vigilancia NSO Group para intentar comprar una herramienta que podría ayudar a Facebook a monitorear mejor un subconjunto de sus usuarios. Facebook actualmente está demandando a NSO por cómo la empresa de hacking aprovechó una vulnerabilidad en WhatsApp para ayudar a los gobiernos a espiar a los usuarios. Según una declaración del CEO de NSO, Shalev Hulio, dos representantes de Facebook se acercaron a NSO en octubre de 2017 y le pidieron que comprara el derecho de usar ciertas capacidades de Pegasus. En ese momento, Facebook se encontraba en las primeras etapas de implementación de un producto VPN llamado Onavo Protect, que, sin que lo supieran algunos usuarios, analizó el tráfico web de los usuarios que lo descargaron para ver qué otras aplicaciones estaban usando. Según los documentos de la corte, parece que los representantes de Facebook no estaban interesados en comprar partes de Pegasus como una herramienta de hackeo para entrar de forma remota en los teléfonos, sino más bien como una forma de monitorear de manera más efectiva los teléfonos de los usuarios que ya habían instalado Onavo. «Los representantes de Facebook declararon que a Facebook le preocupaba que su método para recopilar datos de los usuarios a través de Onavo Protect fuera menos efectivo en dispositivos Apple que en dispositivos Android», se lee en la presentación judicial. «Los representantes de Facebook también declararon que Facebook quería usar las capacidades supuestas de Pegasus para monitorear a los usuarios en dispositivos Apple y estaban dispuestos a pagar por la capacidad de monitorear a los usuarios de Onavo Protect». «NSO está tratando de distraerse de los hechos que Facebook y WhatsApp presentaron ante el tribunal hace más de seis meses. Su intento de evitar la responsabilidad incluye representaciones inexactas sobre su spyware y una discusión con las personas que trabajan en Facebook. Nuestra demanda describe cómo NSO es responsable de atacando a más de 100 activistas de derechos humanos y periodistas en todo el mundo. El CEO de NSO, Shalev Hulio, admitió que su compañía puede atacar dispositivos sin que un usuario lo sepa y puede ver quién ha sido blanco de Pegasus. Esperamos probar nuestro caso contra NSO en los tribunales y buscando responsabilidad por sus acciones «, decía la declaración de un portavoz de Facebook.


Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

León @fulvous
Hiram @hiramcoop
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

37 – Si tu hijo usa Kali Linux deberás denunciarlo a las autoridades, dice el Reino Unido

Emisión 37

  1. No importa cuántas veces resetees tu celular, este malware volverá y volverá y volverá…
  2. Si tu hijo usa Kali Linux deberás denunciarlo a las autoridades, dice el Reino Unido
  3. Soldados israelíes fueron engañados para instalar malware en sus teléfonos por agentes de Hamas quienes se hacían pasar por mujeres
  4. Los ataques de Phising a PayPal buscan obtener algo más que tu información para hacer login
  5. HP puede bloquear tus cartuchos si no pagas una suscripción
  6. Hackers iraníes han estado hackeando servidores VPN para plantar puertas traseras en empresas de todo el mundo

 

En nuestra gustada sección… la evolución del mal… ahora tenemos que el trojano xHelper regresa a los celulares infectados a pesar de que se formateen los equipos… como muchos de ustedes saben, cuando encontramos un archivo infectado lo podemos borrar y listo o instalar un antivirus…. y ya en el peor de los casos, formateamos el equipo, pero ahora los expertos en seguridad se preguntan cómo es que este virus hace para volverse a instalar…. La investigación la está realizando Malwarebytes y ya más de 33 mil dispositivos han sido infectados tan solo en Estados Unidos… su propósito es ejecutar comandos remotamente e instalar otras aplicaciones… a pesar de que se borren los archivos infectados, aparece nuevamente en una hora y ya fue declarado como el malware más resistente que existe. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper y aunque se borraran…volvían a salir… la solución temporal que se ha encontrado es desactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelper de forma manual desde el sistema de archivos…Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.


