Desde que el coronavirus se convirtió en un problema de salud en todo el mundo, el deseo de obtener más información y orientación del gobierno y las autoridades de salud ha alcanzado un punto álgido. Esta es una oportunidad de oro para que los actores de amenazas aprovechen el miedo, difundan información errónea y generen histeria masiva, todo mientras comprometen a las víctimas con estafas o campañas de malware.
Sacar provecho de las preocupaciones mundiales de salud, los desastres naturales y otros eventos climáticos extremos no es nada nuevo para los cibercriminales. Las estafas relacionadas con el SARS, la gripe H1N1 (gripe porcina) y la gripe aviar han circulado en línea durante más de una década. Según los informes de ZDnet , muchos actores de amenazas patrocinados por el estado ya han comenzado a distribuir señuelos de coronavirus, que incluyen:
APT chinos: Panda vicioso, Panda Mustang
APT de Corea del Norte: Kimsuky
APT rusos: grupo Hades (se cree que tiene vínculos con APT28), TA542 ( Emotet )
Otros APT: Sweed (Lokibot)
Recientemente, el equipo de Red Drip informó que APT36 estaba usando un documento de advertencia de salud señuelo para difundir una Herramienta de administración remota (RAT).
Se cree que APT36 es un actor de amenaza patrocinado por el estado paquistaní que apunta principalmente a la defensa, las embajadas y el gobierno de la India. APT36 realiza operaciones de ciberespionaje con la intención de recopilar información confidencial de la India que respalde los intereses militares y diplomáticos paquistaníes. Este grupo, activo desde 2016, también se conoce como Transparent Tribe , ProjectM, Mythic Leopard y TEMP.Lapis.
APT36 difunde aviso de salud falso sobre coronavirus
APT36 se basa principalmente en ataques de phishing y de pozos de agua para afianzarse en las víctimas. El correo electrónico de phishing es un documento macro malicioso o un archivo rtf que explota vulnerabilidades, como CVE-2017-0199.
En el ataque temático de coronavirus, APT36 usó un correo electrónico de phishing con enlace a un documento malicioso (Figura 1) disfrazado como el gobierno de la India ( email.gov.in.maildrive [.] Email /? Att = 1579160420 ).
Figura 1: documento de phishing que contiene código macro malicioso
Observamos las campañas de phishing anteriores relacionadas con este APT y podemos confirmar que este es un nuevo patrón de phishing de este grupo. Los nombres utilizados para directorios y funciones son probablemente nombres urdu.
El documento malicioso tiene dos macros ocultas que sueltan una variante RAT llamada Crimson RAT. La macro maliciosa (Figura 2) primero crea dos directorios con los nombres «Edlacar» y «Uahaiws» y luego verifica el tipo de sistema operativo.
Figura 2: macro maliciosa
Según el tipo de sistema operativo, la macro elige una versión de 32 bits o 64 bits de su carga útil RAT en formato zip que se almacena en uno de los dos cuadros de texto en UserForm1 (Figura 3).
Figura 3: cargas útiles integradas en formato ZIP
Luego, suelta la carga de zip en el directorio de Uahaiws y descomprime su contenido utilizando la función «UnAldizip», dejando caer la carga de RAT en el directorio de Edlacar. Finalmente, llama a la función Shell para ejecutar la carga útil.
RAT carmesí
Crimson RAT ha sido escrito en .Net (Figura 4) y sus capacidades incluyen:
Robar credenciales del navegador de la víctima
Listado de procesos, unidades y directorios en ejecución en la máquina de la víctima
Recuperando archivos de su servidor C&C
Usando el protocolo TCP personalizado para sus comunicaciones C&C
Recopilación de información sobre software antivirus
Capturando capturas de pantalla
Figura 4: RAT Carmesí
Al ejecutar la carga útil, Crimson RAT se conecta a sus direcciones IP de C&C codificadas y envía la información recopilada sobre la víctima al servidor, incluida una lista de procesos en ejecución y sus ID, el nombre de host de la máquina y su nombre de usuario (Figura 5).
Figura 5: comunicaciones TCP
Uso continuo de RAT
APT36 ha utilizado muchas familias diferentes de malware en el pasado, pero ha implementado principalmente RAT, como BreachRAT, DarkComet, Luminosity RAT y njRAT.
En campañas anteriores, pudieron comprometer las bases de datos militares y gubernamentales de la India para robar datos confidenciales, incluidos documentos de estrategia y entrenamiento del ejército, documentos tácticos y otras cartas oficiales. También pudieron robar datos personales, como escaneos de pasaportes y documentos de identificación personal, mensajes de texto y detalles de contacto.
Protección contra las ratas
Si bien la mayoría de los usuarios en general no deben preocuparse por los ataques de estado-nación, las organizaciones que desean protegerse contra esta amenaza deberían considerar usar un sistema de protección de punto final o detección y respuesta de punto final con bloqueo de exploits y detección de malware en tiempo real.
Acumulando vulnerabilidades manteniendo todo el software (incluyendo Microsoft Excel y Word) escudos actualizados contra ataques de exploits. Además, capacitar a los empleados y usuarios para evitar abrir recursos de coronavirus de fuentes no protegidas puede proteger contra este y otros ataques de ingeniería social de actores de amenazas.
Los usuarios de Malwarebytes están protegidos contra este ataque. Bloqueamos la ejecución maliciosa de macros, así como su carga útil con nuestra capa de protección de comportamiento de aplicaciones y detección de malware en tiempo real.
Indicadores de compromiso
URL de señuelo
email.gov.in.maildrive [.] email /? att = 1579160420 email.gov.in.maildrive [.] email /? att = 1581914657
RemoteSec: lograr niveles de seguridad locales con equipos remotos basados en la nube
Al corriente: por Dan Macharia Última actualización:
El mundo del trabajo está cambiando, por momentos, se siente en estos días. Con el inicio de la pandemia mundial de coronavirus, las organizaciones de todo el mundo están luchando para preparar a su fuerza laboral y su infraestructura para un derrumbe de conexiones remotas. Esto significa que el perímetro de seguridad de las empresas pequeñas y grandes se ha transformado prácticamente de la noche a la mañana, lo que requiere que los líderes de TI reconsideren la forma en que protegen a sus organizaciones.
Incluso antes de la propagación del virus, la preparación de protocolos de seguridad empresarial para una combinación de trabajo remoto y local se había convertido en una conclusión inevitable. Con el aumento de la globalización y la conectividad, el trabajo remoto complementa rápidamente, si no reemplaza por completo, las tradicionales 9-5 horas de oficina. Upwork Global predice que para 2028, hasta el 78 por ciento de todos los departamentos tendrán trabajadores remotos.
Esta tendencia está afectando a empresas de todos los tamaños. De hecho, un estudio realizado por Owl Labs indica que las empresas más pequeñas tienen el doble de probabilidades de contratar trabajadores remotos a tiempo completo, y un estudio sobre el estado del teletrabajo descubrió que el teletrabajo creció un 115 por ciento en la última década.
Estas cifras muestran claramente que el trabajo remoto llegó para quedarse, ya sea en respuesta rápida a crisis graves o simplemente como un cambio lento y social. Lo que las empresas ahora están lidiando es cómo administrar una fuerza laboral remota remota y, más aún, los desafíos de seguridad que conlleva ese crecimiento.
En el pasado, el trabajo tradicional facilitaba la creación y el cumplimiento de políticas de seguridad locales. Los controles simples como el acceso lógico y físico se manejaron a través de un comando centralizado y una jerarquía de control. A medida que las fuerzas de trabajo se distribuyen cada vez más, tales jerarquías de seguridad comienzan a tener un rendimiento inferior. Las empresas ahora se enfrentan a nuevos desafíos de seguridad planteados por las diversas condiciones de trabajo en las que operan los trabajadores remotos.
El auge de RemoteSec
Remote Security, o RemoteSec , es un conjunto de herramientas de seguridad, políticas y protocolos que rigen la infraestructura de TI que admite equipos remotos. Como la mayoría de los trabajadores remotos dependen en gran medida de las herramientas y plataformas en la nube, RemoteSec aborda los desafíos de seguridad que casi siempre entran en esta categoría, aunque otras herramientas, como las redes privadas virtuales (VPN) desempeñan un papel, ya que a menudo se implementan para establecer conexiones seguras a la nube.
Para cualquier empresa que trabaje con equipos remotos, comprender el papel que juega la seguridad en la nube en la protección de los equipos remotos es crucial para lograr la seguridad remota general. Sin embargo, un desafío que queda es cómo replicar el éxito de la seguridad local dentro de un entorno de nube.
Antes de profundizar en los detalles de RemoteSec, es crucial notar la diferencia entre RemoteSec y la política general de ciberseguridad. Si bien ambos tratan con la seguridad de los recursos en red, RemoteSec se enfoca principalmente en proteger los equipos remotos y los recursos en la nube que usan. Como tal, las organizaciones con políticas de ciberseguridad pueden necesitar extenderlas para cubrir los problemas de seguridad que surgen cuando los trabajadores remotos que dependen de la infraestructura de la nube se agregan a la matriz de la fuerza laboral.
Consideraciones cruciales de RemoteSec
Los trabajadores remotos, que incluyen trabajadores independientes, contratistas o empleados internos que trabajan desde casa, en espacios de coworking o en cafeterías, realizan su trabajo en un conjunto diverso de condiciones. Estas condiciones únicas e impredecibles forman el cuerpo de desafíos que enfrenta RemoteSec.
Por ejemplo, el 46 por ciento de los miembros del personal admiten mover archivos entre el trabajo y las computadoras personales mientras trabajan desde casa. Otro 13 por ciento admite enviar correos electrónicos de trabajo a través de direcciones de correo electrónico personales porque no pueden conectarse a una red de oficina.
Con estos desafíos en mente, aquí hay algunas consideraciones cruciales de RemoteSec en las que debe enfocarse para asegurar sus equipos remotos.
Ubicación global de empleados
Los trabajadores remotos que se extienden por todo el mundo enfrentan diferentes desafíos de seguridad. Como cada parte del mundo tiene sus propias características únicas de infraestructura de TI, es esencial estandarizar los entornos de trabajo remotos para todo su equipo. El uso de VPN y escritorios virtuales puede ayudar a proporcionar un entorno de trabajo uniforme y seguro para su equipo remoto, a pesar de su ubicación en el mundo.
Políticas de seguridad de datos remotos
La seguridad de los datos es un desafío importante cuando se trabaja con equipos remotos. Por ejemplo, los trabajadores remotos pueden acceder a puntos de acceso público de Wi-Fi no seguros, exponiendo los datos de la empresa a espías o cibercriminales. Además, los trabajadores remotos pueden usar herramientas gratuitas de almacenamiento de datos como Google Drive sin saber que dichas herramientas son vulnerables a los ataques de ransomware.
