Archivo mensual julio 2019

Pormalwarebytes

Mobile Menace Monday: Dark Android Q sube

Mobile Menace Monday: Dark Android Q sube

Mobile Menace Monday: Dark Android Q sube

Publicado: 29 de julio de 2019 por 

Android Q, la próxima décima versión principal del sistema operativo móvil Android, fue desarrollada por Google con tres temas principales en mente: innovación, seguridad y privacidad. Hoy, nos vamos a centrar principalmente en la seguridad y la privacidad, aunque todavía hay muchos cambios y actualizaciones potenciales en el horizonte que pueden discutirse.

Intimidad

La privacidad ha sido una prioridad en el desarrollo de Android Q, ya que hoy es importante dar a los usuarios control y transparencia sobre cómo su información es recopilada y utilizada por las aplicaciones y nuestros teléfonos. Se han realizado cambios significativos en Android Q en toda la plataforma para mejorar la privacidad, y vamos a inspeccionarlos uno por uno.

Nota: Los desarrolladores deberán revisar las nuevas funciones de privacidad y probar sus aplicaciones. Los impactos pueden variar según la funcionalidad principal, la orientación y otros factores de cada aplicación. 

Foto 1

Ubicación del dispositivo

Comencemos con la ubicación. Las aplicaciones aún pueden pedirle al usuario permiso para acceder a la ubicación, pero ahora en Android Q, el usuario ve una pantalla más grande con más opciones sobre cuándo permitir el acceso a la ubicación, como se muestra en la Imagen 1. Los usuarios podrán dar acceso a las aplicaciones a datos de ubicación todo el tiempo o solo cuando la aplicación está enfocada (en uso y en primer plano).

Este control adicional fue posible gracias a que Android Q introdujo un nuevo permiso de ubicación  ACCESS_BACKGROUND_LOCATION , que permite que una aplicación acceda a la ubicación en segundo plano.

Hay disponible una guía detallada sobre cómo adaptar su aplicación para los nuevos controles de ubicación. 

Almacenamiento con alcance

Fuera de la ubicación, se introdujo una nueva característica llamada «almacenamiento con ámbito» para brindar a los usuarios más seguridad y reducir el desorden de aplicaciones. Android Q seguirá utilizando los permisos READ_EXTERNAL_STORAGE  y  WRITE_EXTERNAL_STORAGE  , pero ahora las aplicaciones que apuntan a Android Q de forma predeterminada tienen una  vista filtrada  en el almacenamiento externo.

Dichas aplicaciones solo pueden ver su directorio específico y tipos específicos de medios, por lo que no necesitan permiso para leer o escribir ningún archivo en esta carpeta. También permite que un desarrollador tenga su propio espacio en el almacenamiento de su dispositivo que es privado sin solicitar ningún permiso específico.

Nota: Hay una  guía que describe cómo se incluyen los archivos en la vista filtrada, y cómo actualizar su aplicación para que pueda continuar compartiendo, accediendo y modificando archivos guardados en un dispositivo de almacenamiento externo.

Desde el punto de vista de la seguridad, esta es una actualización beneficiosa. Detiene las aplicaciones maliciosas que dependen de que usted otorgue acceso a datos confidenciales porque no leyó lo que vio en el cuadro de diálogo y simplemente hizo clic en «sí».

Restricciones de fondo

Otro cambio importante es que los desarrolladores han creado restricciones en el lanzamiento de actividades desde el fondo sin interacción del usuario. Este comportamiento ayuda a reducir las interrupciones y mantiene al usuario más en control de lo que se muestra en su pantalla.

Este nuevo cambio tiene efecto en todas las aplicaciones que se ejecutan en Android Q. Incluso si su aplicación tiene un nivel de API 28 o inferior y se instaló originalmente en un dispositivo con Android 9, las restricciones funcionarán después de que el dispositivo se actualice a Android Q.

Nota: Las aplicaciones que se ejecutan en Android Q pueden iniciar actividades solo cuando se cumplen una o más de las siguientes  condiciones .

Datos e identificadores

Para evitar el seguimiento, comenzando en Android Q, Google requerirá que los desarrolladores de aplicaciones soliciten un permiso especial con privilegios (READ_PRIVILEGED_PHONE_STATE) antes de que puedan acceder a los identificadores no reiniciables del dispositivo, tanto IMEI como el número de serie.

Nota: Lea las  mejores prácticas para elegir los identificadores correctos para su caso específico, ya que muchos no necesitan identificadores de dispositivo no reiniciables (por ejemplo, para fines analíticos).

Además, los dispositivos Android Q ahora transmitirán una dirección MAC aleatoria de forma predeterminada. Aunque Google introdujo la asignación aleatoria de direcciones MAC  en Android 6.0 , los dispositivos solo podían transmitir una dirección MAC aleatoria si el teléfono inteligente iniciaba un escaneo de Wi-Fi o Bluetooth en segundo plano. Sin embargo, vale la pena mencionar que los investigadores de seguridad demostraron que aún pueden rastrear dispositivos con direcciones MAC aleatorias.

Restricciones de red inalámbrica

Otra característica nueva de Android Q es que las aplicaciones no pueden habilitar o deshabilitar Wi-Fi. El WifiManager.setWifiEnabled()método siempre regresa  false.

A partir de ahora, con Android Q, los usuarios deben activar o desactivar Wi-Fi a través del Panel de configuración, una API que permite a las aplicaciones mostrar la configuración a los usuarios en el contexto de su aplicación.

Además, para proteger la privacidad del usuario, la configuración manual de la lista de redes Wi-Fi ahora está restringida a las aplicaciones del sistema y los controladores de políticas de dispositivos (DPC) . Un DPC determinado puede ser el propietario del dispositivo o el propietario del perfil.

Permisos

Android Q cambió el alcance de los permisos READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT y CAPTURE_SECURE_VIDEO_OUTPUT. Ahora  solo tienen acceso de firma , por lo que evitarán el acceso silencioso al contenido de la pantalla del dispositivo.

Imagen 2

Las aplicaciones que necesitan acceso al contenido de la pantalla del dispositivo utilizarán la API de MediaProjection . Si su aplicación se dirige a Android 5.1 (nivel de API 22) o inferior, los usuarios verán una pantalla de permisos cuando ejecuten su aplicación en Android Q por primera vez, como se muestra en la Imagen 2. Esto les brinda a los usuarios la oportunidad de cancelar / cambiar el acceso a los permisos que el sistema otorgó previamente a la aplicación durante la instalación.

Además, Android Q introduce un nuevo  permiso ACTIVITY_RECOGNITIONpara aplicaciones que necesitan detectar el recuento de pasos del usuario o clasificar la actividad física del usuario. Esto se hace para que los usuarios vean cómo se usan los datos del sensor del dispositivo en la Configuración.

Nota: si su aplicación se basa en datos de otros sensores integrados  en el dispositivo, como el acelerómetro y el giroscopio, no necesita declarar este nuevo permiso en su aplicación.

Seguridad

Android Pie introdujo la API BiometricPrompt para ayudar a las aplicaciones a utilizar la biometría, incluida la cara, la huella digital y el iris. Para mantener a los usuarios seguros, la API se expandió en Android Q para admitir casos de uso adicionales, incluida la autenticación implícita y explícita.

Si hablamos de autenticación explícita, los usuarios deben realizar una acción para continuar. Eso puede ser un toque en el sensor de huellas dactilares o, si se trata de autenticación de cara o iris, entonces el usuario debe hacer clic en un botón adicional para continuar. Todos los pagos de alto valor deben hacerse a través de un flujo explícito, por ejemplo.

El flujo implícito no requiere una acción adicional del usuario. En la mayoría de los casos, el inicio de sesión y el autocompletar se utilizan en estos casos, ya que no es necesario realizar acciones complejas en transacciones simples y sin importancia que pueden revertirse fácilmente.

