En este post vamos a ver algo muy interesante, y no es más que la posibilidad de seguir o trackear ciertos dispositivos bluetooth (pulseras inteligentes, teléfonos móviles…) por casa, con el objetivo de localizar la posición en todo momento para realizar automatizaciones. Lo dicho, todos a día de hoy tenemos un teléfono móvil que nos […]
La entrada Trackeo de nuestra localización en casa con Home Assistant apareció primero en Blog Bujarra.com.
La Raspberry Pi y sus competidoras en el mundo de los miniPCs "crudos" sirven para casi todo, y desde luego también para montarnos pequeños sistemas de almacenamiento en red. Sin embargo ODROID, que ya había ofrecido soluciones específicas en este sentido, ha dado una nueva sorpresa con sus ODROID-HC4, un nuevo producto destinado a crear un NAS de bajo coste.
Los productos de este tipo suelen llegar del lado de fabricantes como Synology o QNAP en cajas compactas y notables en prestaciones pero también caras. Estos ODROID-HC4 no destacan precisamente por su aspecto de "tostadora" —como la llaman sus propios creadores—, pero cuidado porque estos pequeños módulos de dos bahías pueden convertirse en una interesante alternativa para quienes buscan montarse un NAS doméstico sin invertir demasiado.
Los propios responsables de este dispositivo destacan cómo tiene un formato "tostadora" en el que dispondremos de dos bahías para conectar directamente unidades SATA.
En ellas podremos conectar tanto unidades de disco mecánico como unidades de estado sólido (SSD) tanto de 2,5 como de 3,5 pulgadas, y además podremos combinarlas y usar Linux LVM o Soft-RAID para configurar RAID 0, RAID 1 o optimizar la entrada/salida usando un disco duro mecánico de gran capacidad y luego usar una unidad SSD como caché de disco.
Esta base cuenta con un procesador Armlogic S905X3 quad-core con núcleos Cortex-A55 a 1,8 GHz (fabricados con tecnología de 12 nm) y acompañados de 4 GB de RAM DDR4 y un chip flash de 16 MB para albergar el bootloader Petitboot.
Además han abandonado el anterior sistema que adaptaba USB 3.0 a SATA y en lugar de eso utilizan una solución "nativa y más eficiente" que convierte PCIe a SATA de forma directa a través del chip ASM1061.
La caja semitransparente cuenta con un conector de corriente de 5,5 mm, una ranura Micro SD, un puerto USB 2.0, otro HDMI 2.0 y también un puerto Gigabit Ethernet. Este pequeño NAS tiene Ubuntu preinstalado pero es posible instalar plataformas como CoreElec, OpenMediaVault o Android.
Hardkernel, el fabricante de este producto, indica cómo exponer las unidades de disco sin carcasa alguna es útil para la refrigeración, pero conviene que tengamos dicho NAS en un sitio en el que el polvo no sea un problema. El ODROID-HC4 cuenta con un conducto de refrigeración pasiva y un pequeño ventilador.
Este producto se vende en dos versiones: una de 65 dólares "básica" y otra de 75 dólares que incluye una pequeña pantalla OLED de una pulgadas en la que se muestra el reloj e información adicional sobre el estado del NAS. En el precio no se incluye el adaptador de corriente necesario de 15V/4A.
Los ODROID-HC4 estarán disponibles el próximo 27 de octubre, y junto a este producto se ofrecerán accesorios opcionales como el control de infrarrojos, adaptadores Bluetooth y Wi-Fi o pantallas externas que podremos conectar para gestionar todas las opciones del dispositivo si no queremos conectarlas a un monitor HDMI.
Vía | CNX Software
Más información | Wiki ODROID
-
La noticia
El ODROID-HC4 es un NAS "tostadora" de dos bahías que por 65 dólares plantea una curiosa alternativa a los Synology o QNAP del mundo
fue publicada originalmente en
Xataka
por
Javier Pastor
.
La última actualización de Google Chrome (la 86.0.4240.111, lanzada en el canal 'estable' hace unas horas) tiene como objeto parchear cinco agujeros de seguridad, incluyendo una vulnerabilidad de 'día cero'. Y si eres usuario de este navegador, ya sea en Windows, Mac o Linux, deberías actualizarlo lo antes posible.
Los ataques de día cero o 'zero-day' son aquellos que permiten ejecutar código malicioso aprovechando una vulnerabilidad desconocida tanto para los usuarios como para el fabricante. Un desconocimiento que, en este caso, ya ha permitido el secuestro de varios equipos por parte de los ciberdelincuentes que descubrieron en primer lugar dicha vulnerabilidad.
Aquí vemos un Google Chrome listo para actualizarse a la última versión.
Ésta fue finalmente descubierta el 19 de octubre por los investigadores de ciberseguridad del Google Project Zero y bautizada como CVE-2020-15999: consiste, fundamentalmente, es un defecto de corrupción de memoria llamado desbordamiento de búfer en el montículo de datos (o, meramente, desbordamiento de montículo) que permite tomar el control de los equipos afectados.
El problema es que esta vulnerabilidad está relacionada con Freetype, una popular biblioteca de desarrollo de software open source que permite gestionar la representación de fuentes tipográficas en el software y que viene empaquetada en Chrome... así como en muchos otros proyectos de software libre.
Por ello, el líder de Project Google Zero ha animado a los desarrolladores que hacen uso de dicha biblioteca a que implementen el código liberado por ellos para evitar sufrir ataques como el sufrido por Chrome, basados en el uso de fuentes con imágenes PNG incrustadas: si el ancho o el alto de dichas imágenes es "mayor de 65535, el búfer asignado no podrá ajustarse al mapa de bits".
Además de eso, Chrome ha aprovechado esta actualización para parchear otras cuatro vulnerabilidades, tres de las mismas calificadas 'de alto riesgo', y relacionadas con aspectos como el motor de renderizado, el lector de PDF o el sistema de impresión.
Vía | The Hacker News
-
La noticia
Google actualiza de urgencia Chrome para evitar un ataque 'zero-day' que usaba fuentes tipográficas para secuestrar equipos
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
Actualmente no es nada raro escuchar hablar de diferentes plataformas para crear aplicaciones sin saber programar, opciones para principiantes que funcionan simplemente con arrastrar y soltar elementos.
Es lo que se ha llamado la "nueva era del No Code" y ahora es Google la que está también apostando por ello. La empresa acaba de anunciar AppSheet, su nueva plataforma de desarrollo no-code que forma parte de Google Cloud.
AppSheet estará directamente integrada con Google Workspace, el nuevo espacio de trabajo que sustituye a G Suite e integra Gmail, Calendar, Meet, y pronto Google Chat. AppSheet está diseñada para dejar que "cualquiera pueda crear una app poderosa sin tener que escribir ni una sola línea de código".
AppSheet dejará crear una aplicación directamente desde Google Sheets (las hojas de cálculo de Google). Básicamente, al abrir una hoja de cálculo verás una opción dentro de las herramientas que permite "abrir en AppSheet", si creas una cuenta, AppSheet se encargará de analizar la estructura de datos de la hoja de cálculo para programar un prototipo de app por ti.
Google dice que son muchas las posibilidades que se abren con esta plataforma, puesto que AppSheet también se integra con otras herramientas como Calendar, Maps, Drive y más. Puedes probarla de forma gratuita desde ya con Google Workspace y empezar con las plantillas gratis que se ofrecen.
También puedes navegar por la galería de aplicaciones demo de AppSheet para echar un vistazo a las posibilidades que ofrece la plataforma, tienes la opción de personalizar esas muestras.
-
La noticia
Google apuesta por el movimiento No Code con AppSheet, una plataforma para crear apps sin escribir ni una línea de código
fue publicada originalmente en
Genbeta
por
Gabriela González
.
QR Menu Creator es un servicio de esos que hacen una sola cosa y la hacen fácil y bien: crear un menú de restaurante, una lista precios o similar y guardarla para que se puede acceder a ella con un código QR. Es totalmente gratuito y ha sido creado por @levelsio.
El caso es que la llegada de la pandemia supuso para muchos locales la desaparición de los menús en papel, una responsabilidad que se ha transferido a las cartas accesibles desde el teléfono móvil. Esto ha ha hecho que los códigos QR han tenido un extraño resurgir tras debatirse entre la vida y la muerte. Llegas, apuntas con la cámara al QR, aparece el menú en pantalla y ya está.
La forma de usar QR Menu Creator es totalmente visual y muy simple: se elige el tipo de letra, se sube un logo, se pone nombre al menú y finalmente se añade el texto de la lista de comidas o productos. La forma de introducción los textos y detalles es mediante unos códigos muy sencillos: el asterisco (*) para indentar, la barra vertical (|) para alinear los precios y las barras cruzadas (#) para separar secciones. Según se escribe, se ve cuál será el resultado.
Como además se pueden incluir emojis diversos en el texto la cosa puede quedar muy simpática, además de legible e informativa. Y accesible para cualquier dispositivo móvil, que es de lo que se trata. La URL que se genera se puede guardar para volver y hacer añadidos o modificaciones; más fácil imposible.
Relacionado:
Enlarge (credit: Aurich Lawson)
A security researcher reportedly logged in to President Trump's Twitter account last week by guessing the password—it was "maga2020!"—and then alerted the US government that Trump needed to upgrade his Twitter security practices.