RemoteSec aborda estos problemas a través de políticas integrales de datos en la nube que cubren el acceso a datos remotos, puntos de acceso público, dispositivos USB, administración de contraseñas , administración de dispositivos, cumplimiento de redes y otros.
Infraestructura informática y de red
La seguridad de punto final es otra área que las organizaciones deben abordar cuando se trata de RemoteSec. Los trabajadores remotos tienden a usar múltiples puntos finales (dispositivos) para acceder a los recursos de la empresa. Sin embargo, en muchos casos, estos dispositivos pueden no ser seguros o pueden conectarse a través de canales de red no seguros.
La emisión de políticas de administración de dispositivos móviles (MDM), el uso de VPN seguras, la implementación de seguridad de punto final basada en la nube en todos los dispositivos remotos y la aplicación de protocolos de red de nube segura pueden garantizar que los trabajadores remotos no eludan las medidas de seguridad de la red o punto final.
Soporte remoto de TI
No todos los trabajadores remotos son expertos en tecnología. A medida que más roles se trasladen a remoto, los trabajadores remotos no técnicos pueden enfrentar desafíos para acceder al soporte de TI. Si un trabajador remoto en la mitad del mundo experimenta problemas técnicos, puede recurrir a un soporte de TI externo y no seguro, exponiendo los recursos confidenciales de su empresa. El uso de herramientas en la nube para brindar soporte de TI puede ayudar a mantener una seguridad perfecta en toda su fuerza de trabajo remota técnica y no técnica.
Herramientas de seguridad locales frente a RemoteSec basado en la nube
La mayoría de las empresas ensalzan las virtudes de la seguridad local y con razón. La seguridad local es el estándar de oro de la seguridad de la información. Sin embargo, ese estándar se desmorona cuando se enfrenta a la fuerza laboral híbrida actual de equipos remotos y profesionales internos que utilizan una amplia gama de puntos finales, especialmente cuando esa fuerza laboral es llevada rápidamente a sus hogares por motivos de seguridad. ¿Por qué? Porque los protocolos de seguridad locales están diseñados para contener información en una caja hermética.
Los equipos en la nube y remotos no solo abren ese cuadro, sino que también convierten la organización en una plataforma abierta con múltiples puntos de acceso y puntos finales. Entonces, ¿cómo puede una organización alcanzar niveles de seguridad locales con equipos remotos en la nube? La respuesta está en usar las herramientas de seguridad adecuadas para migrar su organización de una mentalidad local a una que considere la seguridad remota por igual.
Las herramientas de seguridad en la nube incluyen infraestructura de escritorio, instantáneas del sistema de archivos, monitoreo remoto de datos y actividades, y cifrado remoto de dispositivos y borrado de datos. Dichos mecanismos no solo protegen los datos de la empresa, sino que brindan más control sobre los recursos de TI utilizados por los trabajadores remotos.
Además, la implementación de un servicio de inicio de sesión único con autenticación multifactor puede proteger mejor los datos de la empresa almacenados en la nube, así como ayudar en la gestión del acceso. Las VPN, tanto de escritorio como móviles, pueden proporcionar autenticación adicional a la vez que encriptan el tráfico de red y ocultan detalles privados, que pueden ser necesarios al conectarse en lugares públicos.
Un cambio masivo
Los servicios en la nube , a la vez el héroe y el villano de la seguridad de la información, demostrarán ser un as bajo la manga para las empresas que están dejando de cumplir con los estándares de seguridad locales de bajo rendimiento. Si bien el trabajo remoto parece haberse dado cuenta, y a veces es necesario, solo estamos al comienzo de un cambio tectónico masivo en la forma en que se realiza el trabajo.
RemoteSec, por lo tanto, es un campo de seguridad emergente en seguridad, uno que se ha discutido durante años pero que nunca se ha probado en este grado. A medida que las organizaciones ganen más trabajadores remotos, la necesidad de adoptar RemoteSec a la vanguardia de la política de ciberseguridad solo aumentará. Abordar las áreas cruciales descritas anteriormente puede ayudar a las organizaciones a mitigar los riesgos emergentes al tiempo que adopta una fuerza de trabajo remota.
Día Internacional de la Mujer: el conocimiento de las aplicaciones de stalkerware, monitoreo y spyware en aumento
Al corriente: por David Ruiz Última actualización:
Hace nueve meses, Malwarbytes se comprometió nuevamente a detectar aplicaciones de monitoreo invasivas que pueden provocar un daño excesivo a las mujeres, más comúnmente conocido como stalkerware. Nos comprometimos a aumentar la conciencia pública, llegar a grupos de defensa y compartir muestras e inteligencia con otros proveedores de seguridad.
Ahora, para el Día Internacional de la Mujer (8 de marzo), decidimos medir nuestros esfuerzos, examinando los efectos de nuestra campaña y divulgación, así como la formación de la Coalición contra Stalkerware , de la cual fuimos miembros fundadores. ¿Realmente hemos hecho la diferencia?
Como recordatorio, o para aquellos que no lo han seguido: Stalkerware y otras aplicaciones de monitoreo pueden permitir que un usuario mire a través de los mensajes de texto de otra persona, grabe sus llamadas telefónicas, encienda las cámaras y micrófonos de su teléfono, revise sus archivos privados , observe su historial de búsqueda y rastree su ubicación GPS, todo sin consentimiento.
Sabemos que el stalkerware, las aplicaciones de monitoreo y otros con capacidades similares al spyware presentan un claro potencial de violaciones de la privacidad. Sin embargo, estas aplicaciones y otros dispositivos de Internet de las cosas (IoT) , como termostatos inteligentes, timbres y cerraduras, se han relacionado con múltiples casos de acoso físico, acoso cibernético y violencia doméstica. De hecho, según la línea directa nacional de violencia doméstica , las víctimas de abuso y acoso digital tienen dos veces más probabilidades de ser maltratadas físicamente, dos veces y media más probabilidades de ser maltratadas psicológicamente y cinco veces más probabilidades de ser sexualmente coaccionado
Si bien muchas aplicaciones de stalkerware se comercializan o clasifican a sí mismas como aplicaciones de monitoreo parental , sus capacidades técnicas son esencialmente las mismas, a veces a la par con el nivel de vigilancia perpetrado por los actores de los estados nacionales. Peor aún, cuando se les pone en manos de los abusadores domésticos, pueden desmantelar por completo la vida de un sobreviviente, revelando su ubicación si están tratando de escapar o descubriendo sus mensajes privados si intentan discutir un plan de seguridad.
Sin embargo, a pesar de todo su potencial de daño emocional y físico, la comunidad de ciberseguridad ha barrido con frecuencia el stalkerware. La mayoría de las compañías antivirus no detectan aplicaciones de monitoreo; o si lo hacen, usan un lenguaje débil que indica que la amenaza no es tan grave como el malware.
Eso es lo que hizo que la directora de ciberseguridad de Electric Frontier Foundation, Eva Galperin, comenzara a llamar a las compañías de antivirus en abril de 2019 para una mejor protección. Y es por eso que nos pusimos de pie con ella, para duplicar lo que comenzamos hace más de cinco años con nuestros propios esfuerzos de detección de stalkerware.
Echemos un vistazo a cómo estamos hasta ahora. Estos son los números en stalkerware.
En total, nuestros artículos han sido leídos casi 65,000 veces. Los términos «stalkerware», «aplicación stalkerware» y «stalkerware Android» han ganado un poco de impulso en la búsqueda de Google durante el último año, mostrando signos de vida en junio de 2019, el mes en que publicamos nuestro primer artículo de la campaña. Un pequeño aumento en julio también coincide con nuestra propia cobertura, así como con Google Play que saca siete aplicaciones stalkerware de su tienda. El mayor golpe en la conciencia general fue a fines de octubre y principios de noviembre de 2019, cuando los meses de Seguridad Nacional Cibernética y Conciencia Nacional sobre la Violencia Doméstica coincidieron con que la FTC presentó su primer caso de stalkerware , multando a los desarrolladores de aplicaciones por violaciones.
Interés global en el término de búsqueda «stalkerware» durante 12 meses, con el número 100 representando el nivel de interés más altoEl término de búsqueda «aplicación stalkerware» ha estado ganando fuerza desde octubre de 2019, viendo su pico más fuerte después de un esfuerzo concertado para sensibilizar a la Coalición en torno a la Conferencia RSA a fines de febrero de 2020.
Monitor móvil y categorías de spyware: detecciones globales de stalkerware
A pesar de la popular etiqueta «stalkerware», Malwarebytes no utiliza el término para clasificar las detecciones de aplicaciones dentro de nuestro producto, ya que las técnicas de marketing turbias a menudo pueden dificultar la distinción entre stalkerware, lugar de trabajo o aplicaciones de monitoreo parental. En cambio, observamos las capacidades técnicas del software y detectamos que las aplicaciones de stalkerware pertenecen a la categoría de monitor o spyware.
Desde el 1 de marzo de 2019 hasta el 1 de marzo de 2020, Malwarebytes detectó aplicaciones de monitor 55.038 veces en Malwarebytes para dispositivos de usuarios de Android. Durante el mismo período del año anterior, se detectaron aplicaciones de monitor 44.116 veces. Eso es un aumento de más de 10,000 detecciones en un solo año.
Debemos ser claros: el aumento en la detección de monitores no garantiza automáticamente un aumento en el uso de estas aplicaciones. Debido a que Malwarebytes mejoró sus capacidades para encontrar aplicaciones de monitoreo, nuestro volumen de detección aumentó. Reforzamos nuestro conjunto de datos de forma independiente, pero también trabajamos con otros proveedores de ciberseguridad en la Coalición contra Stalkerware para mejorar nuestros resultados.
Sin embargo, una encuesta de febrero de 2020 realizada por Norton LifeLock sobre » rastreo en línea» descubrió que el 49 por ciento de los encuestados admitió «acosar» a su pareja o ex en línea sin su conocimiento o consentimiento, un número que sugiere una aceptación general del comportamiento de acoso en línea hoy. ¿Eso significa que hay más desarrolladores y usuarios de aplicaciones de monitoreo que antes? Necesitaríamos realizar un metaestudio e incluir más puntos de datos que nuestra propia telemetría para determinar esa verdad. Lo que sí sabemos es que hoy, Malwarebytes detecta 2.745 variantes de aplicaciones de monitor, un aumento de casi 1.000 respecto al año anterior.