Otro cambio interesante realizado en Android Q es el soporte para  TLS 1.3. Se afirma que se pueden establecer conexiones seguras hasta un 40 por ciento más rápido con TLS 1.3 en comparación con TLS 1.2. Desde una perspectiva de seguridad, TLS 1.3 es más limpio, menos propenso a errores y más confiable. Y desde una perspectiva de privacidad, TLS 1.3 encripta más del apretón de manos para proteger mejor las identidades de las partes participantes.

Otra nueva característica útil en BiometricPrompt es la capacidad de verificar si un dispositivo admite autenticación biométrica antes de invocar BiometricPrompt. Esto es útil cuando la aplicación quiere mostrar un «habilitar el inicio de sesión biométrico» o un elemento similar en su página de inicio de sesión o en el menú de configuración de la aplicación. 

La última característica que queríamos señalar es Adiantum , un cifrado de almacenamiento que protege sus datos si su teléfono cae en manos de otra persona. Adiantum es una innovación en criptografía diseñada para hacer que el cifrado de almacenamiento sea más eficiente para dispositivos sin aceleración criptográfica para garantizar que todos los  dispositivos se puedan cifrar. 

En Android Q, Adiantum formará parte de la plataforma Android, y Google tiene la intención de actualizar el Documento de definición de compatibilidad de Android  (CDD) para exigir que todos los dispositivos Android nuevos se cifren con uno de los algoritmos de cifrado permitidos.

Beta 5 y más allá

Android Q Beta 1 se lanzó el 13 de marzo y ya tenemos Beta 5 disponible para descargar. Si desea probar la versión Beta, vaya a android.com/beta para verificar si su dispositivo está en la lista de compatibilidad y descargue la versión beta.

La línea de tiempo de la fecha de lanzamiento de Android 10 Q

Todavía hay una versión beta más antes de que la versión final caiga en algún momento antes de que termine el tercer trimestre, según la línea de tiempo. Los desarrolladores deben sumergirse en Android Q y comenzar a aprender sobre las nuevas funciones y API que pueden usar en sus aplicaciones antes de realizar ajustes.

Y quizás la pregunta más importante de todas: ¿cómo se llamará Android Q? La lista de postres que comienza con Q es bastante pequeña, y algunas sugerencias que ya surgieron entre los usuarios de la red son:

Pormalwarebytes

Los temores de FaceApp apuntan a mayores problemas de recolección de dato

Los temores de FaceApp apuntan a mayores problemas de recolección de datos

Los temores de FaceApp apuntan a mayores problemas de recolección de datos

Publicado: 24 de julio de 2019 por 

La semana pasada, si buscó en Facebook, Instagram y Twitter, probablemente vio fotos alteradas de sus amigos con algunas décadas adicionales escritas en sus caras: arrugas agregadas, piel hundida, cabello desprovisto de color.

¿El 2019 realmente ha sido tan largo? Realmente no.

Las fotos son el trabajo de FaceApp, la popular aplicación impulsada por la inteligencia artificial que permite a los usuarios «envejecer» imágenes de sí mismos, cambiar sus peinados, ponerse gafas y presentar un género diferente.

Luego, aparentemente de la noche a la mañana, los usuarios, los informes de los medios de comunicación y los miembros del Congreso convirtieron a FaceApp en la última parábola de privacidad: si le importa su privacidad en línea, evite esta aplicación a toda costa, dijeron.  

Es operado por el gobierno ruso, sugirió la salida de investigación Forensic News .

Es un encubrimiento para entrenar software avanzado de reconocimiento facial, teorizado para múltiples usuarios de Twitter .

Es digno de una investigación del FBI, dijo el senador Chuck Schumer de Nueva York .

La verdad es menos salaz. Esto es lo que sabemos.

Los ingenieros de FaceApp trabajan en San Petersburgo, Rusia, lo que de ninguna manera es una marca en contra de la compañía. FaceApp no ​​carga, como se afirmó anteriormente, un rollo de fotos completo de un usuario a servidores en cualquier parte del mundo. El acuerdo de los Términos de servicio de FaceApp no ​​pretende transferir la propiedad de las fotos de un usuario a la compañía, y el CEO de FaceApp dijo que la compañía pronto actualizará su acuerdo para describir con mayor precisión que la compañía no utiliza el contenido del usuario para «fines comerciales».

Finalmente, el soplo contra FaceApp, por lo que la compañía podría recopilar, según su política de privacidad y cómo podría usar esa información, está un poco sesgado. Innumerables empresas estadounidenses se permiten hacer exactamente lo mismo hoy.

«El lenguaje que me citó, le recomiendo que consulte los términos en Facebook o cualquier otro tipo de servicio generado por el usuario, como YouTube», dijo Mitch Stoltz, abogado senior de Electronic Frontier Foundation, cuando le leemos el acuerdo de FaceApp. sobre el telefono.  

«Es casi palabra por palabra», dijo Stoltz. «Toda esa vergüenza, en un vacío, suena amplia, pero si lo piensas, esos son los términos utilizados por casi cualquier sitio web que permite a los usuarios subir fotos».

Pero la conclusión de esta semana de casi histeria no debería ser la complacencia. En cambio, la historia de FaceApp debería servir como otro ejemplo más que respalda la guía siempre relevante, a veces aburrida para la privacidad en línea: haga preguntas primero, descargue más tarde (si es que lo hace).

Acuerdo de términos de servicio de FaceApp

Cuando los usuarios descargan y usan FaceApp, se les exige que acepten los acuerdos generales de los Términos de servicio de la empresa matriz . Esos términos son extensos:

«Usted otorga a FaceApp una licencia perpetua, irrevocable, no exclusiva, libre de regalías, mundial, totalmente pagada y sujeto a licencia transferible para usar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, realizar públicamente y mostrar «su Contenido de usuario y cualquier nombre, nombre de usuario o imagen proporcionada en relación con su Contenido de usuario en todos los formatos de medios y canales conocidos o desarrollados posteriormente, sin compensación para usted».

Además, a través del acuerdo de Términos de servicio, se les dice a los usuarios que «al utilizar los Servicios, usted acepta que el Contenido del usuario puede ser utilizado con fines comerciales».

Esto cubre, para decirlo ligeramente, mucho. Pero está lejos de ser único, dijo Stoltz.  

«Cualquier sitio web que permita que cualquier persona en el mundo publique fotos tendrá una cláusula como esa: ‘al subir las fotos, nos da permiso para hacer algo con eso’ ‘, dijo Stoltz. “Los protege contra toda clase de usuarios que intentan presentar reclamos legales, donde, solo quieren cuatro copias de una foto, no 10 copias. Las posibilidades son infinitas.»

Hace varios años, CNN investigó algunos de los términos más dictatoriales de los acuerdos de serviciospara plataformas populares de redes sociales, servicios de Internet y compañías, y descubrió que, por ejemplo, LinkedIn afirmó que podría beneficiarse de las ideas de los usuarios.

De manera relacionada, los Términos de servicio, No se leyeron , que evalúan los acuerdos de usuarios de las empresas, actualmente muestran que Google y Facebook pueden usar las identidades de los usuarios en los anuncios que se muestran a otros usuarios, y que las dos compañías también pueden rastrear su actividad en línea en otros sitios web .

Stoltz también aclaró que el acuerdo de los Términos de servicio de FaceApp no ​​pretende quitar los derechos de autor de una foto a quien la tomó, un proceso que sería difícil hacer en un contrato.

«Se ha intentado, es algo que a los tribunales no les gusta», dijo Stoltz.

Stoltz también dijo que, si bien los consumidores tienen la opción de presentar un desafío legal contra un contrato que alegan que es injusto, estos desafíos exitosos son raros. Sin embargo, Stoltz dio un ejemplo de dónde funcionó: un juez se puso del lado de un cliente de alquiler de autos que desafió los cargos adicionales de una compañía cada vez que el conductor pasaba el límite de velocidad .

«La corte dijo» no, no puedes enterrar eso en un contrato y esperar que la gente lo entienda completamente «, dijo Stolz.