[TheRegister] Pues la WMROCU que en inglés británico sería West Midland Regional Organised Crime Unit, ha publicado posters en donde se invita a los padres a reportar a los hijos si utilizan software como:
Tor el navegador que anonimiza
Máquinas virtuales con sistemas operativos Linux
Kali Linux porque es usado para hackear,
Si adquiere un kit pineapple para investigar la seguridad de la wifi
Si usa Discord, un chat gratuito con enfoque para gamers
Si usa metasploit para hacer pentesting a sus desarrollos.

Aunque en el póster aparece el logo de la NCA, National Crime Agency, dicha agencia hizo un distanciamiento público del poster.

Las agencias posteriormente actualizaron la información —Este poster se produjo para concientizar a los profesores, padres de familia y guardianes de la ley para apoyarlos a guiar a sus hijos sobre una navegación segura. El póster sólo lista algunas herramientas que sus hijos podrían estar usando en casa.

El software mencionado es legal y en la mayoría de los casos su uso es legítimo, aportando grandes beneficios a los interesados en desarrollar sus habilidades digitales. Sin embargo, como cualquier software, también puede ser usado con fines ilícitos. El propósito del poster era proveer una guía rápida de los tipos de software disponibles para que, los padres puedan iniciar una conversación sobre el uso seguro y legal de las computadoras y software—.


Soldados israelíes fueron engañados para instalar malware en sus teléfonos por agentes de Hamas quienes se hacían pasar por mujeres. Miembros del grupo palestino militar Hamas se hicieron pasar por mujeres jóvenes en redes sociales para hablar con soldados israelíes a quienes invitaban a instalar aplicaciones en sus teléfonos que contenían malware. Los engaños fueron a través de perfiles falsos creados en Facebook, Instagram y Telegram, a través de los cuales, tras algunas conversaciones les pedían a los soldados instalas aplicaciones como Catch & See, Grixy o Zatu para compartirles más fotografías y continuar con la conversación. Cuando los soldados instalaron las aplicaciones, aparecía un error de que se había producido un fallo durante la instalación y automáticamente eliminaba el ícono de la app para que la víctima creyera que se había eliminado automáticamente, sin embargo la app seguía corriendo en el background del teléfono y podía extraer fotografías, mensajes SMS, contactos, instalar otras aplicaciones, geolocalizar los teléfonos en tiempo real y tomar fotografías a través de la cámara del teléfono. Generalmente se considera una falla de seguridad de operación (OpSec) permitir que los soldados usen dispositivos personales mientras están desplegados en el campo. Por ejemplo, el Pentágono instruyó a las tropas estadounidenses que se desplegaban en el Medio Oriente para que dejaran sus dispositivos personales en casa.


Pues resulta que PayPal, Facebook, Microsoft, Netflix y Whatsapp fueron las marcas más utilizadas para hacer phishing en el último trimestre de 2019, de acuerdo a un reporte de Vade Secure. PayPal tiene un atractivo muy importante porque es la puerta a los movimientos bancarios de las víctimas… además cuenta con 305 millones de usuarios activos en todo el mundo y el hecho de recibir un pago de forma casi inmediata… hace que la trampa funcione de una mejor manera. Tenemos que destacar que las estafas se están expandiendo también al equipo operativo de la empresa cuando les llegan correos como “encontramos algo extraño en tu cuenta” … pero bueno, más allá de eso… el investigador Alex Birsan encontró que había un archivo JavaScript que parecía un CSRF token con un ID de session lo que hace más fácil que los delincuentes puedan obtener datos de información de tarjetas, números de cuenta, etcétera… desgraciadamente los correos de “actividad sospechosa” o “pagos retenidos” funcionan muy bien para los usuarios que están desesperados y dan toda su información personal, dirección y más detalles con tal de “desbloquear” sus cuentas… muchas de estas estafas han sido creadas por 16Shop Phishing Gang quienes se encuentran en el Sureste asiático… de acuerdo a la investigación de Zero FOX Alpha Team este grupo desarrolló un kit que manda un solucitud POST al servidor C2 con un password, domain y path… la información es enviada vía SMTP al correo del controlador y dicha información puede servir para construir más páginas de phishing en un mayor número de idiomas. Este desarrollo cuenta con tecnología anti-bot, anti-indexing y bloquea los crawlers que usan muchas empresas de threat hunting….La ventaja de este kit es que cualquier persona sin experiencia en cyberseguridad, podría usarlo