Curiosamente, del 1 de marzo de 2019 al 1 de marzo de 2020, Malwarebytes para Android registró 1,378 detecciones de spyware en los dispositivos de los usuarios. Sin embargo, en el año anterior, Malwarebytes detectó spyware 2.388 veces para los usuarios del mismo grupo. De hecho, aunque ahora detectamos 318 variantes de aplicaciones de spyware para dispositivos Android, un aumento de casi 40 respecto al año anterior, nuestras detecciones aún disminuyeron año tras año.
La disminución en las detecciones de spyware quizás apunta a algo diferente: una decisión de evitar hacer y utilizar estas herramientas. Mientras que las aplicaciones de tipo stalkerware han visto poca aplicación, ya sea del gobierno o de individuos y compañías, las aplicaciones de spyware han recibido un escrutinio más profundo. Esta semana, WhatsApp avanzó con su demanda contra un importante desarrollador de software espía .
Al observar nuestros datos, también descubrimos estas amenazas en casi todas partes del mundo. Malwarebytes detectó APK de monitoreo en los EE. UU., India, Indonesia, el Reino Unido, Brasil, Irlanda, Francia, Rusia, México, Italia, Canadá, Alemania, Bangladesh, Australia y los Emiratos Árabes Unidos. Estados Unidos representó la mayor proporción de detecciones, pero es cierto que también representa la mayor proporción de nuestra base de usuarios.
Si bien nuestra telemetría muestra que las aplicaciones de monitoreo continúan afectando a los usuarios en todas partes, los datos no muestran la relación más amplia entre este tipo de aplicaciones y el acoso, el acoso cibernético y la violencia doméstica.
Monitoreo de aplicaciones y violencia doméstica
Según Danielle Citron, profesora de derecho en la Facultad de Derecho de la Universidad de Boston, las aplicaciones de monitoreo, o lo que ella llama aplicaciones de «acoso cibernético», se han relacionado con múltiples casos de violencia doméstica y abuso. Como escribió en su artículo de 2015 » Spying Inc. «
“Una mujer huyó de su abusador que vivía en Kansas. Debido a que su abusador había instalado una aplicación de acoso cibernético en su teléfono, su abusador sabía que se había mudado a Elgin, Illinois. La siguió hasta un refugio y luego a la casa de un amigo donde la agredió e intentó estrangularla. En otro caso, una mujer intentó escapar de su esposo abusivo, pero como él había instalado una aplicación de acecho en su teléfono, pudo localizarla a ella y a sus hijos. El hombre asesinó a sus dos hijos. En 2013, un hombre de California, usando una aplicación de spyware, rastreó a una mujer hasta la casa de su amiga y la agredió ”.
Además, según la encuesta de NortonLifeLock, el uso de aplicaciones de tipo stalkerware es solo uno de varios comportamientos en los que los estadounidenses se involucran para verificar en línea a sus ex y actuales parejas románticas.
La Encuesta Creeping en línea, que incluyó respuestas de más de 2,000 adultos en los EE. UU., Mostró que 1 de cada 10 estadounidenses admitió haber usado aplicaciones de tipo stalkerware contra sus ex o actuales parejas románticas. La encuesta también encontró que el 21 por ciento de los encuestados revisó el historial de búsqueda de dispositivos de un socio sin permiso, y el 9 por ciento dijo que creó un perfil falso de redes sociales para verificar a un ex o actual socio.
Kevin Roundy, director técnico de NortonLifeLock, advirtió sobre estos comportamientos.
«Algunos de los comportamientos identificados en la Encuesta de Creeping en línea NortonLifeLock pueden parecer inofensivos, pero existen serias implicaciones cuando esto se convierte en un patrón de comportamiento y se intensifica, o cuando las aplicaciones de stalkerware y creepware entran en manos de un ex o compañero abusivo», dijo Roundy. dijo.
Como Malwarebytes informó el año pasado , algunos de estos comportamientos están estrechamente asociados con los delitos de acoso y ciberacoso en los Estados Unidos. El uso de aplicaciones de monitoreo o spyware puede crear condiciones en las cuales los abusadores domésticos pueden seguir las ubicaciones de GPS de sus parejas y permitirles mirar sus conversaciones privadas a través de mensajes de texto y correos electrónicos. Para los sobrevivientes de abuso doméstico que intentan escapar de una situación peligrosa, el stalkerware puede ponerlos en un riesgo aún mayor.
Desafortunadamente, gran parte del comportamiento relacionado con el acoso y el acoso cibernético perjudica desproporcionadamente a las mujeres.
Según un informe nacional de aproximadamente 13,000 entrevistas realizadas por los Centros para el Control y la Prevención de Enfermedades (CDC), se estima que el 15.2 por ciento de las mujeres y el 5.7 por ciento de los hombres han sido acosados en su vida.
Datos similares de la Oficina de Estadísticas de Justicia mostraron casi la misma discrepancia. En un período de seis meses, de más de 65,000 estadounidenses entrevistados, el 2.2 por ciento de las mujeres informaron que habían sido acosadas, mientras que el 0.8 por ciento de los hombres informaron lo mismo.
Si bien las víctimas de acoso incluyen tanto hombres como mujeres, los datos de ambos estudios muestran que las mujeres son acosadas aproximadamente un 270 por ciento más a menudo que los hombres.
qué más podemos hacer?
El problema de stalkerware está enredado y es complejo. Los creadores de este tipo de aplicaciones a menudo eluden las acciones de aplicación del gobierno, con solo dos desarrolladores que recibieron consecuencias federales en los últimos seis años . Los usuarios de estas aplicaciones pueden variar de individuos que consienten ser rastreados a abusadores domésticos que nunca buscan el consentimiento.
Y la forma en que se pueden usar estas aplicaciones puede violar las leyes federales y estatales, sin embargo, cuando las aplicaciones se usan junto con el acoso y el acoso cibernético, las víctimas de estos delitos a menudo evitan involucrarse con la policía para buscar ayuda. Incluso si las víctimas trabajan con la policía, a menudo tienen una prioridad: detener el daño, no presentar demandas prolongadas contra sus acosadores o abusadores.
Aunque esta amenaza puede parecer resbaladiza, hay mucho que podemos hacer en la comunidad de ciberseguridad. Podemos detectar mejor este tipo de amenazas e informar a los usuarios sobre sus peligros. Podemos capacitar a defensores del abuso doméstico sobre la seguridad de los dispositivos para ellos y para los sobrevivientes a quienes apoyan, algo que Malwarebytes ya ha hecho y seguirá haciendo. Podemos reunir una coalición creciente de socios para compartir inteligencia y muestras para luchar colectivamente.
Podemos trabajar con las fuerzas del orden para mejorar su propia conciencia y capacitación en seguridad cibernética, demostrando las formas en que la tecnología puede y ha sido abusada o desarrollando una taxonomía colaborativa para informes inteligentes y eficientes. Finalmente, podemos asociarnos con investigadores de violencia doméstica para comprender mejor lo que los sobrevivientes de abuso doméstico necesitan para la seguridad y protección digital, y luego implementar esos cambios.
Nosotros hacemos la tecnología. Podemos mejorar la protección de los usuarios en todas partes.
Todo puede sonar un poco esotérico y sin relación con sus requisitos generales del día a día, pero las VPN son absolutamente un tema principal ya sea en casa o en el lugar de trabajo. La pregunta hoy en día probablemente no sea tanto «¿Necesitamos una VPN?» como «¿Cómo aprovechamos al máximo la VPN que acabamos de comprar?»
Con eso en mente, vamos directamente al grano: vamos a repasar los pros y los contras de subirse al carro de VPN. Con suerte, tendrás una mejor idea de algunas de las ventajas y desventajas asociadas con este reino.
Por supuesto, vale la pena mencionar los riesgos calculados asumidos al suscribirse a un proveedor de VPN. Si está decidido a mantener sus datos seguros y preservar su anonimato, eso es genial. Sin embargo, esa idea desaparece si simplemente te registras en el primer servicio que encuentras.
Contras de VPN: falsificaciones, pícaros y el brazo largo de la ley
Por favor, no caigas en la trampa de pensar: «Tengo mi VPN, y ahora soy un inmortal digital». No hay nada peor que exagerar las protecciones teóricas de todas las cosas desagradables.
Por ejemplo, el 100% de anonimato no es una garantía. ¿ Cómo puede estar seguro de que el proveedor X no guarda registros? ¿Es cierto solo porque lo dijeron? ¿Qué sucede si la policía se presenta en su puerta con una orden judicial? No podrán entrar en una pelea con la ley si pueden evitarla, por lo que es probable que lo que tengan se dirija en la dirección general de los poderes fácticos . Esto depende en gran medida de dónde se encuentra la VPN, por lo que todos los casos son diferentes, algo a tener en cuenta al hacer una selección.
Consideraciones móviles
Las aplicaciones móviles son increíblemente populares para las VPN, con una parte significativa de usuarios más jóvenes que adoptan la tecnología (alrededor del 70 por ciento de los usuarios tienen 35 años o menos ). Incluso hay diferencias pronunciadas en el uso en la misma cohorte , por lo que es una mala idea adivinar quién está haciendo qué.
Combine una base de usuarios impredecible con innumerables tiendas móviles, algunas de las cuales, sin darse cuenta, son anfitriones de aplicaciones deshonestas, y esto significa que personas sin escrúpulos se mudarán al territorio e intentarán estafar a las personas. La inyección de código para publicidad, uso compartido de datos no divulgados y VPN utilizadas para atacar o enviar spam a otros servicios han estado en las noticias en algún momento, y no necesariamente tiene que estar en un escritorio tradicional para encontrarse con estos problemas.
Malos anuncios enlodan las aguas
También hemos visto ejemplos en los que la dudosa táctica publicitaria de miedo ha enviado a los propietarios de dispositivos a instalar páginas para soluciones VPN «gratuitas», que a su vez tienen algunas declaraciones preocupantes en sus términos de servicio. Todo esto antes de llegar a la estafa intemporal donde no existe ninguna VPN y solo quieren que instales algunos keyloggers .
Como puede ver, entonces, es malo, pero las VPN son una ventaja absoluta cuando se trata de mantenerse un poco más anónimo y seguro en línea. No son una bala mágica, pero nada más lo es tampoco. Si tiene la mentalidad de explorar y hacer un poco de tarea antes de dar el salto, podría ser una de las herramientas más fuertes en su arsenal de seguridad / privacidad.
Has escuchado las advertencias; ahora es el momento de la respuesta medida.
Profesionales de VPN: asegurando negocios, ayudando en casa
Atrás quedaron los días en los que la vista era que cualquiera que usara VPN tenía algo que ocultar / no sirve para nada. La gente simplemente quiere un poco más de privacidad en casa. Y para las empresas, es una capa más que pueden envolver alrededor de su red. Si necesita usar un acceso remoto, una VPN aprobada por la empresa para poder acceder a la red en primer lugar, es un obstáculo potencial más para que los atacantes lo atraviesen.