En cuanto a cómo FaceApp utilizará realmente las fotos generadas por los usuarios, el CEO de FaceApp, Yaroslav Goncharov, dijo a Malwarebytes Labs en un correo electrónico que la compañía planea actualizar sus términos para reflejar mejor que no utiliza las imágenes de los usuarios para “fines comerciales”.

«A pesar de que nuestra política se reserva un posible» uso comercial «, no la usamos para ningún propósito comercial», dijo Goncharov. «Estamos planeando actualizar nuestra política de privacidad y TC para reflejar este hecho».

Disipando los rumores.

El 17 de julio, el senador estadounidense Schumer pidió al FBI y a la Comisión Federal de Comercio que investigaran FaceApp debido a la popularidad de la aplicación, la ubicación de su empresa matriz y su supuesto vínculo potencial con las operaciones de inteligencia extranjera en Rusia.

Al día siguiente, el senador Schumer habló directamente a los consumidores en un video compartido en Twitter , que abordaba los mismos puntos:

«El riesgo de que sus datos faciales también puedan caer en manos de algo como la inteligencia rusa, o el aparato militar ruso, es preocupante», dijo Schumer.

Pero, según el CEO de FaceApp, eso no es cierto. Al responder a las preguntas de The Washington Post , Goncharov dijo que el gobierno ruso no tiene acceso a las fotos de los usuarios y, además, que a menos que un usuario viva en Rusia, los datos de los usuarios no se encuentran en el país.

Goncharov también le dijo a The Washington Post que las fotos de usuario procesadas por FaceApp se almacenan en servidores ejecutados por Google y Amazon.

Al responder a las preguntas de Malwarebytes Labs, Goncharov aclaró que la compañía elimina las fotos de esos servidores basándose en un temporizador, pero que a veces, si hay una gran cantidad de fotos, el proceso de eliminación puede demorar más que el límite de tiempo elegido.

«Puede establecer una política para un depósito [Amazon Simple Storage] que diga ‘eliminar todos los archivos que tengan más de un día’. En este caso, casi todas las fotos pueden borrarse en aproximadamente 25 horas. Sin embargo, si tiene demasiadas fotos entrantes, puede llevar más de una hora (o incluso 24 horas) borrar todas las fotos que tengan más de 24 horas ”, dijo Goncharov. “[Amazon Web Services] no ofrece una garantía de que se necesita menos de un día para completar una política de depósito. Tenemos una situación similar con Google Cloud «.

Otra preocupación que algunos usuarios plantearon acerca de FaceApp fue la posibilidad de que la aplicación estuviera accediendo y descargando todas las fotos almacenadas localmente en el dispositivo de un usuario.

Pero, una vez más, los rumores demostraron ser exagerados. Los investigadores de ciberseguridad y una investigación de Buzzfeed News revelaron que el tráfico de red entre FaceApp y sus servidores no mostró ningún acaparamiento nefasto de datos de usuario.

«No vimos ningún aumento sospechoso en el tamaño del tráfico saliente que indicara una fuga de datos más allá de las cargas permitidas», escribió Buzzfeed News. «Subimos cuatro fotos a FaceApp, que se corresponde con los cuatro picos en el gráfico, con algo de ruido al final después de la cuarta subida».

Finalmente, a pesar de los muchos comentarios angustiados en Twitter, Goncharov también le dijo a The Washington Post que su compañía no está utilizando su tecnología para fines de reconocimiento facial.

Lo que debes hacer

Lo conseguimos, FaceApp es divertido. Lamentablemente, para muchos, la privacidad en línea no lo es tanto. (No estamos de acuerdo). Pero eso no hace que la privacidad en línea sea menos importante.

Para aquellos de ustedes que ya han descargado y usado FaceApp, la compañía describió recientemente un método ad hoc para eliminar sus datos de sus servidores:

“Aceptamos solicitudes de los usuarios para eliminar todos sus datos de nuestros servidores. Nuestro equipo de soporte está sobrecargado actualmente, pero estas solicitudes tienen nuestra prioridad. Para el procesamiento más rápido, recomendamos enviar las solicitudes desde la aplicación móvil FaceApp usando ‘Configuración-> Soporte-> Reportar un error’ con la palabra ‘privacidad’ en la línea del asunto. Estamos trabajando en la mejor interfaz de usuario para eso «.

Para aquellos de ustedes que quieran evitar este tipo de problemas en el futuro, hay una regla simple: lea los términos del acuerdo de servicio y la política de privacidad de una aplicación antes de descargarla y usarla. Si los acuerdos y las políticas son demasiado largos para leerlos o están demasiado llenos de jerga para analizarlos, siempre puede evitar descargar la aplicación por completo.

Recuerde siempre, el temor a perderse la última moda en línea debe sopesarse frente al temor de que su privacidad en línea sea potencialmente invadida.

Pormalwarebytes

Aplicaciones de monitoreo parental: ¿En qué se diferencian de los software para acechar?

Aplicaciones de monitoreo parental: ¿En qué se diferencian de los software para acechar?

Aplicaciones de monitoreo parental: ¿En qué se diferencian de los software para acechar?

Publicado: 22 de julio de 2019 por 
Última actualización: 18 de julio de 2019

A finales de junio, Malwarebytes revivió su campaña de larga duración contra un tipo malicioso de malware en uso hoy en día. Este malware se asemeja a los mensajes de texto. Identifica los movimientos de las víctimas en diferentes lugares. Revela la navegación y el historial de búsqueda. A menudo oculto a los usuarios, elimina su expectativa de privacidad del derecho a la vida real y del derecho a la misma.

Pero después de volver a comprometernos con nuestra firme oposición a este tipo de malware, llamado stalkerware, recibimos preguntas sobre otra cosa: las aplicaciones de monitoreo parental.

Las capacidades entre los dos a menudo se superponen.

TeenSafe, que reorganizó su producto para enfocarse en una conducción segura, previamente permitió a los padres leer los mensajes de texto de sus hijos. Qustodio, recomendado por Wirecutter para los padres que desean limitar el uso de dispositivos de sus hijos , les permite rastrear las ubicaciones de sus hijos. Kidguard, claramente nombrado y anunciado como una aplicación de seguridad infantil, permite a los padres ver el historial de navegación y búsqueda de sus hijos.

Rápidamente, la línea se vuelve borrosa. ¿Cuáles son las diferencias entre las aplicaciones stalkerware y las aplicaciones de monitoreo parental? ¿Qué es una aplicación de monitoreo parental «aceptable» o «segura»? ¿Y cómo puede un padre saber si está descargando una aplicación de monitoreo parental «legítima» en lugar de una aplicación de software para acosar disfrazada simplemente como una herramienta para padres?

Malwarebytes Labs no está aquí para decirle a la gente cómo criar a sus hijos. Estamos aquí para investigar, informar e informar.

Sabiendo lo que hacemos con las aplicaciones de monitoreo parental (sus capacidades, sus vulnerabilidades de seguridad informática y sus implicaciones de privacidad), nuestra recomendación más segura es evitar estas aplicaciones.

Sin embargo, entendemos los desafíos digitales que enfrentan los padres hoy. El acoso cibernético sigue siendo una preocupación constante , las imágenes y los videos violentos deslumbrantes en línea y el contenido extremista persiste en múltiples plataformas.

Diana Freed, estudiante de doctorado en el laboratorio de investigación de tecnología Intimate Partner Violence liderado por la facultad de Cornell Tech, dijo que entiende el atractivo de estas herramientas para los padres. Anuncian seguridad, dijo ella.

«Creo que cuando los padres están poniendo estas aplicaciones en el teléfono de alguien, están tratando de hacerlo para que sus hijos estén más seguros», dijo Freed. «No están diciendo ‘No quiero que mi hijo no tenga privacidad’. Creen que están haciendo lo mejor que pueden para hacer de este un lugar más seguro para sus hijos «.

Sin embargo, explicó Freed, hay muchas aplicaciones que los padres deben saber.