Security researcher Victor Gevers reportedly guessed Trump's password on the fifth attempt and was dismayed that the president had not enabled two-step authentication. The news was reported today by de Volkskrant, a Dutch newspaper, and the magazine Vrij Nederland. Both reports had quotes from Gevers, while Vrij Nederland also published a screenshot that Gevers says he took when he had access to the @realdonaldtrump account.
The White House denied Gevers' claim and Twitter said it has seen no evidence to support it.
Read 13 remaining paragraphs | Comments
Alternativas: Los mejores sitios para conocer y comparar Software Libre
Cuando se trata de sitios webs para leer y conocer la actualidad de ciertos Software (Sistemas Operativos, Aplicaciones y Plataformas) nada mejor que los Blogs, y cuando se trata de Software Libre, Código Abierto y GNU/Linux, pues aún más.
Blogs como el nuestro, DesdeLinux, entre muchos otros, son excelente fuentes de información para estar al día en estos ámbitos. Pero, cuando además de estar al día deseamos explorar al mismo tiempo buenas alternativas existentes sobre los programas que estamos leyendo, pues hay sitios que facilitan estas tareas. Por eso, hoy exploraremos algunos para ver cuáles se adaptan mejor a las necesidades de cada quien.
Ya en el pasado, habíamos tocado superficialmente este punto al hablar de OpenHub, él cuál, aunque no es exactamente para comparar aplicaciones de Software Libre sino Proyectos de Código Abierto, también sirve para dicha labor a través de su pequeña herramienta incorporada de comparación llamada: Compare Projects.
Vale recordar y destacar para aquellos interesados en OpenHub, que el mismo es según su sitio web oficial:
“Una comunidad en línea y un directorio público de Software Libre y de Código Abierto (FOSS), que ofrece servicios de análisis y búsqueda para descubrir, evaluar, rastrear y comparar códigos y proyectos de código abierto. Cuando está disponible, el mismo también proporciona información sobre vulnerabilidades y licencias de proyectos”.
Para mayor información sobre OpenHub, al finalizar esta lectura pueden hacer clic en nuestra siguiente anterior publicación relacionada:
Aunque en español, hay muy pocos sitios de este tipo, los 3 más útiles y conocidos que conseguimos fueron:
Un legendario sitio web en el que se dan a conocer programas libres, abiertos y gratuitos. Es de origen español y para facilitar las tareas de comparación o búsqueda de aplicaciones alternativas o similares divide a las mismas en categorías dentro de un enorme y creciente Catálogo de Software Libre.
Al entrar en una Categoría, por ejemplo, Gráficos y luego en Editores gráficos, nos muestra todos los software similares que podemos usar para realizar las mismas labores, mientras que en cada uno, nos ofrece diversos enlaces de información para conocerlas a profundidad.
(Open Source Developers Network) También es un sitio web con muchos años en línea que básica y principalmente ofrece un servicio gratuito para los desarrolladores de software de código abierto. Entre estos servicios se pueden mencionar: Soporte de repositorios variados y lista de correo, entre muchos otros, para ofrecer una gestión fácil e integral de los proyectos registrados.
Además, posee un Mapa de Software que cumple con la misma finalidad y características que el Catálogo de Software Libre descrito en CD Libre. Por ejemplo, se debe presionar en Temas, Multimedia, Gráficos y Editores, para obtener un resultado similar al de CD Libre.
Es un no tan viejo sitio web comercial, también de origen español, que presta un excelente servicio gratuito, enfocado en facilitarle a los interesados la búsqueda, comparación y elección de softwares requeridos. Para ello, también cuenta con un Directorio de Software dividido por categorías muy bien especificadas.
Sin embargo, a diferencia de CD Libre y OSDN, su buscador inteligente funciona y muy bien. Por lo que la búsqueda y comparación puede hacerse más rápida y eficiente. 2 cosas importantes de este sitio, es que ofrecen reseñas de usuarios (opiniones) y alternativas con Software privativos, cerrados y comerciales.
Nota: En español, también existe otro pequeño sitio web que ofrece una pequeña sección de alternativas que hace uso de estos sitios web de comparaciones, en español e inglés. El mismo puede ser visitado haciendo clic en el siguiente enlace.
En idioma inglés, hay muchos sitios más, de los cuales algunos ya serán conocidos y usados por muchos. Razón por la cual, solo los mencionaremos para que poco a poco, los vayan conociendo y usando para lograr conseguir las mejores alternativas de software libres, abiertos y gratuitos a software privativos, cerrados y comerciales. Y estos son:
Nota: La mayoría de los sitios webs en inglés, incluyen búsquedas manuales por categorías y mediante buscador inteligente.
Esperamos que esta “pequeña y útil publicación” sobre estos interesantes y prácticos sitios webs dedicados a dar a conocer diversos software, sobre todo del tipo «libres y abiertos», que ayudan a muchos en cuanto a facilitar la búsqueda de alternativas confiables y seguras a Software privativos, cerrados y comerciales; sea de mucho interés y utilidad, para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución a la difusión del maravilloso, gigantesco y creciente ecosistema de aplicaciones de «GNU/Linux».
Y para mayor información, no dudes siempre en visitar cualquier Biblioteca en línea como OpenLibra y JedIT para leer libros (PDFs) sobre este tema u otras áreas del conocimiento. Por ahora, si te ha gustado esta «publicación», no dejes de compartirla con otros, en tus sitios web, canales, grupos o comunidades favoritas de redes sociales, preferiblemente libres y abiertas como Mastodon, o seguras y privadas como Telegram.
Los ingenieros de Google dieron a conocer mediante una publicación que han identificado una vulnerabilidad grave (CVE-2020-12351) en la pila de Bluetooth «BlueZ» la cual es utilizada en las distribuciones de Linux y Chrome OS.
La vulnerabilidad, cuyo nombre en código es BleedingTooth, permite a un atacante no autorizado ejecutar su código en el nivel del kernel de Linux sin la intervención del usuario mediante el envío de paquetes Bluetooth especialmente diseñados.
El problema puede ser aprovechado por un atacante que se encuentre dentro del alcance de Bluetooth y además de que no se requiere que exista un emparejamiento previo entre el dispositivo atacante y la victima, la única condición es que el Bluetooth debe estar activo en la computadora.
Para un ataque, es suficiente conocer la dirección MAC del dispositivo de la víctima, que puede determinarse mediante el rastreo o, en algunos dispositivos, calcularse en función de la dirección MAC de Wi-Fi.
La vulnerabilidad está presente en componentes que procesan paquetes L2CAP (protocolo de adaptación y control de enlace lógico) a nivel del kernel de Linux.
Al enviar un paquete L2CAP especialmente diseñado con datos adicionales para el canal A2MP, un atacante puede sobrescribir un área fuera de la memoria asignada, que potencialmente se puede usar para crear un exploit para ejecutar código arbitrario a nivel del kernel.
Al especificar un CID que no sea L2CAP_CID_SIGNALING, L2CAP_CID_CONN_LESS y L2CAP_CID_LE_SIGNALING en el paquete, el controlador 2cap_data_channel () se llama en BlueZ, que para los canales en los modos L2CAP_MODE_ERTM y L2_CAP_CAP_ Si la suma de comprobación coincide, se llama al filtro de canal sk_filter (). Para paquetes con CID L2CAP_CID_A2MP, no hay canal, por lo que para crearlo se llama a la función a2mp_channel_create (), que usa el tipo «struct amp_mgr» al procesar el campo de datos chan->, pero el tipo para este campo debe ser «struct sock».
La vulnerabilidad ha surgido desde el kernel de Linux 4.8 y, a pesar de las afirmaciones de Intel, no se ha abordado en la versión 5.9 publicada recientemente.
Matthew Garrett, un conocido desarrollador del kernel de Linux que recibió un premio de la Free Software Foundation por su contribución al desarrollo de software libre, afirma que la información que contiene el informe de Intel es incorrecta y que el kernel 5.9 no incluye las correcciones adecuadas para corregir la vulnerabilidad se incluyeron parches en la rama linux-next, no la rama 5.9).
También expresó su indignación por la política de Intel de revelar vulnerabilidades: los desarrolladores de distribuciones de Linux no fueron notificados del problema antes de la publicación del informe y no tuvieron la oportunidad de preexportar parches para sus paquetes con el kernel.
Además, se informa que se han identificado dos vulnerabilidades más en BlueZ:
Finalmente se ha dado a conocer la publicacion de un prototipo de exploit para comprobar el problema.
En las distribuciones, el problema permanece sin parches (Debian, RHEL (vulnerabilidad confirmada en versiones de RHEL a partir de 7.4), SUSE, Ubuntu, Fedora).
La plataforma Android no se ve afectada por el problema, ya que utiliza su propia pila Bluetooth, basado en el código del proyecto BlueDroid de Broadcom.
Si quieres conocer mas al respecto sobre esta vulnerabilidad, puedes consultar los detalles en el siguiente enlace.
En esta entrada se analizará un documento ofimático, un archivo .doc con macros, mediante el análisis estático y dinámico de la muestra en un entorno controlado, con el objetivo de identificar las acciones que realiza el malware Emotet.
Emotet, el malware polimórfico del que ya hemos registrado noticias de sus actuaciones en INCIBE-CERT (Estados Unidos y España), no ha dejado de evolucionar desde sus inicios, cuando era catalogado como un troyano bancario, hasta la actualidad, donde su principal función es la de actuar como un “downloader”, es decir, permitiendo la descarga y ejecución de otros malware como Trickbot, cifradores de archivos, etc.