Dado el camino de menor resistencia para muchos ataques, podría ser el paso adicional que les haga decir «demasiado trabajo duro» y pasar a objetivos potencialmente menos seguros. Es desagradable, pero así es como operan una buena parte de los delincuentes: ¿por qué saltar a través de los aros cuando puedes atravesar la puerta de entrada de otra persona para lograr el mismo resultado?
No tiene que retroceder demasiado para ver una constante rotación de “ ¿Me despedirá mi jefe? «Misivas en relación con la activación de una VPN en redes corporativas. Algo extraño de lo que preocuparse, teniendo en cuenta que muchos lugares de trabajo ofrecerán felizmente una VPN aprobada por la empresa en primer lugar. (Realmente no deberías jugar juegos en la red de ninguna manera, independientemente de la VPN, pero esa es otra discusión).
Cafeterías y wifi público.
Muchas oficinas no solo están dispersas en diferentes regiones, sino que también utilizan empleados descentralizados que trabajan en todas partes, desde salas de estar hasta cafeterías. Es lógico que arrojar una VPN a la mezcla también sea beneficioso en esas circunstancias. Los empleados en la VPN también están ayudando a reducir la visibilidad del tráfico de su red mientras están fuera de casa.
Una excelente manera de atraer atención no deseada es sentarse en la carga / descarga de Wi-Fi público y descargar archivos y carpetas confidenciales en el lugar de trabajo. La observación de los fisgones puede decidir tomar un interés más sostenido en sus negocios, y accidentalmente ha convertido a toda la organización en un objetivo.
Podría argumentar que se destaca más al ocultar abiertamente lo que está haciendo en una habitación llena de personas navegando a la intemperie, de la misma manera que las personas que hacen invisibles sus enrutadores Wi-Fi es una gran bandera roja. Habiendo dicho eso, aún prefiero bloquear las cosas mientras estoy fuera de casa frente al minúsculo riesgo de que una persona aleatoria esté tan obsesionada con usted usando una VPN que hacen que el trabajo de su vida sea derribarlo en lugar de encogerse de hombros y comprar café.
En todo caso, probablemente sea bastante tranquilizador para los empleados saber que tienen una manta de seguridad adicional en el camino. Cuando cualquier otra historia de terror nos dice que nunca usemos los puntos de acceso del aeropuerto o los cafés web porque alguien malvado definitivamente te va a hackear y robar tu maletín, es algo que puedes dar a los empleados para igualar las probabilidades.
Ir encubierto
Uno de los beneficios más comunes de una VPN es ocultar su ubicación. Si enciende el navegador TOR, por ejemplo, puede aparecer como si estuviera en México ante el propietario del sitio web en el que está navegando, cuando realmente se encuentra en Italia. ¿Estás investigando sitios web fraudulentos que solo responden a móviles? Fácil: cambie la cadena de su agente de usuario para que piense que está en un Android o iPhone.
¿Desea ver ese programa desde el servicio de transmisión al que está suscrito, pero no funciona fuera de su región durante las vacaciones? ¿Qué hay de los jugadores de MMORPG que obtienen un mejor rendimiento del servidor de una región diferente a la suya pero no tienen una forma directa de conectarse? Ahí es donde comienza la VPN y su camino hacia la gloria del jugador.
Reflexiones regionales
El uso de una VPN tiene claros beneficios para los lugares de trabajo donde los empleados viajan mucho y las políticas de seguridad pueden insistir en que ciertas direcciones / regiones IP se conecten a la red. No puede acceder a la red de EE. UU. Si está sentado en Francia, en una red francesa, con una IP francesa.
Dependiendo de su rol, es posible que necesite acceder a contenido de terceros con bloqueo geográfico, excluyendo algunas regiones pero no otras; si no puede acceder al contenido, puede experimentar un impacto significativo en toda la empresa. Si las personas deberían estar haciendo esto es, por supuesto, otra discusión, pero no tiene sentido fingir que las personas no lo hacen.
La humilde VPN llegó para quedarse
El veredicto, para mí, está muy a favor del uso de VPN. Ya sea que lo necesite o no, las VPN pueden escalar en función de si las quiere por negocios o por placer, y qué tareas esenciales simplemente no se pueden completar sin una.
Como la mayoría de las herramientas tecnológicas, bien investigadas y utilizadas correctamente, será un gran beneficio para sus actividades cotidianas. ¿Utilizado mal? Podría terminar tropezando con uno de varios problemas destacados al comienzo de esta publicación. La única situación que no necesita es que su VPN sea el tipo de elemento comprometido que esperaba evitar en primer lugar.
«Deberías haber pedido la presencia de un detective digital», dijo Karen cuando le conté lo que sucedió en la estación de policía. Acompañé a un vecino, propietario de una pequeña empresa, que fue golpeado con ransomware y quería presentar un informe. Después de escuchar su historia, el oficial de policía en el escritorio preguntó si mi vecino tenía una descripción del autor. Puede que haya gruñido.
Esta no fue la primera vez que me decepcionó la falta de conocimiento técnico de la policía. Había presentado un informe en línea sobre una estafa de sextortion meses antes y recibí una respuesta que decía: “Si no ha pagado, puede eliminar el correo. Si pagó, podemos manejar su informe «.
Mi oferta de enviarles la fuente completa del correo electrónico cayó en oídos sordos. No se intentó iniciar un desmontaje ni explicar por qué era suficiente eliminar el correo electrónico. Sé cómo funciona esto, pero otras víctimas podrían no saber que los correos electrónicos de sextortion son solo faroleos. ¿Qué les impide pagar en el futuro?
Saber denunciar delitos cibernéticos
Karen es una ex agente de policía holandesa, y sabía que por denunciar delitos cibernéticos, hay agentes de policía que tienen capacitación especial, los llamados «detectives digitales». En los Países Bajos, oficialmente se llaman expertos digitales. Podría haber evitado la decepción si hubiera conocido el procedimiento adecuado para contactar a un experto digital.
En los Estados Unidos, puede haber un oficial asignado al ciber, pero en la mayoría de los recintos, es la persona que está de guardia o la que más utiliza la tecnología. La situación es aún más grave a nivel local.
Para el caso del ransomware, deberíamos haber hecho una cita y específicamente haber solicitado la presencia de un experto digital porque queríamos denunciar un delito cibernético. Y los informes de cibercrimen en línea solo son posibles en casos comunes, como las estafas de soporte técnico de Microsoft . Tienen formularios estándar que puede completar y enviar.
Si bien la experiencia fue frustrante, me di cuenta de que los oficiales de policía no están capacitados para la experiencia en todos los nuevos delitos cibernéticos que han surgido en los últimos años. Al comparar estas experiencias individuales con las historias que leímos sobre las unidades cibernéticas policiales de élite como Interpol, el FBI y el Equipo holandés High Tech Crime, me di cuenta de que la situación en los distritos locales es muy diferente de la de aquellos equipos nacionales altamente especializados. Esto es lo que aprendí después de investigar un poco.
Entrenamiento cibernético
Cuando se le preguntó, la policía holandesa me informó que tienen cursos especiales de capacitación para expertos digitales, al igual que tienen expertos en delitos relacionados con drogas y expertos financieros. Los expertos digitales pueden recibir capacitación en análisis forense, piratería informática, búsqueda de amenazas, acceso al hardware, ingeniería inversa, rastreo digital y análisis de redes. Todos estos expertos capacitados brindan asistencia en casos donde su conocimiento experto es ventajoso.
En el Reino Unido, parecen estar un paso adelante. Cada fuerza policial ahora tiene una unidad de delitos cibernéticos, que investigará y perseguirá a los delincuentes, ayudará a las empresas y a las víctimas a protegerse de los ataques y evitará que las personas vulnerables se conviertan en delincuentes cibernéticos. Por supuesto, sabemos que EE. UU., Donde el cibercrimen es más común, solo tiene un equipo cibernético dedicado con el FBI. Si bien hay oficinas del FBI en todo el país, no están presentes en todas las estaciones de policía.
Esto nos muestra que diferentes países tienen sus detectives digitales organizados de diferentes maneras. Y es bueno estar al tanto de su existencia y el mejor procedimiento en su ubicación para obtener su ayuda si la necesita.
Cooperación internacional contra el cibercrimen
Una de las dificultades obvias para detener a delincuentes que han defraudado a personas u organizaciones en su propio país es que es probable que el delincuente cruce algunas fronteras. Y a veces, los delincuentes están protegidos por un régimen que probablemente haga la vista gorda mientras los delincuentes solo operen en el extranjero.
La cooperación internacional, como hemos visto en la toma de control de los mercados de la web oscura , no solo es importante cuando se trata de combatir el crimen, sino que también puede ser de gran valor en la guerra cibernética. Ya existe suficiente evidencia de ataques patrocinados por el estado en infraestructura crítica, y es importante saber qué están haciendo y capaces estas fuerzas enemigas.
A veces, hay formas más efectivas de paralizar a una banda internacional de ciberdelincuentes que intentar arrestarlos. Un ejemplo es la iniciativa No More Ransom , donde se publican claves de descifrado para ciertas familias de ransomware. Esto reduce los ingresos del ciberdelincuente, y con eso, con suerte, les quita su incentivo para seguir el camino del crimen.
Acoso cibernético
Internet y las redes sociales han introducido algunas formas de intimidación que posiblemente podrían beneficiarse de la participación policial. Donde en los viejos tiempos se podría decir: «Los palos y las piedras pueden romper mis huesos, pero las palabras nunca me harán daño», el acoso cibernético moderno tiene un mayor impacto a largo plazo. Alguien que publica imágenes o películas comprometedoras en las redes sociales puede ser perjudicial durante mucho tiempo.
Las plataformas de redes sociales tardan en responder a las solicitudes de eliminación, y una pequeña presión de las autoridades podría acelerar sus acciones. Sin embargo, las víctimas del acoso cibernético tienden a recibir poca o ninguna ayuda de las autoridades.
Invertir en habilidades policiales
Para satisfacer la creciente demanda de expertos especializados, la fuerza policial necesitará una gran cantidad de fondos y personal adicionales. El costo de no cumplir adecuadamente con estas demandas puede resultar en mayores pérdidas de las que la sociedad puede permitirse. Entonces, incluso si creemos que no podemos liberar los fondos para estas medidas, tenga en cuenta que las organizaciones, los consumidores y los gobiernos pueden estar entregando la misma cantidad a los cibercriminales, el equivalente a tirar dinero a un pozo sin fondo. Además, los costos de recuperación de los ataques cibernéticos son mucho más altos de lo que podríamos pagar en capacitación.