«Supongamos que todo el mundo es un buen actor y quiere hacer lo correcto», dijo Freed. «Pero es una cuestión de, ¿está claro para el padre qué hacen estas aplicaciones?»

¿Cual es la diferencia?

Múltiples defensores de la privacidad y los investigadores de la ciberseguridad dijeron que, al comparar las capacidades técnicas de las aplicaciones de monitoreo parental con las de las aplicaciones de software de aceros, la luz que brilla entre las dos es débil, si no completamente ausente.

«¿Existe una línea entre las aplicaciones de monitoreo legítimas y las aplicaciones de software para acosadores?», Dijo Cynthia Khoo, autora del informe CitizenLab sobre el software para acosadores » Predator in Your Pocket «.

Ella respondió a su propia pregunta:

“A nivel tecnológico, no. No hay diferenciación ”.

Khoo explicó que, cuando trabajaba con sus coautores en el documento Predator in Your Pocket, el equipo inicialmente tuvo problemas para abordar las aplicaciones de monitoreo que se publicitan de forma benigna y no depredadora, pero que proporcionan a los usuarios una gran cantidad de información confidencial. Es el famoso problema de «doble uso» con el software para acechar: algunas aplicaciones, aunque no están publicitadas o diseñadas para un monitoreo invasivo, aún ofrecen las mismas capacidades.

Sin embargo, esa lucha desapareció, dijo Khoo, cuando el equipo se dio cuenta de que las aplicaciones podían ser evaluadas por sus capacidades y si esas capacidades podrían violar las leyes de Canadá, donde se encuentra CitizenLab.

“Nos dimos cuenta de que si una aplicación no solo proporciona monitoreo de ubicación, si recopila información de cuentas de redes sociales, el contenido privado del teléfono de alguien, en la ley canadiense, eso podría verse como una interceptación ilegal del teléfono de alguien, acceso no autorizado a la computadora de alguien «, Dijo Khoo. «Independientemente de la marca o el marketing, eso es un delito penal».

Emory Roane, asesor de políticas de Privacy Rights Clearinghouse, dijo que no solo las capacidades técnicas de las aplicaciones de software de acoso y las aplicaciones de monitoreo de los padres son muy similares, sino que se pueden encontrar en el tipo de herramientas de piratería utilizadas por los estados nacionales.

“Si observa las capacidades: ¿Qué resultados se pueden obtener de los dispositivos implantados con stalkerware en lugar de los dispositivos pirateados por los estados nacionales? Es lo mismo «, dijo Roane. «Encender y apagar el dispositivo de forma remota, los registradores de teclas, el seguimiento a través de GPS, todo esto».

Roane continuó: «Tenemos que tener mucho cuidado con el uso de estos por los padres».

Tanto Roane como Khoo también advirtieron sobre la falta de consentimiento permitido por muchas de estas aplicaciones. Algunas aplicaciones stalkerware, como mSpy, FlexiSPY y Hoverwatch, pueden operar completamente ocultas de la vista, ausentes del cajón de aplicaciones de un dispositivo.

Algunas aplicaciones de monitoreo parental ofrecen exactamente la misma característica.

Particularmente preocupante, encontramos que la aplicación Kidguard realmente revisó la aplicación stalkerware mSpy en su propio sitio web. En la lista de ventajas y desventajas de mSpy, Kidguard incluyó lo siguiente como positivo:

«Funciona al 100% de manera invisible, no puede ser detectado».

Esta capacidad invisible es una clara señal de advertencia sobre cualquier aplicación de monitoreo, dijo Khoo.

«No hay una razón legítima o la necesidad de ocultar la vigilancia si es realmente por un propósito genuino, de buena fe, legal, legítimo», dijo Khoo. “Si tiene el consentimiento de la persona, no necesita esconderse. Si no tiene consentimiento, esto no debe usarse en primer lugar «.

Estamos de acuerdo.

Cualquier aplicación de monitoreo diseñada para ocultarse del usuario final está diseñada contra el consentimiento.

Los riesgos de la ciberseguridad.

Las reputaciones de seguridad cibernética de varias aplicaciones de monitoreo de los padres son cuestionables, ya que las compañías que las respaldan han dejado datos, incluidas fotos y videos de niños, vulnerables a los actores y hackers de amenazas.

En 2017, los investigadores de Cisco revelaron múltiples vulnerabilidades para el dispositivo de red «Círculo con Disney», una herramienta diseñada para monitorear el uso de Internet de un niño. Los investigadores descubrieron que Circle con Disney tenía vulnerabilidades que podrían haber permitido a un pirata informático «obtener diversos niveles de acceso y privilegios, incluida la capacidad de alterar el tráfico de la red, ejecutar código remoto arbitrario, inyectar comandos, instalar firmware sin firma, aceptar un certificado diferente al previsto. , omita la autenticación, amplíe los privilegios, reinicie el dispositivo, instale una puerta trasera persistente, sobrescriba archivos o incluso bloquee completamente el dispositivo «.

En 2018, un investigador de ciberseguridad con sede en el Reino Unido encontró dos servidores en la nube no seguros operados por TeenSafe . En los servidores se encontraban decenas de miles de detalles de cuentas, incluidas las direcciones de correo electrónico de los padres y las direcciones de correo electrónico de Apple ID de los niños, junto con sus nombres de dispositivos, identificadores únicos y contraseñas de texto sin formato.

ZDNet, que cubrió la vulnerabilidad, escribió:

«Debido a que la aplicación requiere  que la autenticación de dos factores esté desactivada , un actor malintencionado que ve estos datos solo necesita usar las credenciales para ingresar en la cuenta del niño para acceder a sus datos de contenido personal».

También en 2018, la compañía de monitoreo parental Family Orbit, que ofrece una aplicación en iOS y Android, dejó abiertos servidores de almacenamiento en la nube que contenían 281 gigabytes de datos confidenciales . Los servidores vulnerables, identificados por un hacker en línea, contenían fotografías y videos de niños.

Estos son solo los defectos de la ciberseguridad. Esto no es nada para mencionar la red laberíntica de terceros relacionados que podrían trabajar con las aplicaciones de monitoreo de los padres, recibir los datos recopilados y almacenarlos en otros servidores potencialmente inseguros dispersos en la web.

De manera constante, el público estadounidense ha comenzado a comprender y rechazar las muchas maneras en que sus datos se comparten con numerosos terceros, a menudo sin su consentimiento expreso e individualizado. Si no está bien para los adultos, ¿está bien para los niños?

Los riesgos de privacidad

Las aplicaciones de monitoreo para padres pueden brindar a los padres una visión casi omnisciente y sin filtros de las vidas de sus hijos, permitiéndoles acceder a mensajes de texto, fotos compartidas, actividad de navegación web, ubicaciones visitadas y registros de llamadas. Sin obtener el consentimiento de un niño, estas capacidades de vigilancia representan graves invasiones de la privacidad.

El Roane de Clearinghouse de Privacy Rights comparó el uso clandestino de estas aplicaciones con un análogo más familiar:

«¿Apoyarías entrar en el diario de tu hijo si fuera la década de los 80?», Dijo Roane. «Esta es información extremadamente sensible».

Múltiples estudios han sugerido que la relación entre padres e hijos puede alterarse significativamente dependiendo de los tipos de vigilancia que se ejerzan en ellos, con la edad de un niño jugando un papel importante. A medida que el niño crece, y su necesidad de privacidad está estrechamente relacionada con su autonomía, el monitoreo digital puede potencialmente dificultar su confianza en sus padres, su autoexpresión y su salud mental.

Hace unos años, UNICEF publicó un documento de discusión que advirtió sobre este problema:

“La tensión entre los controles parentales y el derecho a la privacidad de los niños se puede ver mejor a través de la lente de las capacidades en evolución de los niños. Si bien los controles parentales pueden ser apropiados para los niños pequeños que tienen menos capacidad para dirigir y moderar su comportamiento en línea, tales controles son más difíciles de justificar para los adolescentes que desean explorar temas como la sexualidad, la política y la religión «.