Como modus operandi, los atacantes, habitualmente, utilizan correos electrónicos fraudulentos con adjuntos o enlaces a archivos ofimáticos maliciosos que mediante macros, buscan la descarga y ejecución de Emotet, intentando así eludir a los antivirus.
En esta entrada se analizará uno de esos documentos ofimáticos, un archivo .doc con macros, mediante el análisis estático y dinámico de la muestra en un entorno controlado, con el objetivo de identificar las acciones que realiza este código dañino.
La muestra de estudio se ha obtenido de VirusTotal, al ser identificada durante la búsqueda de la familia Emotet.
- Tabla 1. Detalles de la muestra de malware. -
La información que se obtiene mediante el comando file desde un sistema operativo Linux es la siguiente:
Composite Document File V2 Document, Little Endian, Os: Windows, Version 10.0, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Tue Jul 21 23:37:00 2020, Last Saved Time/Date: Tue Jul 21 23:37:00 2020, Number of Pages: 2, Number of Words: 5, Number of Characters: 30, Security: 0
Lo primero que se observa durante el análisis es que las macros contenidas en el documento utilizan una técnica de bypass para ocultar su contenido del visor específico de Microsoft Office. Sin embargo, aunque estas no puedan ser visualizadas, la advertencia para la ejecución de macros sigue apareciendo, tal y como se muestra en la siguiente imagen:
- Figura 1. Aviso de macros en documento malicioso. -
En caso de que el usuario permita la ejecución y su máquina se encuentre conectada a Internet, las macros descargarán el código malicioso.
Por medio de la herramienta OleVBA es posible ver el contenido de la macro a ejecutar, además de mostrar el contenido También cuenta con opciones de decodificación que permiten una visualización más amigable.
- Figura 2. Macros vistas desde OleVba. -
A continuación, se establecen las versiones de TLS que se utilizarán en futuras comunicaciones con un posible C&C por medio de una sentencia codificada en base64 a través de la consola PowerShell.
Tras la ejecución de las macros de forma automática desde la función “Document_Open”, el documento descarga en disco un archivo mediante un objeto WMI.
La descarga del binario malicioso de Emotet, deja en la ruta actual un ejecutable con el nombre de “262.exe”. Dicho ejecutable es movido a la siguiente ubicación cambiando su nombre para llevar a cabo su ejecución:
C:\Users\incibe\AppData\Local\dot3hc\PresentationSettings.exe
Tras un análisis estático, es posible apreciar cierta información, como la fecha de creación del archivo, algunas API que manejan la memoria del proceso e incluso la ruta y el nombre de compilación del proyecto.
Al ejecutar esta muestra en un debugger, también se identifica un intento de realizar la carga de “taskmgr.exe” como si se tratase de una librería. Posteriormente una rutina se encarga de mover un array de bytes de gran dimensión a una zona específica del código ejecutable generada tras la iteración con la API VirtualAllocExNuma. Dicho código se encuentra ofuscado en su totalidad, por lo que es necesaria otra rutina de descifrado basada en XOR para generar la carga útil en dicha sección de memoria.
Una vez realizada la copia del fragmento de memoria con el ejecutable, se aprecia un binario de 35KB. El análisis estático del archivo no aporta mucha información, ya que muestra patrones de compresión en su cabecera, es decir, es posible que una aplicación externa a su compilación modifique las dimensiones del ejecutable original. La única cadena visible en el interior del ejecutable se encuentra en unos offsets pertenecientes al EOF del archivo con el texto “dave”. Esto vuelve a indicar que el binario fue modificado tras su compilación, ya que ningún compilador conocido escribe información en esa ubicación.
- Figura 3. Cadena "dave". -
Desde el debugger, es posible ver una carga dinámica de librerías tras el uso de LoadLibraryW. Esta acción se complementa en parte por la siguiente rutina, encargada de descifrar el nombre de las librerías a cargar.
Se crean eventos y mutex de sincronización utilizando nombres diferentes para cada sistema en el que se ejecuta, ya que para la generación de este array se utiliza el identificador del disco duro VolumeSerialNumber, mediante el uso de los patrones "Global\\E%X", "Global\\I%X" y "Global\\M%X", observados también en otras muestras recientes de Emotet. De esta manera, se generan nombres del siguiente tipo:
Global\E78C28DF8
La instalación de Emotet se inicia tras la creación de la carpeta BWUnpairElevated en la siguiente ruta:
/CALL to CreateFileW from SHELL32.75FC02EA |FileName = "C:\Users\incibe\AppData\Local\BWUnpairElevated" |Access = 80 |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE|4 |pSecurity = NULL |Mode = OPEN_EXISTING |Attributes = NORMAL|BACKUP_SEMANTICS \hTemplateFile = NULL
Posteriormente, se mueve el archivo actual a la ubicación creada, utilizando el nombre “shell32.exe” para finalizar su instalación.
/CALL to MoveFileExW from SHELL32.761B267B |ExistingName = "C:\Users\incibe\Desktop\DUMP.exe" |NewName = "C:\Users\incibe\AppData\Local\BWUnpairElevated\shell32.exe" \Flags = REPLACE_EXISTING|COPY_ALLOWED
Seguidamente, el binario elimina el archivo de identificador de zona en caso de existir, mediante la siguiente sintaxis de ejecución.
C:\Users\incibe\AppData\Local\BWUnpairElevated\shell32.exe:Zone.Identifier
En caso de obtener privilegios de ejecución como administrador, la copia del ejecutable se realiza de la misma manera pero en la siguiente ubicación.
C:\Windows\system32\TabSvc\MSJET35.exe
Finalmente, se realiza la ejecución desde la nueva ubicación.
/CALL to CreateProcessW from DUMP.000534B3 |ModuleFileName = "C:\Users\incibe\AppData\Local\BWUnpairElevated\shell32.exe" |CommandLine = NULL |pProcessSecurity = NULL |pThreadSecurity = NULL |InheritHandles = FALSE |CreationFlags = 0 |pEnvironment = NULL |CurrentDir = NULL |pStartupInfo = 0034F96C \pProcessInfo = 0034F9B0
Este proceso es el mismo exceptuando la instalación, no obstante ahora se incluye una entrada en el registro para ejecutarse de forma automática tras cada inicio. Esta puede ser visible desde una herramienta como Autoruns o el propio msconfig del sistema.
- Figura 4. Persistencia en el sistema. -
Los próximos eventos de ejecución iniciarán la carga de funciones criptográficas a partir de la librería “rsaenh.dll”, la "Microsoft Enhanced RSA and AES Cryptographic Provider".
Mediante el uso de la API GetComputerName, extrae el nombre del sistema infectado. En este caso, "INCIBE-PC". Tras ser formateado mediante el uso de la cadena “%s_%08X”, se genera la palabra “INCIBEXPC_78C28DF8”.
A continuación, recupera información sobre la arquitectura del sistema mediante el uso de la API GetNativeSystemInfo, además de copiar el nombre de los procesos en ejecución mediante la API Process32.
Una vez que Emotet reúne toda la información necesaria, procede a cifrarla mediante la clave RSA pública que alberga en su interior. Una vez cifrada, la información se envía a través de Internet, mediante una petición HTTP que comienza con la carga en memoria de la siguiente cadena:
r\n--%S\r\nContent-Disposition: form-data; name=\"%s\"; filename=\"%s\"\r\nContent-Type: application/octet-stream\r\n\r\n
La cadena “%u.%u.%u.%u”, es formateada formando la dirección IP 94.49.254.194 tras un proceso de descifrado. Además, se identifica el uso de una rutina de generación de caracteres aleatorios por medio de la función RtlRandomEx. Con esta se generan palabras que terminan siendo unidas en una frase mediante el carácter de separación “/”. De esta forma, se genera una dirección URL aleatoria para cada ejecución, con el objetivo de ser difícilmente bloqueada por sistemas firewall/IDS.
http://94.49.254.194/KMvye/HxC9mXOKTFcWCK6WNV/JSzlnTTgjxJOlN/uTVHKLwfX0RfBIB1CcI/1SnOfnHlfNBJG8OjKV/G22cYrn2PcpeaLGx/
Realiza esta comunicación como una petición POST simulando ser IE 7 en un Windows XP.
Aunque no se ha realizado un análisis de los módulos descargados, ha sido posible identificar parte del comportamiento de Emotet durante esta acción. De igual manera que el actual ejecutable, un binario fue descargado por este en la carpeta de instalación BWUnpairElevated.
La ejecución del nuevo módulo se realiza con la función CreateProcess de la siguiente manera:
C:\Users\incibe\AppData\Local\BWUnpairElevated\PNPXAssoc7a3.exe CAIAADIAAABCAFcAVQBuAHAAYQBpAHIARQBsAGUAdgBhAHQAZQBkAFwAcwBoAGUAbABsADMAMgAAAA==
El texto codificado en base64, corresponde con la ubicación de ejecución inicial a modo de comprobación.
BWUnpairElevated\shell32
Una vez instalado y en comunicación con su servidor de Comando y Control, EMOTET estará preparado para realizar en el equipo las acciones que se le indiquen.
Durante el análisis de esta muestra, no se han encontrado evidencias del procedimiento de infección, no obstante la manera más evidente para llevar a cabo este tipo de ataques es la del envío masivo de correos SPAM, sin descartar la posibilidad de utilizar cualquier otro medio que permita compartir el documento malicioso.