Un experto digital debe tener conocimiento sobre muchos campos.
Los expertos digitales también pueden ser un activo útil cuando se trata de resolver delitos no cibernéticos. En muchos casos, la evidencia digital puede ayudar a la policía a localizar delincuentes, ver la actividad delictiva en una casa o negocio, o probar la intención delictiva.
Por ejemplo, la evidencia digital podría ayudar a ubicar a las personas y los eventos dentro del tiempo y el espacio para establecer la causalidad de los incidentes criminales. Pero recopilar y enviar evidencia digital legalmente requiere diferentes herramientas y procesos de hacerlo para la evidencia física, por lo que un experto capacitado podrá extraer más evidencia de los mismos dispositivos. Pueden hacerlo no solo sabiendo dónde buscar, sino también sabiendo cómo manejar un dispositivo para que no se destruyan pruebas.
Recomendaciones
Al menos cada estación de policía u oficina del sheriff debe tener un experto digital disponible para al menos recibir informes de delitos cibernéticos. Estos expertos sabrán qué información se necesita para tener la oportunidad de detener al criminal, pueden asesorar a la víctima sobre cómo proceder y tal vez ayudar a evitar que se conviertan nuevamente en víctimas.
Si este no es un objetivo alcanzable, configure un sitio fácil de usar para informar sobre delitos cibernéticos en línea, donde un departamento especial de expertos digitales puede hacer un triaje, detectar tendencias e involucrar a otros departamentos donde sea beneficioso.
La cooperación internacional será aún más importante si queremos tener una oportunidad contra los cibercriminales, ya sea que estén organizados en grupos o en grupos de personas que compran malware como servicio en la web oscura.
El Código Internacional de Conducta para la Seguridad de la Información es un esfuerzo internacional para desarrollar normas de comportamiento en el espacio digital, presentado a la Asamblea General de las Naciones Unidas en 2011 y en forma revisada en 2015. Este código debe elaborarse con más detalle y permitir la cooperación internacional contra el cibercrimen. Y se deben hacer esfuerzos diplomáticos para que este código sea ratificado por más miembros de la ONU.
La semana pasada, les dijimos que estábamos lanzando un podcast quincenal, llamado Lock and Code . Esta semana, cumplimos nuestra promesa, con muchos titulares generados aquí en Labs, así como otras noticias de seguridad en la web. Además, hablamos con Britta Glade, directora de contenido y curación de la Conferencia RSA, sobre el tema de la conferencia de la semana pasada: «El elemento humano», además de qué tipos de presentaciones funcionan bien y qué tipos casi siempre serán rechazados.
Sintonice todo esto y más en el primer episodio de la primera temporada de Lock and Code, con el presentador David Ruiz.
Los estafadores van por el oro: son los Juegos Olímpicos nuevamente, y eso significa que las estafas están casi seguramente en camino (Fuente: Tech Republic)
¿E-scooters vulnerables al ataque? Los investigadores informan sus hallazgos sobre cuán abiertos están a abusar de estos dispositivos populares. (Fuente: ITP.net)
Como lo mostraron los datos revelados en nuestro informe sobre el estado del malware , las amenazas de Mac están en aumento, pero no son el mismo tipo de amenazas que experimentan los usuarios de Windows. En particular, las formas más tradicionales de malware, como ransomware, spyware y puertas traseras representan más del 27 por ciento de todas las amenazas de Windows. Esa cifra es inferior al 1 por ciento para Mac.
Además, el malware de Mac es bastante poco sofisticado en general. El 99 por ciento restante de las amenazas de Mac son programas publicitarios «simplemente» y programas potencialmente no deseados (PUP). Esto ha llevado a algunos en la comunidad de Mac a descartar estos hallazgos como sin importancia, incluso ha llevado a un blogger de Mac a escribir:
«Las Mac no tienen virus» es una afirmación que sigue siendo abrumadoramente cierta.
Sin embargo, el adware y los PUP pueden ser mucho más invasivos y peligrosos en la Mac que el malware «real». Pueden interceptar y descifrar todo el tráfico de red, crear usuarios ocultos con contraseñas estáticas, realizar cambios inseguros en la configuración del sistema y, en general, excavar sus raíces profundamente en el sistema, por lo que es increíblemente difícil erradicarlo por completo.
Para demostrar nuestro significado, lo que sigue es un análisis detallado de lo que puede ser la amenaza más sofisticada en macOS, llamada Crossrider, una amenaza que es «solo adware».
Instalación de adware para Mac
Malwarebytes detecta a Crossrider, también conocido como Bundlore o SurfBuyer, como Adware.Crossrider.
Como se llame, ha existido durante al menos seis o siete años, y ha evolucionado con bastante frecuencia durante ese tiempo.
El instalador de la primera etapa se encontró a partir del análisis de un desinstalador «weknow», que contenía un enlace a un script de shell. (El nombre «weknow» proviene de uno de los muchos sitios web utilizados por este adware). Este script de shell, que inicia todo el proceso de instalación, consta de alrededor de 300 líneas de código, un script bastante modesto que no tarda mucho en descargarse .
A pesar de su tamaño relativamente pequeño, el script abre un agujero de conejo profundo, descargando y ejecutando una gran cantidad de otros archivos. Dado que gran parte del código que se ejecuta se descarga, la carga útil exacta del adware se puede cambiar en cualquier momento y puede variar dependiendo de todo tipo de variables, como dónde se encuentra, si su máquina se ha visto antes , qué más está instalado, etc. Además, si alguno de los distintos servidores de entrega fuera pirateado por un actor más malicioso, esos scripts podrían usarse para desplegar más cargas maliciosas.
Luego, después de realizar una breve recopilación de datos de seguimiento y cargarlos en un servidor, Crossrider descarga un archivo de la siguiente URL:
Este archivo se expande en una aplicación llamada mm-install-macos.app. El único propósito de esta aplicación es phishing de la contraseña del usuario mediante la visualización de una solicitud de autenticación falsa. La contraseña se devuelve al script, en texto plano, donde se usa repetidamente para instalar el resto de los componentes.
Luego, el script determina la versión del sistema y realiza un conjunto de acciones en macOS 10.11 y superior, y otro en sistemas más antiguos.
Instalación a partir de 10.11
En los sistemas más nuevos, un webtools.apparchivo comprimido se descarga y ejecuta utilizando la contraseña phishing para ejecutarse como root:
Esta aplicación oscurece la pantalla, tiempo durante el cual instala una gran cantidad de archivos. Como parte de este proceso, también hace una copia de Safari que se modifica para habilitar automáticamente ciertas extensiones de Safari cuando se abre, sin necesidad de acciones del usuario.
Aunque estas modificaciones en Safari rompen su firma de código, que se puede usar para validar que una aplicación no ha sido modificada por otra persona que no sea su creador, macOS todavía la ejecutará felizmente debido a las limitaciones sobre cuándo estas firmas de código se verifican realmente.
Una vez que se completa este proceso, se elimina la copia de Safari, dejando la copia real de Safari pensando que tiene un par de extensiones de navegador adicionales instaladas y habilitadas.
Instalación en 10.10 y mayores
En sistemas más antiguos, Crossrider descarga el siguiente archivo:
Esto se extrae y install.shse ejecuta un script que contiene. Este script solo tiene más de 900 líneas de código, y ejecuta varios otros scripts y procesos para realizar cambios en la configuración de Safari y Chrome e instalar extensiones del navegador.
En el caso de Safari, parte del proceso involucra un AppleScript que habilita una configuración de accesibilidad que proporciona acceso de teclado a todos los controles, y luego usa ese acceso para hacer clic en el botón «Permitir» en la ventana que muestra Safari cuando el usuario intenta instalar un Extensión Safari
dígale a la aplicación "Safari" que establezca los límites de las ventanas en {0, 0, -1000, -1000}
decirle a la aplicación "Eventos del sistema"
establecer visible del proceso "Safari" en falso
indicar el proceso de solicitud "Safari"
establecer de frente a verdadero
log "Al hacer clic en el botón 1 de la hoja 1"
dile a la ventana 1 que le diga a la hoja 1 que haga clic en el botón 1
retraso 1
final decir
final decir
El script mueve furtivamente la ventana fuera de la pantalla, por lo que el usuario no ve que esto suceda durante el proceso de instalación. Todo lo que el usuario puede ver es que Safari se abre brevemente y luego se cierra.
A continuación, se descarga un binario nativo de Mac (como una aplicación, pero destinado a ejecutarse desde la línea de comandos en lugar de a través del Finder):
Entre otros archivos, este proceso, cuando se ejecuta, instalará un componente en la carpeta Aplicaciones y luego ejecutará un script de shell de casi 750 líneas para realizar más cambios en el navegador.
Datos de seguimiento
A lo largo del proceso de instalación, los diversos scripts y procesos informarán repetidamente los datos a una variedad de servidores de seguimiento. Estas transacciones envían datos potencialmente confidenciales, como:
un identificador único para la computadora
dirección IP
el nombre de usuario
versión de macOS
Versión Safari
Versión de Chrome
una lista de todo lo que se encuentra en la carpeta Aplicaciones
una lista de todos los agentes y demonios instalados
una lista de todos los perfiles de configuración del sistema instalados
la versión de Malware Removal Tool, un componente de seguridad de macOS diseñado para eliminar ciertas piezas conocidas de malware
Dado que gran parte de estos datos se obtienen a través de secuencias de comandos y procesos que se descargan de más de un servidor, los datos exactos que se recopilan y dónde se envían se pueden cambiar dinámicamente.
Cambios en el sistema.
Hay una serie de cambios realizados en todo el sistema, algunos de ellos peligrosos y difíciles de eliminar para la persona promedio. Esto convierte a Crossrider en una de las amenazas más invasivas que he visto en macOS.
Perfiles de configuración del sistema
Estos perfiles los usa normalmente un administrador de TI para administrar computadoras, a menudo de forma remota. Sin embargo, los perfiles también se pueden instalar manualmente, a través de un .mobileconfigarchivo, y el adware hace exactamente eso.
El perfil instalado bloquea la página de inicio y la configuración del motor de búsqueda en Safari y Chrome, evitando que el usuario los cambie hasta que se eliminen los perfiles.
Preferencias gestionadas
Una preferencia administrada es otro método para cambiar la configuración que administra un administrador de TI. En sistemas más antiguos, el adware instala archivos de preferencias administradas que establecen las preferencias de Chrome en páginas asociadas con el adware.