El documento también advirtió que los estrictos controles parentales podrían afectar la capacidad de un niño para «buscar ayuda o consejos externos con problemas en el hogar».

De acuerdo con la revista de ciencia Nautilus, un estudio de un año de duración en estudiantes de secundaria en los Países Bajos mostró que los estudiantes que fueron fisgoneados por sus padres informaron “comportamientos más secretos, y sus padres informaron que sabían menos acerca de las actividades, los amigos y el paradero del niño. , en comparación con otros padres «.

Laurence Steinberg, profesor de psicología en la Universidad de Temple, le dijo a Nautilus que cuando los padres invaden la privacidad de sus hijos, esos niños podrían correr un mayor riesgo de sufrir depresión, ansiedad y abstinencia. Ella le dijo a la salida:

«Hay muchas investigaciones que indican que los niños que crecen con padres demasiado intrusivos son más susceptibles a esos problemas de salud mental, en parte porque socavan la confianza del niño en su capacidad para funcionar de manera independiente».

Además, en el informe de 2012, » Tecnologías de vigilancia y niños «, la Oficina del Comisionado de Privacidad de Canadá sugirió que los padres que dependen de la vigilancia para mantener a sus hijos a salvo corran el riesgo de atrofiar la madurez de esos niños.

Tonya Rooney, investigadora en desarrollo infantil y relaciones en la Australian Catholic University, dijo en el informe:  

«Necesitamos preguntarnos si las tecnologías pueden estar privando a los niños de la oportunidad de desarrollar confianza y competencia en las habilidades que a su vez los dejaría en una posición más fuerte para evaluar y gestionar los riesgos en una amplia gama de experiencias de vida». 

Desafortunadamente, este campo de estudio es relativamente nuevo. A medida que los niños sujetos a aplicaciones de monitoreo parental llegan a la edad adulta, se puede medir más, incluso si esos niños aceptarán otras formas de vigilancia, como las de los socios domésticos y los gobiernos.

Si está buscando una comida para llevar, quizás lea el artículo de Gizmodo sobre un estudio de la Universidad de Florida Central sobre aplicaciones de monitoreo para adolescentes: » Las aplicaciones de monitoreo para adolescentes no funcionan y simplemente hacen que los adolescentes odien a sus padres, según encuentra un estudio «.

Conversaciones difíciles, necesarias.

Entendemos que informar a los lectores sobre las desventajas interminables de las aplicaciones de monitoreo parental no aborda la realidad probable de que muchos padres se han involucrado en algún tipo de monitoreo digital de una manera segura, saludable y comunicada de manera abierta.

Para aquellos que han encontrado un pasaje seguro, bien hecho. Para aquellos que no lo han hecho, los investigadores con los que hablamos coincidieron en una prioridad: si usted insiste absolutamente en usar una de estas aplicaciones, debe discutirlo con sus hijos.

«Puedes decir abiertamente [a un niño] ‘Voy a empezar a buscar tu ubicación porque estamos preocupados y así es como lo vamos a hacer'», dijo Freed, del laboratorio de tecnología IPV en Cornell. «En cuanto a la privacidad del niño, converse sobre las preocupaciones y por qué lo hace, qué hará la aplicación que está poniendo en su teléfono, qué información sabrá».

Freed continuó:

«Trabajen juntos a través de esto».

Freed también sugirió que los padres podrían introducir solo un tipo de monitoreo digital a la vez. Para cada capacidad adicional (seguimiento de ubicación, monitoreo de redes sociales, monitoreo de actividad del navegador), Freed dijo que los padres deberían tener una nueva conversación.

Los padres que tengan curiosidad acerca de las capacidades de una aplicación de monitoreo parental, incluso si esa aplicación podría violar la privacidad, deben leer la descripción disponible en línea a través de la App Store o Google Play Store, dijo Sam Havron, otro investigador y estudiante de doctorado en el laboratorio de tecnología IPV.

«Lo mejor, o lo más cercano, es mirar las descripciones de los desarrolladores en los mercados, mirar los niveles de permiso», dijo Havron. Dijo que los padres también podrían descargar la aplicación y probarla en un dispositivo separado antes de utilizarla en el dispositivo de un niño.

Ellen Zavian, madre de un niño de 13 años y miembro del Subcomité de Tecnología y Seguridad del Consejo del Condado de Montgomery de Asociaciones de Padres y Maestros en Maryland, sugirió que los padres vean el problema de manera diferente: no se centre tanto En el software del dispositivo, enfóquese en el dispositivo.

En lugar de instalar una aplicación con límite de tiempo de pantalla en el dispositivo de un niño, o limitar lo que ven, o qué aplicaciones pueden usar, retire el dispositivo por completo de la habitación del niño y no permita que lo usen por la noche cuando van a La cama, dijo Zavian. O tal vez no les permita tener un dispositivo en absoluto, lo que Zavian se compromete a hacer hasta que su hijo comience el octavo grado, un movimiento popular entre los padres llamado Wait Until 8th .

También sugirió que solo se le dé a un niño un dispositivo habilitado para Wi-Fi sin plan de datos, y luego desconectar el enrutador de la casa para detener cualquier actividad de Internet. O los padres podrían incluso evitar que el dispositivo de un niño se conecte a Internet en casa, una configuración que se puede configurar en la mayoría de los enrutadores modernos.

Zavian insistió en su punto, haciendo una comparación con otro momento estresante en la crianza de los hijos: dejar que los adolescentes conduzcan. Ella dijo que hay una diferencia entre monitorear la conducción de un adolescente a través de las aplicaciones y monitorear el acceso del adolescente al auto en sí.

«Cuando mis amigos vigilaban a sus hijos con el camino a donde iban, mis hijos simplemente no tenían las llaves del auto», dijo Zavian. «¿Por qué quieres participar en esa pelea? Tienes suficientes peleas cuando son adolescentes, donde dices ‘te vi aquí’ o ‘te vi acelerando’ ‘.

Zavian sugirió que los padres recuerden que siempre hay alternativas al uso de una aplicación de monitoreo parental. De hecho, esas alternativas han existido por mucho más tiempo, y ella aprendió sobre ellas cuando aprendió a conducir.

«Así como lo hicimos nosotros: te metes en un accidente automovilístico, estás fuera del seguro», dijo Zavian.

Pormalwarebytes

Sodinokibi el Ransomware que intenta llenar el vacío de GandCrab

Reflector de amenazas: Sodinokibi ransomware intenta llenar el vacío de GandCrab

Reflector de amenazas: Sodinokibi ransomware intenta llenar el vacío de GandCrab

Publicado: 18 de julio de 2019 por 
Última actualización: 22 de julio de 2019

El ransomware Sodinokibi, también conocido como Sodin y REvil, apenas tiene tres meses, pero se ha convertido rápidamente en un tema de discusión entre los profesionales de la ciberseguridad debido a su aparente conexión con el infame ransomware GandCrab.

Detectado por Malwarebytes como Ransom.Sodinokibi , Sodinokibi es un ransomware-as-a-service(RaaS), tal como lo fue GandCrab, aunque los investigadores creen que es más avanzado que su predecesor. Hemos observado que esta amenaza se dirige a empresas y consumidores por igual desde principios de mayo, con un aumento en las empresas a principios de junio y elevaciones en las detecciones de consumidores a mediados de junio y mediados de julio. Basándose en nuestra telemetría, Sodinokibi ha aumentado desde la salida de GandCrab a finales de mayo.

Tendencias de detección de empresas y consumidores para Sodin / REvil desde mayo de 2019 hasta el presente

El 31 de mayo, los actores de la amenaza detrás de GandCrab anunciaron formalmente su retiro, detallando su plan para dejar de vender y publicitar a GandCrab en una publicación oscura del foro web.