En la muestra se han encontrado diversas técnicas utilizadas para evitar la detección y la ingeniería inversa sobre el archivo, concretamente:
Otro tipo de protección que se ha observado es el uso de diferentes claves RSA para cada campaña de Emotet, incluyendo la clave pública incrustada en el interior del código malicioso, utilizada para el cifrado de la información obtenida del sistema antes de enviarla a los C&C encargados de las comunicaciones con las máquinas infectadas. Mediante esta táctica se intenta pasar desapercibidos por los firewalls que contengan reglas para otras versiones conocidas de esta amenaza.
Durante la importación de la clave RSA se ha identificado dicha clave tras la llamada a la función CryptImportKey. Como se muestra en la siguiente imagen, se encuentra en el apartado Hex/ASCII con la cabecera RSA1 que incorpora el uso de la CryptoAPI.
- Figura 5. Carga de la clave RSA pública. -
Parte de la configuración del malware incluye las rutas de instalación y el nombre utilizado para el proceso.
C:\Users\incibe\AppData\Local\BWUnpairElevated\shell32.exe C:\Windows\system32\TabSvc\MSJET35.exe
Además incluye los nombres utilizados para la clave de registro y el servicio para iniciarse automáticamente tras un reinicio.
Autorun Key Shell32 Service MSJET35
La clave RSA y la dirección IP 94.49.254.194 también son elementos configurables de Emotet.
La siguiente ubicación es utilizada por el código dañino para establecer persistencia en el sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Shell32
En caso de obtener privilegios de administrador, se ha identificado la creación de un servicio mediante el uso de la API CreateServiceW.
ServiceName MSJET35 CommandLine C:\Windows\system32\TabSvc\MSJET35.exe
Emotet se transmite, principalmente, por correo electrónico, por ello se debe tener especial precaución a la hora de ejecutar cualquier tipo de adjunto o enlace proveniente del correo, incluso los provenientes de contactos conocidos, ya que Emotet puede suplantar su identidad.
Tanto las URLs, como los adjuntos, se pueden analizar por medio de herramientas, como Virus Total o URLhaus. También es aconsejable deshabilitar las macros de terceros por defecto, y nunca habilitarla a no ser que se esté seguro de su legitimidad.
Emotet también utiliza vulnerabilidades conocidas, como EternalBlue/DoublePulsar y ataques de fuerza bruta, por lo que siempre se debe contar con los sistemas actualizados a la última versión disponible y utilizar contraseñas robustas.
También es posible monitorizar las posibles fuentes de infección utilizando diferentes identificadores de compromiso (IOC).
El CERT de Japón ha publicado en su repositorio de GitHub una herramienta llamada EmoCheck destinada a comprobar si el malware Emotet está presente en el dispositivo.
Si este software detecta evidencias, ofrecerá información para su desinfección, como el nombre del proceso, el identificador del proceso y la ruta absoluta donde se encuentra alojado el malware. En caso de infección, lo recomendable es terminar el proceso identificado y eliminar el archivo malicioso.
También es aconsejable analizar el sistema con otras herramientas antimalware.
Para más información, puede consultar la entrada de blog ‘Prevención y desinfección del malware Emotet’.
Recientemente se han detectado un repunte en el número de campañas del malware Emotet. A lo largo de esta entrada del blog se exponen los resultados obtenidos durante el análisis del fichero malicioso con la intención de dar a conocer su naturaleza y funcionamiento. Mediante esta información, será mucho más fácil estar preparados, tanto en la prevención, como en la detección y respuesta de este malware, para poder reaccionar y evitar su despliegue en nuestros sistemas.
Al igual que en otros ataques basados en la ingeniería social, es muy importante que el usuario conozca la existencia de la amenaza y su funcionamiento, para poder así reconocerlo a tiempo y evitar caer en el engaño, o para eliminarlo en caso de haberse visto afectado.
INCIBE-CERT, como CSIRT Nacional de referencia en España para empresas y particulares, ha recibido datos de usuarios infectados por Emotet, poniendo dicha información en conocimiento de los afectados. A continuación, se proporcionan respuestas a preguntas frecuentes a modo de resumen:
Emotet es un software malicioso que infecta los ordenadores y permite ejecutar acciones como el robo de información o la instalación de malware adicional con otras funcionalidades (control del equipo por parte de terceros, cifrado de equipos con ransomware, etc.), como se detalla en el artículo.
INCIBE-CERT recibe información de todas partes del mundo relativa a ordenadores españoles infectados, dentro del ámbito de actuación común de actividades colaborativas y de compartición de información que se llevan a cabo entre distintos CERT y también con organismos externos. Los datos relativos a la infección de Emotet provienen de terceros externos a INCIBE-CERT.
No, aunque en determinados casos aparecen credenciales asociadas a una web, el robo de las mismas se ha llevado a cabo por medio de un equipo infectado usado por el usuario, la web no se ha visto comprometida.
Desde INCIBE-CERT no podemos realizar comprobaciones relativas a Emotet en equipos particulares. Además, no es previsible la recepción de información adicional sobre nuevos equipos infectados o actualizaciones respecto al estado de la infección de los ya reportados. Aunque es prácticamente imposible alcanzar la certeza absoluta de que un equipo esté libre de infecciones, entendemos que el uso de las herramientas sugeridas acompañadas de una actualización de su base de datos de amenazas debería poder eliminar exitosamente las infecciones que pueda tener. En todo caso, puede lograr una mayor confianza en que el equipo se encuentre libre de infecciones procediendo a formatearlo y reinstalar la última actualización del software que precise en el mismo.
Cabe la posibilidad de que la información sobre la infección de Emotet en su equipo sea antigua y ya lo solucionase en su momento, o porque se trate de un falso positivo.
Esta casuística puede deberse a que, en realidad, quienes están afectados son los usuarios de su web, es decir, la lista que le hemos proporcionado. Le agradeceríamos que se pusiera en contacto con ellos para informarles de la incidencia y les proporcione las recomendaciones que le hemos indicado. Muchas gracias por su colaboración.
Los binarios de Emotet que han recibido la actualización se desinstalarán automáticamente el día, 25 de abril de 2021, dejando el fichero en cuarentena en una ruta temporal para posibles investigaciones en el sistema infectado. No obstante, ello no soluciona todos los problemas de seguridad si de resultas de la instalación de Emotet se hubieran instalado otros malware o robado datos y/o contraseñas de su equipo. Aunque haya transcurrido esa fecha, le recomendamos que compruebe igualmente el sistema con la herramienta EmoCheck y programas antimalware.
Etiquetas: Amenazas, Análisis forense, Cibercrimen, Firewall, Incidente, Ingeniería social, Malware, Phishing, Protección de datos, Rootkit
Gran victoria sobre una de las redes de bots más peligrosas del mundo. Trickbot ha infectado más de un millón de dispositivos desde finales de 2016 y está considerada por los Estados Unidos como una de las amenazas más grandes por sus ataques de ransomware y su posible interferencia en las próximas elecciones. Pese a que sus responsables son desconocidos, se cree que Trickbot es utilizada por múltiples estados y organizaciones criminales.
Microsoft y las firmas de ciberseguridad ESET, NTT y Black Lotus Labs se han unido para intentar poner fin y bloquear los ataques de Trickbot. Una ofensiva para reducir, aunque sea temporalmente, ataques de ransomware como Emotet o Ryuk, muy populares en los últimos años y que previsiblemente estuvieron detrás de los ataques al Ayuntamiento de Jérez, Prosegur o la Cadena Ser. Siendo estos solo algunos de los casos que han salido a la luz.
Microsoft ha ejecutado un ataque legal para desarticular la red de bots. Un juzgado de Virginia ha autorizado a Microsoft a hacerse con el control de múltiples servidores que utilizaba Trickbot para infectar otros sistemas. Según ha argumentado la compañía, Trickbot provocaba daños irreparables a la marca Microsoft, corrompiendo sus productos y alterando el funcionamiento de Windows.
Según describe ESET, tras analizar 125.000 muestras maliciosas en 2020, Trickbot distribuye el malware de distintas formas, en ocasiones aprovechando sistemas ya comprometidos previamente por otras botnets como Emotet. Gracias a esta investigación, realizada junto a Microsoft, Symantec y otras firmas de ciberseguridad, el grupo pudo mapear cómo funciona Trickbot y qué servidores utilizaban.
Trickbot se ha convertido en una vía para implementar varios ransomware en redes corporativas para posteriormente solicitar un rescate a cambio de no publicar la información obtenida. Entre los ransomware más conocidos de Trickbot está 'Ryuk', utilizado para atacar numerosas organizaciones, incluyendo hospitales.
Países donde se ha detectado a la botnet Trickbot entre octubre de 2019 y octubre de 2020. Fuente: ESET El alcance de Trickbot se expande por el mundo y pocos países quedan fuera. La importante operación contra esta red de bots ha desactivado su centro de mando, pero no parece que vaya a ser definitiva.
Según explica ESET, la actividad de la botnet ha disminuido desde octubre, pero podría no estar vinculado estrictamente a la operación. Según sus datos, la mayor actividad de la red ocurrió durante los meses de enero y febrero, en marzo aparentemente se detuvo totalmente, pero posteriormente continuaron atacando sistemas.