Cambios en el archivo sudoers
En sistemas basados en Unix, como macOS, el usuario con el nivel más alto de permisos es el usuario raíz. En tales sistemas, el sudoersarchivo es un archivo que identifica qué usuarios pueden tener acceso de nivel raíz y cómo pueden obtenerlo.
El adware Crossrider realiza cambios en el sudoersarchivo en varios lugares. En uno, se agregan líneas para permitir que un par de procesos instalados tengan permisos de root cuando se ejecutan en la cuenta del usuario actual:
En algunos casos, el proceso de instalación golpea un inconveniente y no puede escribir estos cambios correctamente, lo que invalida el archivo sudoers, lo que interfiere con la capacidad de obtener permisos de root. Esto puede afectar la instalación del software y la capacidad de solucionar problemas, y es difícil de solucionar. (Para arreglar el sudoersarchivo, debe tener acceso de root, que no puede obtener porque el sudoersarchivo está roto, es un catch-22).
En otras partes del proceso de instalación, el adware proporciona a todos los procesos que se ejecutan para el usuario acceso ilimitado a la raíz sin contraseña. Las secuencias de comandos intentan revertir estos cambios, pero es posible que no siempre tengan éxito (como si la secuencia de comandos o el proceso se bloquean).
someuser ALL = (ALL) NOPASSWD: ALL
Estos cambios podrían ser secuestrados por otro software malicioso. Por ejemplo, si una pieza de malware sobrescribiera los procesos MyMacUpToDate o UpToDateMac en el primer ejemplo (que no requeriría acceso especial), podría escalar a la raíz para hacer más daño. En el último ejemplo, cualquier proceso podría elevarse al acceso raíz incondicionalmente.
TCC.db
En varios lugares, el proceso de instalación intentará modificar la base de datos TCC.db. Esta base de datos identifica qué permisos ha otorgado el usuario a diferentes procesos, como si una aplicación puede acceder a su calendario, sus contactos, el micrófono de su computadora, su cámara web o ciertas carpetas en su sistema.
Este adware intenta proporcionar a sí mismo y a una amplia franja de otros procesos una de las capacidades más poderosas: acceso de accesibilidad. Este permiso permite que estos procesos controlen otros procesos, que pueden usarse para capturar datos confidenciales, entre otras cosas.
if [[ "${osxVer}" == *"10.11"* ]] || [[ "${osxVer}" == *"10.12"* ]]; then /usr/bin/sqlite3 <<EOF .open '$ {TCCDB}' inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.apple.Terminal', 0,1,1, NULL, NULL); ... inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ bin / bash', 1,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', '/ bin / sh', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ usr / bin / sudo', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '$ {TMPDIR} /. tmpma / installOffers.sh', 1,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.stubberify.mym', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.tostubornot.mym', 0,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', 'com.trustedmac.service', 0,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.autobots.transform', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-install-macos.www', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-installer-macos.www', 0,1,1, NULL, NULL); .dejar EOF fi
Esto solo funciona en sistemas más antiguos, ya que el archivo TCC.db es de solo lectura por cualquier otro que no sea el sistema en versiones recientes de macOS. Sin embargo, en un sistema más antiguo, esto puede otorgar permisos poderosos que podrían ser abusados por futuras actualizaciones del adware o por el malware que intenta escalar su acceso a los datos del usuario.
Extensiones de navegador
Se instalan varias extensiones de navegador para Safari o Chrome o ambas, dependiendo de la versión del sistema y las versiones de Safari y Chrome. Estas extensiones le dan al adware una mayor capacidad para controlar el comportamiento del navegador.
Normalmente, la adición de una extensión del navegador requiere que el usuario confirme, con el propósito expreso de evitar que el adware o el malware instalen subrepticiamente una extensión del navegador. Sin embargo, este adware utiliza una serie de trucos sospechosos, como la copia modificada de Safari mencionada anteriormente, para instalar estas extensiones sin que el usuario tenga que aprobarlas o incluso saber que se han instalado.
Las extensiones del navegador pueden recopilar un nivel intrusivo de información del navegador: esencialmente, cualquier información que pueda mostrarse en un sitio web o ingresarse en un formulario en un sitio web. Este último puede incluir datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito.
Agentes de lanzamiento y demonios
Los agentes de lanzamiento y los daemons proporcionan una de las formas más comunes para que los procesos se ejecuten de manera persistente en macOS. El adware Crossrider instala múltiples agentes o demonios, dependiendo de qué archivos se estén instalando. Afortunadamente, estos son extremadamente fáciles de detectar para alguien conocedor, de hecho, son una de las primeras cosas que una tecnología podría buscar, y son relativamente fáciles de eliminar.
El malware debe ser peor, ¿verdad?
Afortunadamente (o desafortunadamente, dependiendo de cómo lo veas), no. Contraste el adware Crossrider con algunos programas maliciosos de estados nacionales, como el malware creado por el grupo Lazarus de Corea del Norte o el malware OceanLotus que se cree que fue creado por Vietnam. Tal malware normalmente instala un solo agente de lanzamiento o demonio, fácilmente detectado por cualquier experto que mire la máquina. El proceso de instalación de Crossrider solo supera con creces estas formas de malware en sofisticación.
El malware de Mac no suele ser particularmente sofisticado. Por supuesto, esto no significa que no pueda ser peligroso, pero en este momento, está sentado en la mesa de malware para niños. En pocas palabras: no es sofisticado porque no tiene que serlo. Si eres un usuario de Mac infectado con malware, probablemente no habrá ningún síntoma externo que puedas notar.
Por el contrario, el adware es muy notable, ya que cambia el comportamiento de su computadora, generalmente su navegador web. Por esta razón, el adware Mac ha tenido que evolucionar mucho más allá del malware Mac, y se ha vuelto mucho más astuto y más difícil de eliminar.
¿Cuál es la comida para llevar?
Aunque a muchos expertos de Mac les gusta descartar el adware como un problema, dicen que las personas solo se infectan cuando hacen «cosas estúpidas», la mayoría de las violaciones de datos más masivas y los ataques dañinos de ransomware en máquinas Windows ocurren por negligencia del usuario: dejando los datos expuestos en Internet, abriendo enlaces maliciosos a través de correo electrónico de phishing o no parcheando el software de manera oportuna.
El adware es un problema creciente en Mac, y también en los sistemas operativos Windows y Android. Fue la amenaza más frecuente en todas las regiones del mundo, tanto para los consumidores como para las empresas. Y vimos que algunos adware de Mac eran en realidad más frecuentes que la mayoría de las amenazas de Windows en 2019.
Peor aún, estas infecciones de adware suelen ser más graves que una infección de malware, lo que abre posibles agujeros de seguridad que podrían aprovecharse con más amenazas maliciosas y resulta difícil deshacerse de ellos. Además, el adware en la Mac también intercepta y descifra todo el tráfico de la red, usa nombres generados aleatoriamente para los archivos instalados, usa técnicas de análisis para evitar que los investigadores los analicen, crea usuarios ocultos en el sistema con contraseñas conocidas y más.
En general, si tuviera que elegir entre uno u otro, estaría dispuesto a infectar mi propia máquina con la mayoría del malware de Mac antes de hacer lo mismo con el adware de Mac. El malware para Mac a menudo me hace reír. El adware de Mac a veces me da escalofríos.
COI
Los siguientes indicadores de compromiso están asociados con este adware.
El nivel y la velocidad de las innovaciones que tienen lugar en la industria biotecnológica son desconcertantes. Por un lado, nos hace esperar que podamos reducir rápidamente la cantidad de enfermedades y sus consecuencias a través del avance tecnológico, salvando miles de vidas. Por otro lado, las preocupaciones sobre la aplicación de la tecnología conectada a Internet nos hacen preguntarnos: ¿a qué costo?
¿A dónde nos lleva la mezcla de tecnología y medicina? Los avances en la terapia genética han remodelado el tratamiento del cáncer tal como lo conocemos. Sin embargo, otras aplicaciones, como la automatización de la ingesta de medicamentos mediante la medición de datos biométricos, pueden introducir otros problemas que el mundo médico y de seguridad no ha resuelto.
Sabiendo que cada cuerpo humano es único y puede reaccionar de otra manera al mismo procedimiento, parece prudente trazar la línea en una cierta cantidad de automatización. Pero, ¿cómo determinamos dónde dibujar la línea? ¿Es inteligente dejar esa decisión a los grandes farmacéuticos? Echemos un vistazo a los desarrollos en biotecnología que requieren una visión más amplia desde las perspectivas de seguridad y privacidad.
Desarrollos en la industria del cuidado de la salud.
Algunos de los desarrollos más prometedores para el cuidado de la salud en las últimas etapas de refinación o incluso en uso son técnicas en las que los sensores están unidos o insertados en el cuerpo del paciente. Los sensores están diseñados para transmitir datos sobre ciertas condiciones corporales al personal de atención médica.
Una de esas tecnologías se inserta directamente en la medicación de los pacientes mediante un chip. Estas «píldoras inteligentes» envían datos biométricos desde el torrente sanguíneo. Cuando el paciente ingiere la píldora, el chip será detectado por un parche en su estómago en el momento en que se digiere. Si el parche no recibe la señal adecuada, alerta al médico del paciente.
Un gran paso adelante para el futuro de las píldoras inteligentes será la automatización y la administración oportuna de medicamentos; algo actualmente en desarrollo. Estas píldoras inteligentes están diseñadas para facilitar la vida de los pacientes al incorporar un sistema de seguimiento en la píldora que desencadena la liberación del medicamento de manera oportuna, por lo que no se puede olvidar.
Las píldoras inteligentes también podrían programarse para liberar el medicamento cuando se cumplan ciertas circunstancias. Ya existe un sistema similar a este para la diabetes. Se utilizan bombas de insulina para diabéticos tipo 1 que liberan insulina cuando se detecta un nivel bajo de azúcar en la sangre, básicamente imitando la forma en que se comportaría el páncreas para las personas sanas.
Biotecnología diagnóstica
Los biodetectores existentes son dispositivos de medición internos que transmiten métricas corporales como presión arterial, pulso, saturación de oxígeno, azúcar en la sangre, etc. Estos biodetectores y sensores que miden la presencia de otras sustancias en la sangre se pueden usar para ajustar la administración de medicamentos. . Pero, ¿qué pasa si alguien más puede recibir estas transmisiones?
La viabilidad de los biosensores multiplex para el diagnóstico de infección del torrente sanguíneo se ha investigado durante algunos años y es otro desarrollo que podría conducir a transmisiones relacionadas con nuestra salud desde el interior de nuestro cuerpo a un dispositivo «inteligente».