[Twitter] [Howtogeek] HP puede bloquear cartuchos para impedir tu impresión. ¿No sería fabuloso contar con un tinta suficiente para todas nuestras impresiones? Es decir, ¿pagar una renta y que todas nuestras impresiones estén aseguradas con esa renta? Pues ese tipo de arrendamiento puro existe en las empresas mexicanas desde hace mucho. Una empresa que se dedica a darte servicios de impresión, te lleva hasta tu oficina o negocio una foto/copiadora/impresora y se aseguro de surtirte todo el toner y todas las hojas blancas que necesites mensualmente. Obviamente cuando terminas el contrato, ellos pasan por la impresora y se llevan todo lo que haya sobrado de tinta y de hojas.

HP implementó el mismo esquema,. sin embargo, en esta variante, la impresora es de tu propiedad y HP te hace llegar cartuchos que podrás usar para imprimir el número de hojas que especifiques al realizar el primer setup.Y listo, tu puedes imprimir las hojas que quieras sin importar cuanta tinta lleven. Siempre y cuando no canceles la suscripción porque HP necesita que tu impresora esté en Internet todo el tiempo para saber si todavía tienes tinta o si cancelaste. Existe un DRM que es un administrador de derechos digitales con el que te pueden desactivar los cartuchos. Así que tienes tinta en los cartuchos pero como la compraste, no podrás usarla, tendrás que salir a comprar otros cartuchos para poder continuar imprimiendo.


Hackers iraníes han estado hackeando servidores VPN para plantar puertas traseras en empresas de todo el mundo. Los hackers iraníes se han dirigido a las VPN Pulse Secure, Fortinet, Palo Alto Networks y Citrix. Un reporte de la empresa de seguridad ClearSky ha revelado que el gobierno iraní está detrás de grupos APTs que están explotando vulnerabilidades en servicios VPNs horas después de que las vulnerabilidades fueron hechas públicas (1Day). Según el informe de ClearSky, el propósito de estos ataques es romper las redes empresariales, moverse lateralmente a través de sus sistemas internos y plantar puertas traseras para explotar en una fecha posterior. Mientras que la primera etapa de sus ataques apuntó a las VPN, la segunda fase (movimiento lateral) involucró una colección integral de herramientas y técnicas, que muestran cuán avanzadas se han vuelto estas unidades de APTs iraníes en los últimos años. Usan herramientas de hacking de código abierto, pero también usan software legítimo como Putty, Plink, Ngrok, Serveo o FRP. Además, en el caso de que no encontraran herramientas de código abierto o herramientas locales, también tienen el conocimiento para desarrollar malware personalizado. ClearSky dice que encontró herramientas como:

  • STSRCheck: bases de datos de desarrollo propio y herramienta de mapeo de puertos abiertos.
  • POWSSHNET: malware de puerta trasera de desarrollo propio para túneles RDP sobre SSH.
  • VBScripts personalizados: scripts para descargar archivos TXT del servidor de comando y control (C2 o C&C) y unificar estos archivos en un archivo ejecutable portátil.
  • Puerta trasera basada en sockets sobre cs.exe: un archivo EXE utilizado para abrir una conexión basada en sockets a una dirección IP codificada.
  • Port.exe: herramienta para escanear puertos predefinidos en busca de una dirección IP.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

 

En Youtube