Desde Microsoft se ha conseguido que la botnet no pueda obtener nuevos servidores pero, según apuntan expertos como Brian Krebs, esta acción "previsiblemente está condenada a fallar" por la propia naturaleza de la botnet.
Added some much-needed perspective from Intel 471 on why any attempt to take down Trickbot is likely to fail. tl;dr: Their backup communication method relies on ToR and EmerDNS, which allows the use of domains that can't be taken down by any authority https://t.co/rflBgfVj0N pic.twitter.com/Pd4fZccvRf
— briankrebs (@briankrebs) October 12, 2020
En Xataka | Qué es el Ransomware y cómo te puedes proteger de él
-
La noticia
Golpe a Trickbot y el ransomware Ryuk: Microsoft y varias empresas de ciberseguridad desactivan una de las mayores botnets del mundo
fue publicada originalmente en
Xataka
por
Enrique Pérez
.
Ayer en la mañana nos desayunamos la noticia de que existió "una posible brecha" en el sistema de clave única de Chile (es una forma centralizada en la cual un ciudadano chileno puede acceder a más de 900 trámites online con una sola contraseña), en la misma mañana salió un comunicado de Gobierno Digital apagando el incendio, diciendo que usaban un robusto sistema de hasheo en sus sistemas y aunque haya existido la brecha no se podía acceder a la clave única, pero igual de todas formas ya habían activado el protocolo de cambio de contraseñas de forma paulatina para evitar problemas.
Ningún sistema es 100% seguro y estas cosas pueden pasar, el protocolo aplicado es el correcto en este tipo de casos, todo "normal" y en el peor de los casos se filtró tu clave única, pero nadie pudo realizar trámites a tu nombre ya que tu contraseña debe ser cambiada en el siguiente logeo (esto le ha pasado a grandes empresas como Dropbox, Linkedin, etc...).
Hasta aquí estamos hablando de un problema grave en la seguridad en un sistema en particular, lo cual afecta de forma seria la funcionalidad de un sistema del Gobierno de Chile que es usado por prácticamente todos los chilenos, más ahora que estamos en pandemia... Pero el problema parecía haber sido amagado de forma correcta y esperábamos que no hubieran más incidencias, eso hasta que un twittero empieza a liberar los leaks de a poco...
Personalmente esperaba que las filtraciones fueran falsas o de bajo impacto, pero cuando empiezo a ver el contenido de los archivos mi peor temor fue confirmado.
No solamente habían vulnerado el sistema de Clave única, habían comprometido toda la infraestructura de Gobierno Digital, infraestructura en la cual se cuenta con proyectos como Clave única, Comisaría Virtual, plataforma de tramites online del Ministerio de Bienes Nacionales, y muchos otros.
La infraestructura está montada en Amazon Web Services ya que uno de los archivos filtrados contiene todas las configuraciones en formato JSON de AWS, donde se encuentran los usuarios, grupos de acceso, políticas de seguridad, además de las funciones lamdas con sus respectivas variables de entorno:
Dentro de los archivos filtrados hay archivos de configuración para VPNs, llaves privadas SSH, muchos dumps de bases de datos SQL y código de aplicaciones, entre otros, en conjunto por el momento son más de 9 GB de archivos, en los cuales hay datos sensibles, contraseñas, nombres, trámites virtuales, API keys, endpoints e información de infraestructura. Al momento de escribir este artículo el usuario en twitter que está filtrando los archivos ya va por el número 16 y pareciera ser que son muchos más dado el nivel de compromiso que se logró en este ataque.
Sin duda un día gris para la democracia digital en Chile. Durante el día es esperable que los medio amplíen la información, pero como no son expertos en la materia quizás no vean el grave impacto que hay producto de este ataque.
Saludos!
Enlarge (credit: Nick Wright. Used by permission.)
For months, Apple’s corporate network was at risk of hacks that could have stolen sensitive data from potentially millions of its customers and executed malicious code on their phones and computers, a security researcher said on Thursday.
Sam Curry, a 20-year-old researcher who specializes in website security, said that, in total, he and his team found 55 vulnerabilities. He rated 11 of them critical because they allowed him to take control of core Apple infrastructure and from there steal private emails, iCloud data, and other private information.
The 11 critical bugs were:
Read 16 remaining paragraphs | Comments
Leer másHa fallecido Jose Francisco. Pastora Soler deja a sus fans sin aliento
 |
James Bruton (or @xrobotosuk on Instagram) built an IoT-controlled e-paper message board using Raspberry Pi. Updating it is easy: just edit a Google sheet, and the message board will update with the new data.
This smart message board uses e-paper, which has very low power consumption. Combining this with the Google Docs API (which allows you to write code to read and write to Google Docs) and Raspberry Pi makes it possible to build a message board that polls a Google Sheet and updates whenever there’s new data. This guide helped James write the Google Docs API code.
James’s original plan was to hook up his Raspberry Pi to a standard monitor and use Google Docs so people could update the display via mobile app. However, a standard monitor consumes a lot of power, due to its backlight, and if you set it to go into sleep mode, people would just walk past it and not see updates to the list unless they remember to wake the device up.
Enter e-paper (the same stuff used for Kindle devices), which only consumes power when it’s updating. Once you’ve got the info you want on the e-paper, you can even disconnect it entirely from your power source and the screen will still display whatever the least update told it to. James’s top tip for your project: go for the smallest e-paper display possible, as those things are expensive. He went with this one, which comes with a HAT for Raspberry Pi and a ribbon cable to connect the two.
The HAT has an adaptor for plugging into the Raspberry Pi GPIO pins, and a breakout header for the SPI pins. James found it’s not as simple as enabling the SPI on his Raspberry Pi and the e-paper display springing to life: you need a bit of code to enable the SPI display to act as the main display for the Raspberry Pi. Luckily, the code for this is on the wiki of Waveshare, the producer of HAT and display James used for this project.
A 3D-printed case, which looks like a classic photo frame but with a hefty in-built stand to hold it up and provide enough space for the Raspberry Pi to sit on, is home to James’s finished smart to-do list. The e-paper is so light and thin it can just be sticky-taped into the frame.
James’s creation is powered by Raspberry Pi 4, but you don’t need that much power, and he’s convinced you’ll be fine with any Raspberry Pi model that has 40 GPIO pins.
Extra points for this maker, as he’s put all the CAD files and code you’ll need to make your own e-paper message board on GitHub.
If you’re into e-paper stuff but are wedded to your handwritten to-do lists, then why not try building this super slow movie player instead? The blog squad went *nuts* for it when we posted it last month.
The post Build an e-paper to-do list with Raspberry Pi appeared first on Raspberry Pi.
Se acaba de presentar el lanzamiento de la nueva version de la plataforma Nextcloud Hub 20, version en la cual se presentan mejoras de integración con diversas plataformas (Slack, MS Online Office Server, SharePoint, MS Teams, Jira, entre otras), además de que también se destacan algunas mejoras de optimización y mas.
Para quienes desconocen Nextcloud Hub, deben saber que esta es una plataforma que proporciona una solución autónoma para organizar la colaboración entre empleados de empresas y equipos que desarrollan varios proyectos.
Simultáneamente Nextcloud cuenta con una plataforma en la nube que permite expandir la sincronización de apoyo y el intercambio de datos, proporcionando la capacidad de ver y modificar los datos de cualquier dispositivo en cualquier punto de la red (usando un interfaz web o WebDAV). El servidor Nextcloud se puede implementar en cualquier alojamiento que admita scripts PHP y proporcione acceso a SQLite, MariaDB / MySQL o PostgreSQL.
En términos de tareas, Nextcloud Hub se parece a Google Docs y Microsoft 365, pero le permite implementar una infraestructura de colaboración totalmente controlada que opera en sus propios servidores y no está vinculada a servicios de nube externos.
En esta nueva edición se ha trabajado para mejorar la integración con plataformas de terceros, tanto propietarias (Slack, MS Online Office Server, SharePoint, MS Teams, Jira y Github) como de código abierto (Matrix, Gitlab, Zammad, Moodle). Para la integración, se utiliza la API REST abierta Open Collaboration Services, creada para organizar la interacción entre plataformas para colaborar con el contenido. Se proponen tres tipos de integraciones:
Pasarelas entre los chats de Nextcloud Talk y los servicios como Microsoft Teams, Slack, Matrix, IRC, XMPP y Steam.
Otro cambio importante en esta nueva version es la búsqueda unificada que cubre sistemas externos de seguimiento de errores (Jira, Zammad), plataformas de desarrollo colaborativo (Github, Gitlab), sistemas de aprendizaje (Moodle), foros (Discourse, Reddit) y redes sociales (Twitter, Mastodon);
Controladores de llamadas desde aplicaciones externas y servicios web.
El sistema de búsqueda se ha unificado, permitiendo en un solo lugar ver los resultados de la búsqueda no solo en los componentes de Nextcloud (Archivos, Talk, Calendario, Contactos, Deck, Mail), sino también en servicios externos como GitHub, Gitlab, Jira y Discourse.
Además se ha propuesto un nuevo tablero, donde puede colocar widgets y abrir documentos directamente sin llamar a aplicaciones externas. Los widgets proporcionan un medio para integrarse con servicios externos como Twitter, Jira, GitHub, Gitlab, Moodle, Reddit y Zammad, ver el estado, mostrar pronósticos del tiempo, mostrar favoritos, listas de chat, correos electrónicos importantes, eventos de calendario, tareas, notas y análisis.