Las compañías farmacéuticas ya han lanzado píldoras inteligentes digitales que contienen chips de computadora. La primera píldora digital contra el cáncer, que se lanzó a principios de 2019, contiene un chip y cápsulas llenas de capecitabina, una quimioterapia contra el cáncer que los pacientes deben tomar varias veces al día.
Otras innovaciones biotecnológicas
El genoma humano se ha mapeado casi por completo y estamos ajustando rápidamente la capacidad de leer el mapa. Pero, ¿qué augura esta perspectiva para el futuro de la información que se puede extraer de las muestras de ADN que proporcionamos por diferentes razones? ¿Donar sangre o participar en una prueba de ADN ahora resultará en una pesadilla de privacidad más adelante? El riesgo que tomamos ahora crecerá en nosotros a medida que la ciencia descubra más sobre la información almacenada en nuestro ADN.
Enfermedades genéticamente detectables.
Con una mayor comprensión de nuestra genética viene una mayor capacidad para su manipulación. Y la edición de genes actualmente se erige como una de las áreas más emocionantes y preocupantes dentro de la industria biotecnológica.
Otro avance preocupante es el uso de inteligencia artificial (IA) para acelerar y abaratar el desarrollo de nuevos medicamentos. La IA en particular puede usarse para reducir la cantidad de prueba y error necesarios para diseñar un candidato a medicamento una vez que se identificó un objetivo prometedor de la enfermedad. También se puede usar para investigar y encontrar casos de uso inesperado de medicamentos que fracasan en ensayos clínicos. Cambios prometedores, seguro. Pero, ¿qué podría pasar por alto la IA que la mente humana captaría? ¿Y cuánto entraría en juego la moralidad si las máquinas realizaran todas las pruebas?
Control remoto de extremidades artificiales y animales.
El avance de las prótesis modernas ha ido de la mano con el aumento en los rápidos desarrollos en el sector de la salud biotecnológica.
En una combinación de robótica y neuroingeniería, los científicos están trabajando en una nueva mano robótica que podría ser un dispositivo que cambie la vida de los amputados. El objetivo es leer y transmitir el movimiento intencional de los dedos leído de la actividad muscular en el muñón del amputado para el control individual de los dedos de la mano protésica.
En el campo militar, los tiburones y otros animales recibieron implantes cerebrales que los hacen controlables de forma remota. Estos tiburones podrían usarse, por ejemplo, para encontrar submarinos enemigos.
Protocolos de comunicación en biotecnología
La píldora inteligente, producida y patentada por Proteus y llamada Abilify MyCite, envía un pulso simple de la píldora al parche tan pronto como la píldora es absorbida por el ácido del estómago. No hay problema allí, pero luego el parche envía datos como el momento en que se tomó la píldora y la dosis a una aplicación de teléfono inteligente a través de Bluetooth . Los datos se almacenan en la nube donde el médico del paciente y hasta otras cuatro personas elegidas por el paciente pueden acceder a la información. El paciente puede revocar su acceso en cualquier momento.
En 2017, la FDA declaró que planeaba contratar a más personal con «comprensión profunda» del desarrollo de software en relación con los dispositivos médicos, y comprometerse con los empresarios en nuevas pautas, porque esperaba obtener más solicitudes de aprobación para las píldoras digitales. Esto fue después de la aprobación de Abilify MyCite, que es un síntoma típico de la legislación que persigue innovaciones técnicas sin ponerse al día realmente.
En 2018, los piratas informáticos demostraron que podían instalar malware en un marcapasos implantado después de haber descubierto errores en la red de distribución de software de Medtronic , una plataforma que no se comunica directamente con los marcapasos, sino que más bien trae actualizaciones para equipos de soporte como monitores domésticos y programadores de marcapasos, que Los profesionales de la salud utilizan para sintonizar marcapasos implantados.
Bluetooth y dispositivos médicos
Bluetooth es ideal para la conexión inalámbrica continua de corto alcance, que utilizamos para transmitir audio y datos. Los protocolos Bluetooth más utilizados en equipos médicos son Bluetooth Low Energy (BLE) y Bluetooth Classic
BLE es un protocolo Bluetooth que se lanzó en 2010, fue diseñado para lograr los objetivos de bajo consumo de energía y latencia, al tiempo que se adapta a la gama de dispositivos interoperable más amplia posible. La desventaja es que puede comportarse de manera diferente dependiendo de las plataformas de teléfonos inteligentes. Esto se debe a que el dispositivo anuncia en un horario para la respuesta del teléfono inteligente. Cuando el teléfono inteligente responde, se realiza un apretón de manos (enlace), lo que facilita una transferencia confirmada del paquete de datos al teléfono inteligente antes de cerrar la conexión. Esto ahorra energía, pero también es responsable de la velocidad de transferencia de datos impredecible.
BLE tampoco requiere el emparejamiento entre el remitente y el receptor y puede enviar datos autentificados sin cifrar. Entendemos los beneficios de ahorrar energía:
Los dispositivos pueden permanecer más tiempo en el cuerpo sin tener que reemplazarlos
Las baterías pueden ser más pequeñas, por lo que son más fáciles de insertar y menos molestas
Pero dependiendo de la naturaleza y particularmente la sensibilidad de los datos transmitidos, otras consideraciones podrían entrar en juego. Desafortunadamente, los dispositivos BLE también se han visto afectados por las vulnerabilidades de SweynTooth .
Recomendaciones
Los desarrolladores de dispositivos médicos que pretenden usar Bluetooth como tecnología para conectar dispositivos entre sí y con Wi-Fi deben considerar cuidadosamente qué protocolo Bluetooth es el adecuado para su sistema. Para hacer esto, es importante tener una comprensión clara de las necesidades del sistema y las opciones disponibles.
Los dispositivos médicos deben poder actualizarse fácilmente para aquellas circunstancias en las que se encuentran nuevas vulnerabilidades y se deben aplicar parches u otras actualizaciones importantes.
Tal vez la industria de la salud incluso debería considerar diseñar un nuevo protocolo similar a Bluetooth. La combinación de las propiedades de baja energía con algunas medidas de seguridad adicionales podría ser rentable a largo plazo.
Las soluciones en la nube que se utilizan para almacenar datos personales y médicos sensibles merecen ser mantenidas en contra de un alto estándar de seguridad.
Recomendamos solo entregar sus muestras de ADN a organizaciones confiables y solo por razones de suma importancia como su salud.
Las máquinas no están exentas de fallas ni son tan inteligentes como podríamos pensar. La confianza ciega en las máquinas cuando se trata de atención médica puede terminar en una catástrofe . Hay un área donde la atención personal hace mucho más bien que la aplicación totalmente automatizada de la medicina.
Rudy Giuliani, ex zar de la seguridad cibernética, ha sido blanco de errores tipográficos en Twitter, gracias a los errores ortográficos y otros errores de teclado cometidos en varios de sus tweets públicos. En un tweet enviado el domingo, Giuliani tenía la intención de enviar a sus más de 650,000 seguidores a su nuevo sitio web, RudyGiulianics.com. En cambio, un espacio agregado después de «Rudy» envió a los usuarios en una búsqueda de redirección que finalmente aterrizó en una página web con adware .
Typosquatting se ha utilizado durante mucho tiempo como una forma de capitalizar los errores cometidos por aquellos con dedos torpes. Una URL mal escrita, que normalmente llevaría a los usuarios a una página de error 404, en su lugar se redirige a un sitio completamente no relacionado, a menudo uno diseñado para malas intenciones. Por ejemplo, supongamos que ingresas yotube.com en la barra de direcciones de tu navegador en lugar de youtube.com. En lugar de ver el portal normal de YouTube, será redirigido a través de algunas redes publicitarias y probablemente terminará en una página de estafa, gracias al práctico trabajo de los typosquatters emprendedores.
Typosquatting puede ser un negocio rentable, ya que los actores de amenazas registrarán dominios léxicamente cercanos a grandes marcas o sitios web populares para obtener un gran tráfico. El objetivo final no siempre es monetizar a través de redireccionamientos malvertidos , podría ser phishing, robo de datos o incluso hacktivismo.
En el caso de Giuliani, una figura política pública ha sido identificada por los ciberdelincuentes por su tendencia a los tweets cargados de errores tipográficos. De hecho, la cuenta de Twitter de Giuliani contiene numerosos tweets con errores ortográficos en su sitio web personal que a veces conducen a intentos de trolling o redirigen a esquemas de publicidad maliciosa. Examinamos algunos de estos casos.
El error tipográfico lleva al trolling político
Aquí hay un tweet enviado desde la cuenta de Giuliani usando un iPad. Quien compuso ese tweet olvidó agregar un espacio entre la palabra «Watch» y «rudygiulianics.com».
Como resultado, el sitio web se convierte en Watchrudygiulianics.com, que se registró un día después del tweet:
Nombre de dominio: watchrudygiulianics.com
Registrador: GoDaddy.com, LLC
Fecha de creación: 2020-02-16T05: 23: 50Z
Visitar el sitio inmediatamente redirige a los usuarios a https://www.drugrehab.com/treatment/, un sitio de ayuda con el abuso de sustancias.
En otro ejemplo , vemos un error tipográfico mucho más sutil para el sitio web de Giuliani, donde falta una ‘i’ en RUDYGIULIANCS.com (el sitio correcto es rudygiulianics.com).
El dominio rudygiuliancs.com también se registró recientemente (pero antes de que se publicara el tweet, por lo tanto, era un registro preventivo para un próximo error tipográfico o tal vez ya se había hecho el error).
Nombre de dominio: rudygiuliancs.com
Registrador: Wild West Domains, LLC
Fecha de creación: 2020-02-07T16: 30: 38Z
Como se mencionó anteriormente, los typosquatters generalmente verán los nombres de dominio populares y registrarán nombres nuevos que probablemente serán el resultado de un error tipográfico. Debido a que Giuliani tiene más de 650,000 seguidores en Twitter y es una figura política muy conocida regularmente en los titulares, los estafadores saben que es una buena fuente de tráfico potencial en la web simplemente por el error tipográfico.
En el ejemplo del domingo, un error tipográfico condujo a un esquema de publicidad maliciosa. Esta vez , se insertó un espacio entre «Rudy» y «Giulianics.com».
Este error tipográfico dio como resultado un enlace a Giulianics.com, un dominio registrado a fines de enero.
Nombre de dominio: giulianics.com
Registrador: GoDaddy.com, LLC
Fecha de creación: 2020-01-31T20: 29: 50Z
Como se ve en la imagen de arriba, una serie de redireccionamientos sucederán una vez que visite ese dominio. Esto es típico para las cadenas de publicidad maliciosa que registran su navegador y otras configuraciones para entregar la carga útil adecuada.