«Nos vamos para una jubilación bien merecida», anunció un administrador de GandCrab RaaS. (Cortesía del investigador de seguridad Damian en Twitter)

Si bien muchos pueden haber emitido suspiros de alivio ante la «aprobación» de GandCrab, algunos expresaron su escepticismo sobre si el equipo realmente pondría detrás de su exitoso plan para hacer dinero. Lo que siguió fue una sombría anticipación de otra operación de ransomware, o una reaparición del grupo que vendía nuevas mercancías, y se hizo cargo de llenar el agujero que GandCrab había dejado atrás.

Entra Sodinokibi

Dar un giro a un producto antiguo es un concepto que no se desconoce en los círculos comerciales legítimos. A menudo, la rotación implica la creación de un nuevo nombre para el producto, algunas modificaciones de sus características existentes y la búsqueda de nuevos influenciadores, «afiliados» en el caso de las operaciones de RaaS, para usar (y comercializar) el producto. Además, los actores de amenazas inicialmente limitarían la disponibilidad del nuevo producto y seguirían con una campaña de marketing completamente nueva, todo sin tocar el estándar del producto. En retrospectiva, parece que el equipo GandCrab ha tomado esta ruta.

Un mes antes del anuncio de retiro de GandCrab, los investigadores de Cisco Talos dieron a conocerinformación sobre su descubrimiento de Sodinokibi. Los atacantes infectaron manualmente el servidor de destino después de explotar una vulnerabilidad de día cero en su aplicación Oracle WebLogic.

Hasta la fecha, se han visto seis versiones de Sodinokibi en la naturaleza.

Versiones de Sodinokibi, desde la primera (v1.0a), que se descubrió el 23 de abril, hasta la última (v1.3), que se descubrió el 8 de julio.

Vectores de infeccion de Sodinokibi

Al igual que GandCrab, el ransomware Sodinokibi sigue un sistema de ingresos de afiliados, que permite a otros ciberdelincuentes difundirlo a través de varios vectores. Sus métodos de ataque incluyen:

  • Explotación activa de una vulnerabilidad en Oracle WebLogic, oficialmente nombrado CVE-2019-2725
  • Spam malicioso o campañas de phishing con enlaces o archivos adjuntos.
  • Campañas de publicidad maliciosa que llevan al kit de explotación RIG, una avenida que GandCrab usó antes
  • Proveedores de servicios gestionados (MSP) comprometidos o infiltrados, que son empresas de terceros que administran de forma remota la infraestructura de TI y / o los sistemas de usuario final de otras compañías, para impulsar el ransomware en masa. Esto se hace al acceder a las redes a través de un protocolo de escritorio remoto (RDP) y luego usar la consola MSP para implementar el ransomware.

Aunque los afiliados utilizaron estas tácticas para impulsar a GandCrab, también, muchos ciberdelincuentes , incluidos los actores del estado-nación, han hecho lo mismo para impulsar sus propias campañas de malware.

Síntomas de la infección por Sodinokibi

Los sistemas infectados con Sodinokibi ransomware muestran los siguientes síntomas:

Se ha cambiado el fondo de escritorio. Al igual que cualquier otro ransomware, Sodinokibi cambia el fondo de escritorio de los sistemas afectados en un aviso, informando a los usuarios que sus archivos han sido cifrados. El fondo de pantalla tiene un fondo azul, como se puede ver parcialmente en la captura de pantalla anterior, con el texto:

Todos tus archivos están encriptados! 
Encuentre {5-8 caracteres alfanuméricos} -readme.txt y siga las instrucciones

Presencia de nota ransomware. El archivo {5-8 caracteres alfanuméricos} -readme.txt al que se refiere es la nota de rescate que viene con cada ataque de ransomware. En el caso de Sodinokibi, se ve así:

La nota contiene instrucciones sobre cómo los usuarios afectados pueden pagar el rescate y cómo funciona el proceso de descifrado.

Captura de pantalla del sitio web accesible solo para TOR Sodinokibi Se pidió a las víctimas que visitaran para realizar sus pagos

Archivos cifrados con un nombre de extensión de 5–8 caracteres. Sodinokibi cifra ciertos archivos en unidades locales con el algoritmo de cifrado Salsa20, y cada archivo se renombra para incluir una extensión alfanumérica pseudoaleatoria pre generada de cinco a ocho caracteres.

El nombre de la extensión y la cadena de caracteres incluidos en el nombre del archivo de la nota de rescate son los mismos. Por ejemplo, si Sodinokibi ha cifrado un archivo de imagen y lo ha cambiado a paris2017.r4nd01 , su correspondiente nota de rescate tendrá el nombre de archivo r4nd01-readme.txt .

Sodinokibi busca archivos que están relacionados principalmente con medios y programación, con las siguientes extensiones para cifrar:

  • .jpg
  • .jpeg
  • .crudo
  • .tif
  • .png
  • .bmp
  • .3dm
  • .max
  • .accdb
  • .db
  • .mdb
  • .dwg
  • .dxf
  • .cpp
  • .cs
  • .h
  • .php
  • .áspid
  • .rb
  • .Java
  • .aaf
  • .aep
  • .aepx
  • .plb
  • .prel
  • .aet
  • .ppj
  • .gif
  • .psd

Copias de seguridad de instantáneas eliminadas y herramienta de reparación de inicio de Windows deshabilitada. La instantánea (también conocida como Volume Snapshot Service, Volume Shadow Copy Service o VSS) y Startup Repair son tecnologías inherentes al sistema operativo Windows. El primero es «una instantánea de un volumen que duplica todos los datos que se mantienen en ese volumen en un instante bien definido en el tiempo», según el Centro de desarrollo de Windows . La última es una herramienta de recuperación utilizada para solucionar ciertos problemas de Windows.

La eliminación de las instantáneas evita que los usuarios se restauren desde la copia de seguridad cuando descubren que sus archivos están cifrados por ransomware. Deshabilitar la herramienta de reparación de inicio evita que los usuarios intenten corregir los errores del sistema que pueden haber sido causados ​​por una infección de ransomware.

Otros trucos bajo la manga de Sodinokibi.

El ransomware normalmente no aprovecha las vulnerabilidades de día cero en sus ataques, pero Sodinokibi no es su ransomware promedio. Aprovecha una vulnerabilidad de día cero con privilegios elevados en el archivo de componentes de Win32k en Windows.

Designada como CVE-2018-8453 , esta falla puede otorgar al administrador de Sodinokibi acceso a los puntos finales que infecta. Esto significa que puede llevar a cabo las mismas tareas que los administradores en los sistemas, como deshabilitar el software de seguridad y otras funciones destinadas a proteger el sistema contra el malware.

CVE-2018-8453 era la misma vulnerabilidad que el FruitArmor APT explotado en su campaña de malware año pasado.

También se ha encontrado que las nuevas variantes de Sodinokibi usan «Heaven’s Gate», una antigua técnica de evasión utilizada para ejecutar código de 64 bits en un proceso de 32 bits, que permite que el malware se ejecute sin ser detectado. Tocamos esta técnica a principios de 2018 cuando analizamos un cryptominer interesante que capturamos en la naturaleza.

Protege tu sistema de Sodinokibi

Malwarebytes rastrea las campañas de Sodinokibi y protege a los usuarios consumidores premium y usuarios empresariales con una detección sin firma , lo que afecta al ataque antes de que comience la cadena de infección. Los usuarios de nuestra versión gratuita no están protegidos contra esta amenaza sin protección en tiempo real.

Recomendamos a los consumidores que realicen las siguientes acciones si no son clientes premium de Malwarebytes:

  • Cree copias de seguridad seguras de sus datos, ya sea en un disco externo o en la nube . Asegúrese de desconectar la unidad externa de su computadora una vez que haya guardado toda su información, ya que también podría estar infectada si aún está conectada.
  • Ejecute actualizaciones en todos sus sistemas y software, parcheando para cualquier vulnerabilidad.
  • Tenga en cuenta los correos electrónicos sospechosos, especialmente aquellos que contienen enlaces o archivos adjuntos. Lea sobre cómo detectar intentos de phishing tanto en su computadora como en sus dispositivos móviles .

Para mitigar el aspecto comercial, también recomendamos a los administradores de TI que hagan lo siguiente:

  • Denegar el acceso IP público al puerto RDP 3389.
  • Reemplace el complemento de integración ConnectWise ManagedITSync de su compañía con la última versión antes de volver a conectar su servidor VSA a Internet.
  • Bloque SMB puerto 445. De hecho, es una buena práctica de seguridad bloquear todos los puertos no utilizados.
  • Aplicar los últimos paquetes de actualización de Microsoft.
  • En este sentido, asegúrese de que todo el software en los puntos finales esté actualizado.
  • Limite el uso de las herramientas de administración del sistema al personal de TI o a los empleados que solo necesitan acceso.
  • Deshabilitar macro en productos de Microsoft Office.
  • Informa regularmente a los empleados sobre las amenazas que podrían estar dirigidas a la industria de la organización o a la propia compañía con recordatorios sobre cómo manejar correos electrónicos sospechosos , como evitar hacer clic en enlaces o abrir archivos adjuntos si no están seguros de la fuente.
  • Aplicar el filtrado de archivos adjuntos a los mensajes de correo electrónico.
  • Cree con regularidad múltiples copias de seguridad de datos, preferiblemente en dispositivos que no estén conectados a Internet.

Indicadores de compromiso (COI)

Hashes de archivo:

  • e713658b666ff04c9863ebecb458f174
  • bf9359046c4f5c24de0a9de28bbabd14
  • 177a571d7c6a6e4592c60a78b574fe0e
Pormalwarebytes

Respuesta a incidentes empresariales: adelantarse a la ola

 

Respuesta a incidentes empresariales: adelantarse a la ola

Respuesta a incidentes empresariales: adelantarse a la ola

Publicado: 10 de julio de 2019 por 

Los defensores de las empresas tienen un trabajo duro. A diferencia de las pequeñas empresas, las grandes empresas pueden tener miles de puntos finales, hardware heredado de fusiones y adquisiciones, y aplicaciones heredadas que son críticas para el negocio y evitan la aplicación de parches a tiempo. Agregue a eso un diluvio de indicadores y metadatos del perímetro que pueden representar las etapas iniciales de un ataque devastador, o puede que no sea nada.

Entonces, ¿cómo salen los defensores de la red detrás de la bola 8? ¿Cómo aportan los líderes una estrategia efectiva para movilizar recursos de respuesta a incidentes (IR)? Para lidiar con problemas complejos como estos, los investigadores de seguridad han desarrollado una serie de modelos de IR para ayudar a llevar una estrategia de máxima eficacia y eficacia a los esfuerzos de defensa de la red.

La cadena cyber kill.

https://en.wikipedia.org/wiki/Kill_chain

En 2011, Lockheed Martin desarrolló la cadena cyber kill . Prestada por el ejército de los EE. UU., La cadena de destrucción esencialmente rompe la mayoría de los ataques cibernéticos a sus elementos constitutivos, y teoriza que el hecho de forzar una parada en cualquiera de las siete fases evitará todo el ataque. Entonces, si un ataque es atrapado en la fase de instalación y remediado, el atacante ya no puede actuar para cumplir con los objetivos. Pero si la protección de punto final puede detener un ataque en la fase de entrega, tanto mejor.

La idea general que hace que la cadena de muertes sea una forma tan atractiva de ver un ataque es que no se puede bloquear todo. Malspam atravesará las defensas del perímetro. El reconocimiento a veces sucederá, te guste o no. La explotación definitivamente ocurrirá con ese empleado que se compromete a hacer clic en todo.

Así que en lugar de lanzar una línea Maginot de defensas cada vez mayores a un costo cada vez mayor, la cadena de muertes sugiere que los defensores tienen siete oportunidades para cerrar un ataque, y pueden luchar en el campo de batalla de su elección. Si bien sería mejor identificar un ataque en la fase de Reconocimiento, matarlo en la fase de Entrega puede mantener la red igual de segura, sin quemar su SOC esperando que lo atrapen todo. Echa un vistazo a algunos detalles más sobre cómo se implementa la cadena kill aquí.

El modelo ATT & CK.

Un modelo algo más granular, ATT & CK es una matriz que mapea una larga lista de capacidades de atacante a una cadena de ataque de 12 pasos. A menudo visto como un complemento de la cadena de muertes, el ATT & CK puede ser un ejercicio útil para hacer coincidir las TTP ya observadas para atacar las fases de la cadena y determinar las prioridades de defensa. Cuando se analizan los casos de uso del modelo, el intercambio de datos de amenazas es uno de los más útiles. El mapeo de una matriz completa de TTP observadas puede ser un método para compartir rápidamente una instantánea del panorama de amenazas en múltiples grupos defensivos u diferentes organizaciones.

Críticas de los modelos IR

La mayoría de las críticas de la cadena de muertes y sus variantes más recientes se reducen a «¿qué pasa con X?» Esto es un poco equivocado, ya que las capacidades de los atacantes cambian con el tiempo, y una matriz completa de TTP sería agotadora y probablemente inexacta. de alguna manera. Con lo que realmente se pretende ayudar a estos modelos es traer inteligencia y estrategia de amenazas al SOC para eliminar la reactividad ciega. El uso de cualquier modelo estratégico puede traer mejores resultados que el monitoreo ciego.

Inteligencia: el punto más grande.

La idea clave para el líder de SOC o CISO que busca implementar un modelo de IR no es elegir el modelo singularmente correcto. Más bien, la implementación de la defensa estratégica en cualquier forma puede aumentar la capacidad de respuesta, la eficiencia y la precisión del SOC. Tener una matriz bien mapeada que vincule los indicadores observados con fases de ataque específicas puede ser una ayuda para priorizar las respuestas, así como para juzgar la gravedad de un ataque exitoso capturado en la mitad del proceso.

Más importante aún, tener un modelo de respuesta a incidentes obliga al personal de SOC a responder a un incidente de una manera estratégica, abordando las amenazas más alejadas de la cadena de ataque primero y utilizando la clasificación de amenazas para obtener información sobre posibles ataques en curso. Al igual que con la guerra convencional, vencer los ataques y ganar la guerra depende de tener un plan.

Pormalwarebytes

Manténgase alejado de los generadores de Bitcoin Cash

Manténgase alejado de los generadores de Bitcoin Cash

Manténgase alejado de los generadores de Bitcoin Cash

Publicado: 3 de julio de 2019 por 

Aquí hay una evolución interesante en una estafa muy desgastada: tomar una ganancia falsa generadora de ganancias y convertirla en algo completamente distinto.

Durante años, los jugadores se han quedado atascados navegando por las aguas traicioneras de los sorteos de videojuegos falsos . Con tantos sorteos de juegos genuinos reales, nunca estás seguro de si un sitio que ofrezca puntos de Xbox gratis, o créditos de Steam, o contenido descargable, hará lo que dice.

Por lo general, el sitio le pedirá que elija su recompensa, luego «verifique que es un ser humano» o simplemente ayude en un proceso ficticio haciendo clic en un anuncio o completando una encuesta o descargando un archivo y esperando que no sea malware.

El jugador nunca recibe sus recompensas . Sin embargo, pueden terminar con algunos visitantes inesperados en sus escritorios.

¿Cuál es el cambio aquí?

Un individuo emprendedor claramente ha tenido suficiente de la naturaleza salvaje de los videojuegos y ha decidido intentar ganar dinero en un ámbito menos explorado.

Paso a paso, Bitcoin, o para ser más precisos, Bitcoin Cash . Bitcoin efectivo es una forma de criptomoneda que siguió su propio camino en 2017, y luego se divide de nuevo en lo que sólo puedo llamar a la gran Bitcoin guerra en efectivo de 2018 cuando dos grupos rivales imaginaron muy diferentes direcciones para la moneda en ciernes.

La intención, con o sin división, se suponía que era una moneda digital que funcionaba más como una moneda que como una inversión digital. Es este terreno fértil el que prepara la escena para el sitio que estamos a punto de ver: Bitcoin-cash-generator (punto) com.

Generador de monedas

Click para agrandar

Empezando las cosas

El sitio web afirma que «inyecta exploits en los conjuntos de efectivo de Bitcoin y la cadena de bloques». Intentan presionar a los visitantes desde el principio, afirmando que limitan el uso de la herramienta a 30 minutos por dirección IP, hasta un beneficio máximo de 2.5 BCH. Eso es alrededor de £ 815 / US $ 1,024, así que es un poco ordenado de ganancias por saltar algunos aros. Para referencia, la cantidad mínima que un visitante puede solicitar es 0.1 BCH, aproximadamente £ 32 / US $ 41.

Cualquiera que sea la porción del pastel que un visitante elija, van a recuperar un poco de dinero … ¿O lo son?

¿En qué aros tenemos que saltar?

A diferencia de muchos sitios de estafa de juegos similares, sorprendentemente poco. Sin un aspecto social, no hay ninguna razón real para pegar botones de compartir en todo el lugar o pedir que se los envíen a los amigos. Esto es todo sobre el visitante del sitio solamente. Simplemente tienen que “Ingrese su dirección de efectivo de Bitcoin abajo [sic]” y mueva un control deslizante para seleccionar la cantidad deseada. (Y realmente, ¿quién elegirá algo menos que el máximo?) Luego, presionan el botón de inicio.

Las ventanas emergentes abundan de otras direcciones IP que reciben cantidades. «La gente» en la sala de chat confirma que funciona muy bien. Cualquier duda que pueda haber tenido un usuario probablemente haya desaparecido en este punto.

Confirmar cantidad

Click para agrandar

Después de confirmar la cantidad deseada, nos dirigimos a las carreras «este sitio web no está haciendo nada».

Construyendo la mentira

Aquellos que estén familiarizados con los puntos de juegos falsos / sitios web de tarjetas de regalo gratis conocerán el ejercicio. Aparece una colección de cajas aleatorias, que afirman estar pirateando el Gibson. Cuanto más vagamente técnico sea el sonido de todo, mejor, cualquier cosa que venda la visión de las hazañas reales, de honestidad a bondad, haciendo cosas extrañas de explotar en el fondo.

Solicitudes de transferencia

Click para agrandar

«Inyectar solicitudes de transferencia en la cadena de bloques». Odio cuando eso sucede.

Tiempo de tunel

Click para agrandar

“Conexión al canal de mantenimiento de blockchain”

Bueno, por supuesto, siempre es útil cuando se conecta al antiguo canal de mantenimiento de la cadena de bloques.

Este es uno   de mis favoritos en particular, ya que es el intento de cada programa de televisión de mostrarte algo de piratería en una pantalla en una imagen hilarante:

Parece legitimo

Click para agrandar

También es útil para desenterrar varios sitios web similares que aparentemente usan aspectos del mismo código «Definitivamente estamos pirateando una cadena de bloques honesta».

Durante el supuesto proceso de piratería, se hacen varias reclamaciones en las que varios intentos no han logrado obtener el efectivo, pero continúan perseverando en ello. Si bien muchas de las estafas de encuestas son casi instantáneas, estas cosas realmente extienden la ilusión y hacen que los visitantes esperen unos minutos mientras la batalla titánica (ficticia) se desvanece.

Eventualmente: ¡éxito!

Lamentablemente, el éxito tiene un precio. En este punto, esta nueva encuesta le pedirá que complete algunas ofertas. El sitio de puntos de videojuegos gratuitos le pedirá que instale un juego dudoso o enlaces de spam en las redes sociales.

¿Aquí?

Necesitan que hagas una pequeña donación, porque por supuesto que sí. El sitio dice lo siguiente:

La red de BitcoinCash requiere que se pague una pequeña tarifa por cada transacción que se envíe a los mineros, de lo contrario, es posible que una transacción nunca se confirme. Para garantizar que su transacción se confirme de manera consistente y confiable, pague a los mineros una tarifa de 0.00316 BCH por esta transacción en: [dirección de la billetera]

La solicitud de 0.00316 BCH (aproximadamente £ 1 / US $ 1.30) se realiza independientemente de si solicita la cantidad mínima / máxima de efectivo gratis. No se escala hacia arriba.

se requiere donación

Click para agrandar

¿Esto funciona?

La única cosa que no funciona en todo esto es visitantes del sitio web que envían pequeñas cantidades de dinero a la gente detrás del sitio web (s). Como se mencionó anteriormente, hemos visto algunos otros sitios que hacen lo mismo, como freebtc (punto) uw (punto) hu y smartcoingenerator (punto) com:

Generador de bitcoin

Click para agrandar

generadores adicionales

Click para agrandar

Senderos de dinero

Un aspecto interesante de este tipo de estafa que se ramifica en el mundo de las monedas digitales es una mayor visibilidad de las travesuras del propietario del sitio. Solo puede llegar tan lejos con estafas de encuesta o perfiles de redes sociales al azar que envían enlaces de spam. Aquí, sin embargo, gran parte de lo que constituye una transacción digital está ahí fuera en el éter como un asunto de registro público.

Hay industrias completas dedicadas al análisis de las transacciones de Bitcoin y cómo las personas hacen que su dinero digital fluya por los tubos del dinero. En general, la experiencia de la mayoría de la gente de ver cómo se mueven las ruedas de Bitcoin se centra en Bitcoin antiguo y simple. Bitcoin Cash es un poco diferente, pero todavía puedes echar un vistazo detrás de escena.

Los diversos sitios que hemos visto ofrecen diferentes direcciones para enviar sus «pequeñas transacciones», y no todos están enfocados en BitCoin Cash. Con referencia a la utilizada en Bitcoin Cash Generator, parecen haber ganado un poco de dinero hasta ahora . Sin embargo, parece dudoso que alguien se retire de eso.

Otra estafa muerde el polvo

Estos sitios de Bitcoin Cash Generator son otro subgénero de estafas de encuestas que deben presentarse bajo la etiqueta «Algo para nada». Si obtener la moneda digital en tus manos fuera tan fácil, todos lo harían. En cambio, es un punto de venta único para un puñado de sitios web que acechan en las esquinas de la red.

Pormalwarebytes

La Inteligencia Artificial maliciosa está llegando. ¿Está listo el mundo de la seguridad?

Informe de Labs: La IA maliciosa está llegando. ¿Está listo el mundo de la seguridad?

Informe de Labs: La IA maliciosa está llegando. ¿Está listo el mundo de la seguridad?

Publicado: 19 de junio de 2019 por 
Última actualización: 18 de junio de 2019

Imagina un mundo en el que la inteligencia artificial se ha vuelto rebelde: los robots se han rebelado contra sus amos y ahora han esclavizado a toda la humanidad. No hay más belleza natural en el mundo y todo es horrible.

¿Sacar eso de tu sistema? Bueno.

La realidad de la IA maliciosa, al menos en el futuro cercano, es mucho menos distópica. Sin embargo, esuna realidad, y estará aquí antes de lo que la gente pueda pensar. Al igual que con toda la tecnología disruptiva, después de la adopción temprana y feliz, pronto sigue el abuso. Y si los cibercriminales saben una cosa, es cómo sacar provecho de una tendencia.

Por lo tanto, el último informe de Malwarebytes Labs adopta un enfoque pragmático para evaluar los peligros de la IA y el aprendizaje automático (ML), analizando exactamente cómo se utilizan estas tecnologías hoy en día, sus beneficios y nuestras preocupaciones por el abuso en el futuro cercano. ¿Por qué? Para que los desarrolladores, profesionales de la seguridad y otras organizaciones puedan incorporar AI de manera responsable y protegerse contra posibles ataques.

Sin más preámbulos, presentamos:

Cuando la inteligencia artificial sale mal: separar la ciencia ficción de la realidad