En Talk ha agregado soporte para referirse a otras plataformas. Por ejemplo, las salas de conversación ahora se pueden conectar a uno o más canales en Matrix, IRC, Slack, Microsoft Teams. Además, Talk ofrece una interfaz para seleccionar emojis, obtener una vista previa de las descargas, la configuración de la cámara y el micrófono, desplazarse al mensaje original cuando hace clic en una cita y silenciar a los participantes mediante un moderador. Se proporcionan módulos para integrar Talk con el tablero y la búsqueda unificada.
También se agregó la capacidad de determinar su estado, mediante la cual otros pueden averiguar qué está haciendo el usuario en ese momento.
El calendario del planificador ahora tiene una vista de lista de eventos, se rediseñó el diseño y se agregaron módulos para la integración con el tablero y la búsqueda unificada.
En la interfaz para trabajar con correo electrónico, se implementó un modo de visualización de discusiones similar a un hilo, se mejoró el manejo de espacios de nombres en IMAP y se agregaron herramientas para administrar el buzón.
De los demás cambios que se destacan:
Finalmente si quieres conocer mas al respecto, puedes consultar el siguiente enlace.
Inspección de Trabajo está enviando avisos a las empresas por el envío de correos electrónicos a sus trabajadores fuera de su jornada de trabajo, según describe Cinco Días. A finales de septiembre, la Inspección Provincial de Tarragona abrió un acta de infracción contra Prosegur por vulnerar el derecho de sus trabajadores a la conciliación laboral y la desconexión digital, precisamente por el envío de correos a sus empleados fuera de la jornada laboral.
En el caso de Prosegur, los trabajadores recibían correos y llamadas fuera del horario por su responsable directo. Y según detalla el informe, los trabajadores respondían "por temor a las represalias". Inspección de Trabajo calificó la situación con Prosegur como muy grave y ha decidido abrir un acta de infracción a la empresa, según adelanta Crónica Global y explica ADN Sindical. Si bien, en respuesta a ElDiario.es, desde Prosegur aseguran que se trata de un "error" y por el momento solo se les ha advertido sin llegar a abrir el acta de infracción.
Más allá de este caso, el envío de correos fuera de horario es una práctica muy extendida sobre la que Inspección de Trabajo está alertando.
¿Es sancionable que las empresas envíen correos a sus trabajadores fuera de horario? Para ello preguntamos a Ana Ercoreca, presidenta del Sindicato de Inspectores de Trabajo y Seguridad Social.
"De manera extraordinaria y a alguna compañía específica, Inspección de Trabajo envía avisos o cartas", explica Ercoreca. Sobre esta práctica, la inspectora responde que "es una cuestión de organización de la empresa. Si por ejemplo el trabajador está a jornada parcial cuatro horas, es normal que la empresa que sí hace ocho horas pueda enviar correos fuera de horario". Sin embargo, apunta que la sanción no vendría tanto de que la empresa pueda enviar correos fuera de horario, como de tener la obligación de contestar. "No es tanto que se envíe un correo, sino forzar al trabajador a que conteste", resume Ercoreca.
"Si se obliga al trabajador a contestar, podríamos estar ante casos de una ampliación de jornada encubierta", subraya la inspectora de Trabajo. La Ley Orgánica de Protección de Datos de 2018 ya recogía el derecho a la desconexión digital, pero no queda suficiente concretado si este derecho al descanso conlleva que las empresas no puedan enviar correos electrónicos.
La vulneración del derecho a la desconexión digital tendría la consideración de infracción grave de la normativa laboral, con multas entre 626 y 6.250 euros. ¿Cuándo aplica? Según apunta Encoreca, podría llegar a ser sancionable si la empresa no deja claro que no existe obligación de contestar al correo. "Si el trabajador ya sabe que no hace falta contestar, no hace falta que esté por escrito. Pero no estaría de más que hubiera una comunicación interna laboral sobre que no hace falta contestar", explica. Si bien, la inspectora apunta que en el derecho de desconexión digital no se especificaba que debía quedar acordado.
"Hay que establecer esa garantía de descanso, también en el teletrabajo. Los trabajadores tienen derecho a finalizar la jornada. De lo contrario puede verse afectada su salud", apunta Ercoreca.
En la recientemente aprobada Ley del Teletrabajo, se especifica que "las empresas deberán garantizar la limitación en el uso de los medios tecnológicos durante los periodos de descanso", para ello instan a elaborar una política interna. Según describe el artículo 18 del Derecho a la desconexión digital:
"La empresa, previa audiencia de la representación legal de las personas trabajadoras, elaborará una política interna dirigida a personas trabajadoras. [...] En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio de la persona empleada vinculado al uso con fines laborales de herramientas tecnológicas".
Es decir, siguiendo la nueva Ley del Teletrabajo, las empresas tienen la obligación de elaborar una política interna en la que se recoja cómo deben actuar los trabajadores frente a los correos, entre ellos los enviados fuera de horario. De lo contrario, podrían darse casos como los de Prosegur donde Inspección de Trabajo pueda llegar a considerar que los trabajadores se veían forzados a responder.
Inspección de Trabajo está adoptando una posición estricta frente a este tema, con la interpretación que si no se ordena de forma expresa que no hace falta contestar, podrían aplicarse sanciones.
-
La noticia
Enviar correos a los trabajadores fuera de su horario es sancionable: así funciona el derecho a la desconexión digital
fue publicada originalmente en
Xataka
por
Enrique Pérez
.
Continuamos inmersos en el mundo de los sistemas de detección de intrusos, en la entrada de hoy vamos a ver como integrar el sistema Snort, del que hablamos recientemente, con el sistema de visualización...
La entrada Integración de Snort con Graylog se publicó primero en ochobitshacenunbyte.
Posiblemente las primeras semanas de octubre sean una de las épocas del año en que más acostumbramos a iniciar proyectos nuevos, sobre todo si tienen que ver con la formación, por aquello del inicio de curso.
De modo que, si tenías en mente iniciarte o profundizar en un ámbito como es el de la ciberseguridad, estás de enhorabuena: no sólo por la época del año, sino porque tienes a tu disposición varios cursos online gratuitos que pueden resultarte útiles.
Cuatro de ellos los ofrece la firma de e-learning Cybrary, cuya plataforma suele ser de pago pero que, con ocasión del 'mes de la concienciación en cibserseguridad', están disponibles este mes de forma gratuita.
El curso 'Seguridad informática: defensa contra las artes oscuras digitales', ofrecido por Google desde la plataforma de e-learning Coursera, forma parte del Certificado profesional de 'Soporte de Tecnologías de la Información' de la compañía del buscador.
De una duración de 26 horas (aunque estructurado para ser completado en 6 semanas), y disponible gratuitamente y en español, este curso empieza cubriendo los aspectos más básicos de la seguridad en entornos de TI para pasar a ámbitos como la criptología, la 'seguridad AAA' (siglas en inglés de 'autenticación, autorización y contabilización'), seguridad en redes y cultura de empresa enfocada a la seguridad.
"Aprende a pensar como un hacker, pero actúa como un experto en ciberseguridad" es el lema del curso 'Fundamentos de Ciberseguridad: un enfoque práctico' ofrecido en la plataforma edX por la Univ. Carlos III de Madrid y el Banco Interamericano para el Desarrollo, con varios investigadores del COSEC (Computer Security Lab) como formadores.
Su plan de estudios se inicia tocando los ciberdelitos y la ciberguerra y toca temas como la informática forense, la ingeniería inversa, la ciberdefensa, el malware y las filtraciones de datos. Por sólo 25 € puedes sumar a esos conocimientos un certificado verificado por las instituciones impartidoras.
El curso 'Web Defense Fundamentals' está dirigido a proporcionarnos nociones sobre seguridad de aplicaciones web, para evitar que cuando desarrollemos la nuestra sea vulnerable a ataques de inyección de código SQL, de Cross-site scripting o de cualquiera del resto del TOP10 de amenazas identificadas por el Open Web Application Security Project (OWASP).
Bastante más breve que los anteriores, este curso cuenta con una duración de 1 hora, y está disponible en inglés (con subtítulos).
El curso 'End User VPN Security' está dirigido a formar a los usuarios sobre el concepto de VPN (red privada virtual), su funcionamiento, usos y opciones comerciales. Clasificado como de dificultad 'intermedia', son sólo dos horas de curso en inglés (con subtítulos).
Este curso está dirigido a preparar al usuario para la obtención de la prestigiosa certificación CISA (Certified Information Systems Auditor) para auditores de sistemas de información.
Este curso de dificultad 'intermedia', que además de aspectos puramente tecnológicos aborda también otros de tipo empresarial y legal, consta de más de 13 horas de formación, y está disponible en inglés (con subtítulos).
Otro curso dirigido a la obtención de una certificación, en este caso la CCSK (Certificate of Cloud Security Knowledge), enfocada a la ciberseguridad de sistemas en la nube y que, al contrario que los ofrecidos por Azure o AWS, no se enfoca en ninguna plataforma en concreto.
Sus distintos módulos introducen al estudiante en conceptos relacionados con el cloud computing, SaaS, virtualización e infraestructura de seguridad, además de abordar aspectos legales, de negocio y de auditoría.
Este curso de dificultad 'intermedia' cuenta con una duración de 10 horas, y está disponible en inglés (con subtítulos).
Imagen | Ecole polytechnique
-
La noticia
Seis cursos online gratuitos que puedes comenzar en octubre para formarte en ciberseguridad
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
Como parte de la campaña que lanzara Google en 2019 para reforzar la ciberseguridad en España, la empresa ha colaborado esta vez con el Instituto Nacional de Ciberseguridad (INCIBE) para desarrollar un curso certificado y gratuito para empresas y trabajadores.
El nombre de la iniciativa es Protege tu Negocio: Ciberseguridad en el Teletrabajo, y se trata de un curso de cuatro módulos con una duración de dos horas, está orientado a principiantes, y es completamente gratuito, incluyendo la certificación.
Tras el inicio de la pandemia son muchos los trabajadores que han tenido que quedarse en casa teletrabajando, y entre los nuevos retos que afrontan muchos de ellos están los riesgos para la seguridad de datos, tanto de empleados como de la empresa.
Pasar de una oficina protegida por técnicos de seguridad a un trabajo en remoto desde casa plantea riesgos importantes, y con este curso gratuito se intenta ofrecer a las personas las pautas básicas para implantar el teletrabajo de forma segura.
El curso ofrece acceso ilimitado para cualquiera que desee tomarlo, con tutoriales en vídeo, evaluaciones al finalizar cada módulo y certificación que puedes adjuntar a tu CV o subir fácilmente a tu perfil de LinkedIn tras aprobar el examen final.
Las lecciones incluyen desde temas como el *acceso remoto seguro, el uso seguro de la red, a la seguridad en servicios de videoconferencia, backend y redes sociales. También se cubre cómo enfrentarse a un incidente de ciberseguridad, y se habla de incidentes gestionados por INCIBE.
Puedes inscribirte en el curso con tu cuenta de Google
-
La noticia
Google y el INCIBE nos ofrecen un nuevo curso gratuito de ciberseguridad en el teletrabajo con certificación incluida
fue publicada originalmente en
Genbeta
por
Gabriela González
.
Continuamos hablando de sistemas de detección de intrusos o IDS, en este caso la estrella de hoy es la Graylog, un panel web, que nos permitirá revisar y controlar los registros generados por Snort...
La entrada Control de registros con Graylog en Debian 10 se publicó primero en ochobitshacenunbyte.
Witeboard es uno de esos servicios que hacen una sola cosa y lo hacen bien: compartir una pizarra en blanco sobre la que varias personas pueden dibujar a la vez. Es un poco como Etherpad, CryptPad o Madpad pero con dibujos.
Nada más entrar se asigna una URL única a la pizarra, de modo que se puede compartir pasándola por cualquier chat, red social o correo. Las herramientas básicas están listas: lápiz, líneas, textos, borrador, deshacer y colores. La Witeboard reconoce formas simples (cuadrados, círculos) y se pueden dibujar líneas con el ratón pulsando la tecla mayúsculas.
Otras opciones incluyen cambiar el modo blanco/negro, desactivar el reconocimiento de formas, elegir el idioma, ponerle un nombre a la pizarra o registrarse para acceder a ciertas opciones. También se puede recorrer un histórico de los cambios y guardar para el futuro si hace falta.
Una herramienta rápida, limpia y efectiva, poco más se puede pedir.
De las empresas que venden software que no llega directamente al consumidor generalmente poco se sabe a nivel público, menos aún si son de un nicho tan concreto como el de la medicina. Sin embargo, un ataque ransomware reciente a eResearchTechnology (ERT) ha tenido especial relevancia por tener un efecto colateral: ralentizar el desarrollo de una vacuna para COVID-19. El ataque hasta forzó a los investigadores a volver a métodos más tradicionales como el papel y el bolígrafo mientras se solucionaba todo.
Según ha informado la empresa y recoge NYT, sufrieron un ataque ransomware hace dos semanas que ha dificultado numerosos ensayos clínicos. ERT vende software utilizado por multitud de clínicas y empresas de investigación a nivel global. Entre ellas unas cuantas que están trabajando de forma directa en la búsqueda de una vacuna para COVID-19, como la conocida AstraZeneca.
ERT es una empresa especialmente grande en este ámbito. Según su propia web indica, su software sirve para gestionar los datos de más de 5,2 y con más de 600 medicamentos ya aprobados con la ayuda de su tecnología. En concreto para el desarrollo de vacunas para COVID-19 puede ayudar a las clínicas a que los pacientes que realizan las pruebas otorguen feedback de forma más efectiva, tal y como muestran ellos mismos en un vídeo promocional:
El ataque se produjo hace dos semanas, cuando los empleados descubrieron que alguien estaba bloqueando el acceso a sus datos de forma remota. Es como funcionan los ataques ransomware, un tercero se apodera del sistema y pide un rescate para devolver los datos y el control al propietario. Un responsable de ERT indicó el pasado viernes que el ransomware se apoderó de sus sistemas el 20 de septiembre. Desde entonces los sistemas permanecieron desconectados como medida de precaución, hasta este viernes que comenzaron a operar de nuevo.
La compañía sin embargo no ha dado muchos detalles acerca de quién es o quién cree que es el atacante. Tampoco un detalle importante que es el de si cedieron y pagaron el rescate o consiguieron solucionarlo sin doblegarse ante los atacantes. Probablemente sea información confidencial que nunca llegue a hacerse pública.
Según ha informado NYT, clientes de ERT como IQVIA o Myers Squibb dijeron que pudieron limitar el problema ya que tenían una copia de los datos que no se vio afectada. Además aseguran que los datos de sus pacientes no se vieron comprometidos. Esto sin embargo no significa que el ataque no haya tenido efecto alguno, ralentiza el proceso de trabajo a tal punto que algunos investigadores tuvieron que empezar a monitorizar y recopilar datos de sus pacientes a la vieja usanza: bolígrafo y papel.
Si bien en esta ocasión el ataque no ha parecido tener consecuencias graves (o al menos no que se sepan públicas), los ataques ransomware pueden ser particularmente dañinos. A principios de año vimos un ataque a un hospital español y recientemente otro provocó un colapso en otro hospital.
En los años recientes uno de los ataques ransomware más relevantes fue el de Wanna Decryptor, capaz de dejar KO a Telefónica y multitud de empresas a nivel global. Han pasado los años y sigue siendo efectivo y utilizado, aunque hay medidas que se pueden tomar para menguar su daño.
Vía | NYT
-
La noticia
Un ataque ransomware a ERT, que vende software para ensayos clínicos, provocó que algunos investigadores volviesen a lápiz y papel
fue publicada originalmente en
Xataka
por
Cristian Rus
.
En Genbeta hemos hablado antes de Winstall, el sitio que básicamente se ha convertido en la interfaz gráfica no oficial de winget, el nuevo gestor de paquetes de Windows 10 que nos permite instalar apps desde le terminal al estilo de cosas como APT en Linux.
Winstall se sigue perfilando cada vez más como la mejor forma de instalar apps para Windows 10 rápido en y lote, y su última novedad lleva aún más allá esa idea con un componente social: colecciones de aplicaciones creadas por la comunidad.
Con winget la instalación de paquetes en Windows 10 es bastante sencilla, basta con abrir la consola de comandos y escribir winget install aplicación. Ahora, si no estás muy familiarizado con los comandos de winget, con los paquetes disponibles, y menos tienes idea de cómo crear un script para instalar múltiples apps a la vez, Winstall es la mejor solución.
Winstall te deja crear paquetes de aplicaciones seleccionando las apps desde la misma web y añadiendo con solo un par de clicks. Al final, Winstall te ofrece todo el código que necesitas simplemente copiar y pegar en la terminal de Windows para instalar todos esos programas.
Ahora, con los paquetes de Winstall puedes compartir tus propias colecciones o revisar las colecciones de alguien más. Por ejemplo, yo he creado este paquete de indispensables con algunas de mis apps favoritas que puedes instalar simplemente pegando el código que se genera al final.
Es cómodo, es fácil de usar, la navegación en esta web es fluida y agradable, todo es muy responsivo y funciona rápido. Cosas como esta dejan en el polvo a opciones como Ninite que ya era una buena alternativa. Al menos a mi, me gusta incluso más que Chocolatey.
-
La noticia
Winstall packs: una genial forma de compartir colecciones de apps para Windows 10 que se instalan desde la terminal en un instante
fue publicada originalmente en
Genbeta
por
Gabriela González
.
Los responsables de Mullvad VPN anunciaron ayer en su blog que habían descubierto un problema de seguridad en Windows 10; o, más concretamente, en la versión más reciente del subsistema de Windows para Linux (WSL2), cuyas conexiones, al parecer, sortean al cortafuegos nativo de Windows 10 (y con él, cualquier regla que hayamos podido configurar en el mismo).
Su producto incluye una opción que recurre al cortafuegos para bloquear cualquier acceso a Internet a menos que esté conectado a la VPN, pero un usuario les hizo saber que, aun estando desactivado su VPN, su instalación Linux sobre WSL2 se seguía conectando sin problemas a Internet (aunque, cuando había un túnel VPN activo, el tráfico de WSL2 también se redirigía a través del mismo sin problema).
Posteriormente hicieron la misma comprobación con otros VPN de la competencia, con igual resultado. Pero, ¿a qué se debe esto, y por qué no afecta a la primera versión de WSL?
Muy sencillo: WSL 1 no utilizaba un verdadero kernel Línux, sino una adaptación que traducía las llamadas al sistema Linux a llamadas al kernel NT de Windows 10... pero al llegar WSL 2, éste pasó a utilizar un verdadero kernel Linux que se ejecuta sobre una máquina virtual Hyper-V, con su correspondiente adaptador de red virtual.
Y es este último elemento el que genera que las conexiones originadas desde WSL2 se mantengan al margen de las capas de seguridad de Windows.
Dado que el objetivo de WSL2 era funcionar en la medida de lo posible como un sistema operativo independiente, tiene sentido que funcione de este modo... pero también es necesario que los usuarios sean conscientes de este cambio de comportamiento y sepan cómo asegurar sus conexiones desde el subsistema.
La buena noticia es que esto permite recurrir a los propios cortafuegos de Linux, como el famoso y vetusto Iptables o el más moderna Nftables, para controlar el tráfico de la red.
Sobre la posibilidad de reproducir el comportamiento de WSL1 en lo que respecta al uso de VPNs, los responsables de Mullvad VPN afirman que aún están investigando si sería posible bloquear el tráfico no deseado en los adaptadores virtuales de Hyper-V.
Vía | Bleeping Computer
-
La noticia
Descubren que el tráfico de Internet en WSL2 sortea las reglas del cortafuegos de Windows 10
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
La importancia del comercio electrónico no deja de crecer año a año, y el confinamiento ha sido un momento crucial para comprobar su eficacia en un momento crítico. En este contexto, El Corte Inglés acaba de anunciar 'El Corte Inglés Plus', una tarifa plana de envíos que quiere competir con Amazon Prime y otros servicios similares como PcComponentes Premium.
Por 19,90 euros al año, El Corte Inglés Plus ofrecerá envío gratis en algunos de los pedidos que hagamos a través de la tienda online de los grandes almacenes, pero también entrega de pedidos en dos horas "o cuando quieras", incluyendo alimentación. Como Prime, cuenta con un mes de prueba gratuito a aquellos usuarios que se suscriban entre el 5 de octubre y el 22 de noviembre.
El Corte Inglés Plus ofrece tarifa plana de envío sin coste, pero con asteriscos. La entrega gratis en el día solamente se aplicará si gastamos más de 40 euros. Si no, entre 10 y 40 euros, tendremos que pagar 5,90 euros de gastos de envíos.
En artículos no voluminosos, el envío será gratis superando los 19 euros, y para los voluminosos (y libros, cine, música y videojuegos), superando los 10 euros. En alimentación el gastos es gratuito si se superan los 100€. Como vemos, realmente no compite totalmente con Prime, pues Amazon no exige tantas condiciones para enviar gratis con la máxima rapidez.
El Corte Inglés menciona que habrá promociones y ofertas especiales para los suscriptores, que quizás complementen eventos como los días con ofertas de tecnología o los días sin IVA de El Corte Inglés. Además, Plus te dará un 10% de descuento en la primera compra que realices en una selección de 500 marcas.
El Corte Inglés Plus estará disponible en península, Baleares y Canarias, y Ceuta y Melilla quedan fuera. Tampoco cubrirá envíos hacia el extranjero.
Más información | El Corte Inglés
-
La noticia
El Corte Inglés Plus es la nueva tarifa plana de envíos que quiere competir con Amazon Prime por 19,90 euros al año
fue publicada originalmente en
Genbeta
por
Antonio Sabán
.
Seguimos hablando del sistema IDS de detección de intrusos Snort, en este caso vemos su integración con la herramienta Barnyard2. Dicha herramienta nos permitirá interpretar los ficheros en formato unified2 y volcarlos en una...
La entrada Integración de Snort con Barnyard2 se publicó primero en ochobitshacenunbyte.
Hace unos días, los medios se llenaron de artículos y reportajes sobre el "adiós de las mascarillas NK95". Según la normativa vigente, el 30 de septiembre era el último día en que estas mascarillas podrían comercializarse en el país y eso levantó una enorme polvareda mediática y social. Finalmente, el Gobierno ha tomado cartas en el asunto y el "adiós" de estas mascarillas no ocurrirá al menos hasta fin de año.
¿Qué ha pasado con estas mascarillas? ¿Por qué iban a dejarse de comercializar y por qué lo seguirán haciendo?
Alex Mecl En mitad de la pandemia y con una enorme escasez de material médico, el Gobierno se dio cuenta de que no había suficientes equipos de protección individual (EPI) con el marcado CE reglamentario. El marcado CE es un indicador de que el producto ha superado unos requisitos mínimos de seguridad al tener las especificaciones técnicas que marca el Reglamento (UE) 2016/425.
En condiciones normales, los fabricantes que quieren vender en la Unión Europa deben conseguir ese marcado en algún país miembro. Es algo que ocurre habitualmente en todos los grandes mercados del mundo como Estados Unidos o China. Los países establecen unos requisitos y las empresas se adaptan a ellos. A los que quieren, según dónde suelen vender sus productos porque estos estándares no tienen por qué coincidir entre ellos y suele resultar caro obtener el certificado.
Cuando la Secretaría General de Industria comprobó que había productos 'homologables' en el mercado (pero que no tenían el marcado CE y no se podían comercializar), emitió una resolución "excepcional y temporal" que permitía el uso y comercialización de una serie de productos “aunque los procedimientos de evaluación de la conformidad, incluida la colocación del marcado CE, no se hayan efectuado completamente según las normas armonizadas”.
Industria abría una vía para poder adquirir los suministros necesarios. Una puerta que, según esa misma resolución, se cerraría “en el momento en que se complete la evaluación de conformidad necesaria para poner el marcado CE a dichos productos, o hasta el 30 de septiembre de 2020, lo que antes ocurra”. Si los productos no conseguían el marcado CE antes del 1 de octubre, no podrían seguir siendo comercializados.
Brian Mcgowan Entre otras muchas cosas, estas resoluciones permitieron que se importaran enormes cantidades de mascarillas autofiltrantes tipo NK95; es decir, mascarillas que, aún garantizando un nivel adecuado de salud y seguridad, no estaba homologadas siguiendo el reglamento europeo 2016/425, sino la norma china GB2626-2006.
No se equivocaban demasiado. Como reconocen en una resolución del 28 de septiembre de 2020, "se ha constatado que el abastecimiento de estos productos ha mejorado considerablemente". Sin embargo, hasta que estalló la noticia hace unos días, muchas farmacias, administraciones públicas y distribuidores no eran conscientes de que se prohibiría su venta en los próximos días. Ante este problema y recalcando que se trata de un problema administrativo, el Gobierno ha movido ficha ampliando el plazo hasta fin de año.
Con algunos matices, eso sí: esta prórroga solo afectará a compras de administraciones públicas efectuadas antes del 1 de octubre (aunque aún no hayan sido servidas) y el stock - público o privado - que se encuentre en el país antes de esa fecha. Es decir, vendedores y administraciones tendrán tres meses más para poner en orden pedidos y vender el stock que tengan acumulado.
-
La noticia
Las mascarillas KN95 seguirán con nosotros hasta el 31 de diciembre: por qué iban a dejar de comercializarse y por qué lo seguirán haciendo
fue publicada originalmente en
Xataka
por
Javier Jiménez
.
Una de las grandes noticias del año en cuanto a sistemas operativos ha sido la filtración masiva (en manos de hackers ya llevaba un buen tiempo) del código fuente de Windows XP y otros sistemas grandes como Windows Server 2003. Aunque Microsoft aún no se ha pronunciado sobre la veracidad del código, los investigadores afirman que parece real, y quienes han indagado en él ya han encontrado joyas como un tema visual que simulaba la estética de 'Aqua', lo que le hacía parecerse al viejo Mac OS X.
Una pregunta que algunos desarrolladores se hicieron el día que se conoció la publicación del código fuente fue ¿puede compilarse Windows XP a partir de él? La respuesta es sí, como ha demostrado en vídeo el desarrollador NTDEV con la versión Service Pack 1.
El proceso mostrado se ha hecho en Windows XP, y lleva aproximadamente tres horas desde 'Símbolo del sistema'. En los comentarios de YouTube, NTDEV menciona que con el hardware de la época, compilar Windows XP podía llevar entre 12 y 13 horas. Al acabar el proceso, muestra todos los archivos generados, pudiendo ejecutar algunos programas como Winver, que muestra la versión de Windows que corresponde a los ficheros. En este caso, se trata de Windows Version 5.1, licenciado a nombre de NTDEV.
El desarrollador cuenta en la descripción del vídeo que, si bien ha podido compilar todo el código sin problemas, aún no ha podido generar una imagen .ISO para compartirlo e instalarlo. NTDEV también ha compartido en Twitter todo el proceso por el que ha pasado para compilar Windows Server 2003, que era más complicado y pesado al ser una versión posterior (Windows Version 5.2).
En este caso sí ha hablado de haber conseguido generar el archivo ISO, y ha mostrado los pasos de la instalación, que son muy parecidos a los de Windows XP y me han generado nostalgia por todas las veces que instalé el viejo sistema en su día. El tuitero @jerrykuch, que asegura ser o haber sido antiguo empleado de Microsoft con acceso al código, afirma que no hay que minusvalorar el logro, pues en su día era "difícil" compilarlo incluso con acceso.
-
La noticia
Logran compilar e instalar Windows XP y Server 2003 a partir del código fuente filtrado: así es el proceso en vídeo
fue publicada originalmente en
Genbeta
por
Antonio Sabán
.