En este caso, al visitar Estados Unidos a través de Google Chrome, recibimos una extensión de navegador llamada Navegación privada:
Aunque no examinamos la extensión en detalle, varios comentarios de Google Play Store dicen que la extensión fue forzada mientras navegaba por la web.
Entre otras capacidades, puede leer el historial de su navegador, los datos que ingresa en los sitios y puede cambiar su motor de búsqueda predeterminado. Como regla general, generalmente se recomienda abstenerse de instalar demasiadas extensiones de navegador, especialmente cuando se promueven a través de redireccionamientos no deseados.
A fines de enero, hubo un informe de que al visitar el sitio web de Giuliani se distribuía malware. No pudimos confirmarlo en ese momento, pero a la luz de la situación actual del error tipográfico, creemos que es más probable que uno de los tweets que contengan el enlace incorrecto conduzca a una cadena de publicidad maliciosa y posiblemente a un bloqueador de navegador.
Monitoreo de cuentas populares por errores
Muchos ataques que vemos en la naturaleza son oportunistas, orando por las últimas noticias o eventos que puedan llamar la atención. También siempre ha habido un gran interés en las cuentas de redes sociales populares, pero generalmente hackeándolas directamente. En este caso, los actores oportunistas están esperando que ocurra el próximo error tipográfico para enviar su propio mensaje o monetizarlo a través de redireccionamientos maliciosos.
Esto sirve como un recordatorio de que incluso las cuentas de redes sociales conocidas o verificadas pueden enviar a los usuarios en direcciones no deseadas que conducen a estafas o malware. En cierto sentido, se puede abusar de cualquier tipo de comunicación para beneficio propio del atacante al reconocer un patrón de errores predecibles e inmediatamente actuar sobre ellos.
Para aquellos que desean protección contra tales redirecciones y otras actividades maliciosas del sitio web, Malwarebytes ofrece una extensión de navegador gratuita que adopta una postura agresiva para bloquear la publicidad maliciosa y otros esquemas dudosos.
Tomemos, por ejemplo, cuando se bloquean accidentalmente de su correo electrónico personal. Su solución? Restablecer la contraseña Con un clic, pueden cambiar su contraseña antigua y complicada con una nueva y más memorable.
El restablecimiento de contraseña de autoservicio es increíble como este. Para los usuarios en una red empresarial, no es tan simple. Es decir, a menos que estén utilizando identidad como servicio (IDaaS).
¿Qué es IDaaS?
IDaaS, que se pronuncia » ay-das», significa identidad como servicio. Esencialmente, se trata de la gestión de identidad y acceso (IAM), pronunciada » I-am», implementada desde la nube.
Las organizaciones usan la tecnología IAM para asegurarse de que sus empleados, clientes, contratistas y socios sean quienes dicen ser. Una vez confirmado mediante ciertos métodos de autenticación, el sistema IDaaS proporciona derechos de acceso a recursos y sistemas en función de los permisos otorgados. Y debido a que se implementa a través de la nube, las entidades comerciales pueden solicitar acceso de forma segura donde sea que estén y cualquier dispositivo que estén utilizando.
Dar a sus propios usuarios acceso de autoservicio a los portales es solo una de las formas en que un sistema IDaaS puede brindar soporte a las empresas. De hecho, la necesidad de interactuar mejor con los clientes al tiempo que protege sus datos y se ajusta a los estándares establecidos se ha convertido en la principal fuerza impulsora detrás del cambio a IDaaS.
IDaa S vs. IAM tradicional
Si bien los sistemas tradicionales de administración de identidad en las instalaciones ofrecen niveles de acceso de autoservicio para los empleados de la oficina, sus beneficios son limitados en comparación con las opciones basadas en la nube. Esto se debe a que los IAM son:
Caro para crear y mantener. Cuesta más si la organización admite usuarios globales debido a la complejidad de la infraestructura. Los IAM también pueden ser insostenibles en general a medida que crece el negocio. La complejidad de los costos y la infraestructura aumenta, lo que hace que los IAM sean más difíciles de soportar.
Ineficientemente administrado, en cuanto a seguridad. Los IAM que deben colocarse en sistemas heredados, por ejemplo, ponen en riesgo a las organizaciones porque parchar estos sistemas es un desafío, dejando la puerta abierta a las vulnerabilidades en los puntos de acceso.
Pérdida de tiempo. La actualización del hardware de IAM lleva mucho tiempo. A veces, la actualización no ocurre si significa largos tiempos de inactividad y pérdida de productividad. Además, los equipos de TI se enfrentan a importantes tareas que requieren mucho tiempo (y pruebas de paciencia), desde el restablecimiento de la contraseña hasta el aprovisionamiento del usuario .
No a prueba de futuro. Aunque algunos IAM tradicionales pueden proporcionar soporte limitado en la nube, están diseñados esencialmente para manejar recursos locales. Dado que los IAM carecen inherentemente de soporte para la tecnología moderna (dispositivos móviles, IoT) y los disruptores comerciales (Big Data, transformación digital), no abordan lo que los usuarios actuales necesitan y quieren.
Beneficios de IDaaS
Las empresas pueden beneficiarse de IDaaS de muchas maneras. En aras de la brevedad, tenga en cuenta estos tres impulsores principales para adaptar IDaaS : nuevas capacidades, velocidad de implementación e innovación. Esto no solo los haría más atractivos para los clientes potenciales, sino que también ayuda a retener a los clientes actuales.
Las nuevas capacidades , como el inicio de sesión único (SSO) , brindan a los clientes comerciales la facilidad y conveniencia de acceder a múltiples recursos utilizando solo una única instancia de inicio de sesión. Iniciar sesión una vez crea un token, que el sistema IDaaS comparte con otras aplicaciones en nombre del cliente, por lo que no necesitarían seguir iniciando sesión.
SSO también elimina la carga de recordar múltiples credenciales de inicio de sesión de los usuarios, lo que generalmente los impulsa a crear contraseñas memorables pero también fáciles de descifrar. No hace falta decir que SSO, y otros protocolos como el Lenguaje de marcado de aserción de seguridad (SAML), OAuth (pronunciado «oh-auth» ) y OpenID Connect (OIDC), mejorarán en gran medida la seguridad de una organización.
Dado que IDaaS está basado en la nube, implementarlo en su organización es mucho más rápido. Por un lado, el aprovisionamiento de hardware ya está con el proveedor IDaaS. Lo que generalmente toma un par de años para darse cuenta solo tomará varios meses, a veces incluso unas pocas semanas.
Las organizaciones que aún no están seguras de si quieren adoptar IDaaS por completo, pero tienen curiosidad por probarlo, pueden usar temporalmente la solución como un subconjunto de sus aplicaciones. Si cambian de opinión, pueden retroceder tan fácilmente como avanzaron.
Y, por último, IDaaS elimina las barreras que impiden a las organizaciones avanzar hacia la innovación . Los equipos de TI con poco personal, los costos crecientes que rodean la infraestructura de TI que solo se complican con el tiempo y el soporte insuficiente para las tecnologías modernas son solo algunos de los problemas que impiden a las empresas modernas innovar en sus propios procesos de mano de obra, ofertas de productos y marketing y ventas. técnicas
Los líderes empresariales deben «liberarse» de estos problemas al externalizar sus necesidades a un proveedor de confianza. No solo será más ligero en sus bolsillos, sino que también puede personalizar las capacidades inherentes de IDaaS para adaptarse a sus necesidades comerciales y mejorar la participación de sus clientes. Es un ganar-ganar para todos.
Sin embargo, tenga en cuenta que una implementación IDaaS pura puede no ser para todas las organizaciones. Algunas organizaciones simplemente no están listas para ello. De hecho, la mayoría de las empresas actuales utilizan entornos híbridos, una combinación de aplicaciones locales y basadas en la nube. Esto se debe a que algunas organizaciones creen que hay algunos recursos que se mantienen mejor en las instalaciones. Y cuando se trata de la adopción de IDaaS, utilizar lo mejor de ambos mundos se está convirtiendo cada vez más en la norma.
Mi organización es pequeña. ¿Sigue siendo necesario IDaaS?
Absolutamente. Las pequeñas y medianas empresas experimentan muchos de los mismos problemas de IAM que enfrentan las organizaciones empresariales. Cada empleado mantiene un conjunto de credenciales que utiliza para acceder a varias aplicaciones comerciales para hacer su trabajo. Una función de SSO en IDaaS reducirá significativamente el número de instancias de inicio de sesión que deben enfrentar al cambiar de una aplicación a otra.
Es una buena pregunta si su empresa necesita IDaaS. Pero quizás la mejor pregunta, o más importante, es si su empresa cumple con los estándares de seguridad y privacidad establecidos. Afortunadamente, tener IDaaS también ayudará con ese problema. La advertencia es que las organizaciones, independientemente de su tamaño, deben evaluar a los posibles proveedores de IDaaS en función de su madurez y su capacidad para ofrecer una gran solución. No hay dos ofertas IDaaS iguales.
Mike Wessler y Sean Brown, autores del libro electrónico «Cloud Identity for Dummies» , proponen algunas preguntas a considerar al decidir:
¿Son una nueva empresa con un presupuesto ajustado para atender a los clientes de gama baja con el costo como el principal impulsor?
¿Son relativamente nuevos en el campo de la nube o IAM donde obtuvieron esas capacidades mediante adquisiciones recientes y simplemente están cambiando el nombre de los productos y servicios de otra persona?
¿Tienen experiencia y conocimientos legítimos en servicios de nube e IAM donde ofrecer IDaaS es una progresión lógica?
¿Cuáles son los posibles problemas de seguridad?
A pesar de lo bueno que IDaaS podría aportar a su organización, no es una panacea. De hecho, algunos investigadores de seguridad ya han notado preocupaciones sobre algunas de sus capacidades clave. Utilizando nuestro ejemplo anterior, que es el SSO, se argumenta que esto se ha convertido en un «punto único de falla» si falla el servidor de autenticación. O también puede actuar como un «punto de incumplimiento único», esperando ser comprometido.
El sector de seguridad cibernética tiene una lista vertiginosamente larga de casos de uso en los que las organizaciones se violan debido a credenciales comprometidas. La Red de Alerta Temprana de Australia, que se vio comprometida hace un año, fue causada por el mal uso de las credenciales robadas . Y hay muchas formas en que las credenciales se pueden filtrar o robar. Las organizaciones pueden frustrar esto al exigir el uso de autenticación multifactor (MFA) .
La conclusión es esta: IDaaS o no, las empresas aún tienen que adoptar y practicar hábitos informáticos seguros para minimizar su superficie de ataque.
Si desea una lectura más detallada sobre IDaaS, visite lo siguiente:
