De acuerdo a un post publicado en ArsTechnica, gracias a un acuerdo de licencia con AMD y un complejo acuerdo de empresa conjunta, el fabricante chino de chips Chengdu Haiguang IC Design Co. (Hygon) ahora podrá fabricar procesadores para servidores basados en la arquitectura x86 que son en gran parte indistinguibles de los nuevos procesadores de la familia EPYC de AMD. Los desarrolladores del kernel de Linux tuvieron que hacer muy poco en cuanto a parches para admitir esta nueva familia de procesadores, llamada «Dhyana«. Hasta ahora los chips para servidores se fabrican sólo para uso doméstico, como parte de un esfuerzo por romper la dependencia de China de las compañías de tecnología extranjeras.

Desde las revelaciones de Edward Snowden sobre los esfuerzos de la Agencia de Seguridad Nacional (NSA) para usar implantes en productos de tecnología para llevar a cabo la recolección de inteligencia extranjera, China ha estado presionando cada vez más a los proveedores de tecnología de los EE.UU. Con este acuerdo, el país espera reforzar su propia industria de tecnología doméstica a través de estrictas nuevas regulaciones de seguridad de la información e inversión en proveedores nacionales.

La necesidad de un productor nacional de procesadores para servidor de alto rendimiento también ha sido impulsada por las restricciones de exportación impuestas por los EE.UU. hacia China en 2015, por ejemplo durante la administración del presidente Barack Obama se bloqueó una venta de procesadores Intel Xeon para la supercomputadora Tianhe-2 de China por preocupaciones de que la venta ayudaría al programa de armas nucleares de China. La exportación de procesadores de alto rendimiento a China se ha restringido desde entonces, y el gobierno de EE.UU. también ha tomado acciones para evitar que China adquiera empresas de tecnología, por temor a poner en riesgo la seguridad nacional.

La consecuencia involuntaria de estas restricciones ha sido que el gobierno chino ha estimulado la inversión en procesadores nacionales y ha encontrado formas de evitar las restricciones a la importación con acuerdos de licencia y empresas conjuntas. Suzhou PowerCore Technology Co. licenció la arquitectura Power8 de IBM en 2015; Zhaoxin, una compañía de tecnología de propiedad estatal, ha diseñado procesadores domésticos de escritorio x86 en una empresa conjunta con VIA. Y ahora, el acuerdo de licencia con AMD, aprovecha tanto un acuerdo de licencia como una empresa conjunta para permitir el uso de propiedad intelectual de la arquitectura x86 y podría ser el primer paso hacia la creación de una plataforma doméstica de procesadores para servidores de alto rendimiento.

La nueva familia de procesadores «Dhyana» se basa en la arquitectura «Zen» de AMD y EPYC y por el momento parecen estar enfocados a aplicaciones integradas por el momento. No son procesadores con zócalo, sino un diseño de sistema en chip (SoC), similar a los procesadores de procesamiento embebidos EPYC fabricados en otro lugar por AMD. Son tan similares, que según un informe de Michael Larabel de Phoronix, mover el código del kernel de Linux para procesadores EPYC a los chips Hygon requería menos de 200 nuevas líneas de código.

El diseño de los SoC no excluye necesariamente el uso de estos nuevos procesadores Dhyana en aplicaciones de clúster de alto rendimiento o en aplicaciones de data centers que normalmente  usarían (si no fuera por las actuales restricciones comerciales) procesadores Intel Xeon u otros procesadores para servidor. Y dado el impulso general de China para mejorar su propia tecnología de la información y fabricación a pesar de las restricciones comerciales de los Estados Unidos, la tecnología de procesadores para servidor puede estar más en línea con la demanda interna actual.

La buena noticia para AMD es que la empresa conjunta que ha creado, le otorgará un flujo constante de regalías, además de los $239 millones en efectivo que la empresa recibió en 2016 por adelantado de parte de Tianjin Haiguang Advanced Technology Investment Co. (THATIC), el brazo inversor de la Academia de Ciencias de China, para entrar en sociedad en primer lugar.

Unos investigadores de seguridad de la firma rusa Kaspersky Labs, han descubierto una interesante pieza de malware que infecta a las computadoras de los usuarios, ya sea para minar criptomonedas o encripta tus datos para luego cobrar un rescate por los mismos (ransomware), dependiendo de las características de tu equipo, para decidir cuál de los dos esquemas podría ser más rentable para los cibercriminales.

El ransomware es un tipo de malware que bloquea el acceso a los archivos en tu computadora, para tal fin tus datos son encriptados y no recibes la clave que permite descriptarlos hasta que pagues un rescate. Por otro lado el minado de criptomonedas utiliza la potencia de tu CPU para extraer monedas digitales que terminan en las manos de los cibercriminales.

Tanto los ataques basados en la minería de criptomonedas como en el ransomware han sido las principales amenazas en lo que va del presente año y comparten muchas similitudes, como que ambos son ataques no sofisticados, llevados a cabo por dinero contra usuarios y el objetivo último de estos ataques es conseguir una ganancia monetaria por parte de los delincuentes.

Sin embargo, como bloquear una computadora para obtener un rescate no siempre garantiza una retribución monetaria en caso de que las víctimas no tengan nada importante que perder en la computadora secuestrada, es por ello que en los últimos meses los ciberdelincuentes se han inclinado más hacia el minado de criptomonedas sin que el usuario lo sepa, para extraer dinero usando las computadoras de las víctimas.

Los investigadores de la firma de seguridad Kaspersky Labs, han hecho público en su blog una nueva variante de la familia Rakhni ransomware, que ahora también se ha actualizado para incluir la capacidad de minería de criptomonedas.

El malware Rakhni, está escrito en el lenguaje de programación Delphi y se está distribuyendo usando correos de suplantación de identidad (phishing) con un archivo adjunto en formato MS Word, que si se abre, le pide a la víctima que guarde el documento y permita la edición.

El documento incluye un ícono PDF, que si hace click, inicia un ejecutable malicioso en la computadora de la víctima e inmediatamente muestra un cuadro de mensaje de error falso al momento de la ejecución, engañando a las víctimas para que piensen que falta un archivo de sistema para abrir el documento, este es el cuadro de error que ven las víctimas:

Sin embargo, en el fondo, el malware realiza muchas comprobaciones anti-VM y anti-sandbox para decidir si podría infectar el sistema sin ser atrapado. Si se cumplen todas las condiciones, el malware realiza más comprobaciones para decidir la carga final de infección, es decir, ransomware o un software de minado de criptomonedas.

Si el sistema de destino tiene una carpeta ‘Bitcoin’ en la sección de AppData, es un indicativo de que la victima podría pagar un rescate y por ello antes de cifrar archivos con el algoritmo de cifrado RSA-1024, el malware finaliza todos los procesos que coinciden con una lista predefinida de aplicaciones populares y luego muestra una nota de rescate a través de un archivo de texto.

Por otro lado, si la carpeta ‘Bitcoin’ no existe y la máquina tiene más de dos núcleos. La computadora se infecta con un programa de minado de criptomoneda, utiliza para ello la utilidad MinerGate para minar las criptomonedas Monero (XMR), Monero Original (XMO) y Dashcoin (DSH) en segundo plano, sin que el usuario se de cuenta de ello.

En el caso de que no exista una carpeta ‘Bitcoin’ y solo un procesador lógico, entonces esta computadora será usada por el malware para distribuirse en todas las computadoras ubicadas en la red local utilizando recursos compartidos.

Independientemente de qué tipo de infección sea la aplicada en la computadora, el malware realiza una comprobación si se inicia uno de los procesos antivirus listados. Si no se encuentra un proceso AV en el sistema, el malware ejecutará varios comandos cmd en un intento de desactivar Windows Defender.

Este malware está dirigido principalmente a los usuarios en Rusia (95.5%), mientras que en menor medida también se han detectado infecciones en Kazajstán (1.36%), Ucrania (0.57%), Alemania (0.49%) e India (0.41%).

La mejor manera de evitar ser víctima de este tipo de ataques es en primer lugar nunca abrir archivos sospechosos y enlaces proporcionados en un correo electrónico. Además, siempre hacer copias de respaldo de nuestros datos de preferencia diarias y un software antivirus actualizado.

SUSE, la compañía de software de código abierto que era propiedad de la firma británica Micro Focus International, ha sido vendida a una firma de capital privado sueca.

Sí, SUSE Linux y su negocio de software asociado finalmente han sido adquiridos por EQT Partners por $ 2,535 millones, elevando sus acciones en un 6 por ciento luego de la operación de compra.

SUSE es una de las empresas de código abierto más antiguas y tal vez la primera en ofrecer servicios de software Linux de nivel empresarial para bancos, universidades y agencias gubernamentales de todo el mundo.

Desde su fundación en 1992, SUSE ha cambiado de propietario varias veces. Primero, fue la compañía estadounidense de software Novell quien adquirió SUSE por $ 120 millones en noviembre del 2003 para competir con Microsoft en el mercado de sistemas operativos.

Sin embargo, las cosas no funcionaron de la forma como Novell lo había pensado y a su vez fue vendida otra vez a otra compañía estadounidense The Attachmate Group por $ 2,200 millones en el 2011. Tres años más tarde, Micro Focus International la adquirió de Attachmate por $ 2,350 millones en el 2014.

Desde entonces, SUSE Linux ha formado parte de Micro Focus como una división semi-independiente y compite con Red Hat y Ubuntu en el mercado corporativo por software de sistemas operativos de código abierto.

Ahora, EQT Partners ha anunciado que será el nuevo propietario de SUSE y planea administrarlo como una compañía independiente para fortalecer los productos con desarrolladores e ingenieros.

Aquí está lo que dijo Johannes Reichel de EGT sobre el acuerdo: «La inversión en ingenieros estuvo algo restringida bajo los anteriores dueños. Eso cambiará. En el contexto de crecientes conflictos comerciales, los clientes corporativos aprecian a un proveedor de software de infraestructura con orígenes europeos«.

SUSE está entusiasmada con la nueva asociación, ya que mencionó en una publicación en su blog que la asociación con EQT explotaría aún más la excelente oportunidad de mercado tanto en el área del sistema operativo Linux como en los grupos de productos emergentes en el espacio de código abierto.

El actual CEO de SUSE Nils Brauckmann ha declarado:

Hoy es un día emocionante en la historia de SUSE. Al asociarnos con EQT, nos convertiremos en un negocio totalmente independiente. El siguiente capítulo en el desarrollo de SUSE continuará e incluso acelerará el impulso generado en los últimos años.

Junto con EQT nos beneficiaremos tanto de nuevas oportunidades de inversión como de la continuidad de un equipo de liderazgo enfocado en asegurar un crecimiento rentable a largo plazo combinado con un enfoque claro en el éxito de clientes y socios.

¿Qué pasará con OpenSUSE?

Si le preocupan otros proyectos de código abierto de SUSE, incluido OpenSUSE, el equipo de SUSE ha asegurado a sus usuarios que está comprometido con el liderazgo de código abierto y el soporte para que las comunidades de código abierto clave permanezcan sin cambios.

El equipo de SUSE ha declarado:

De acuerdo con sus 25 años de historia, SUSE tiene la intención de permanecer comprometido con un modelo de negocio y desarrollo de código abierto y participar activamente en comunidades y proyectos para llevar la innovación de código abierto a la empresa como soluciones de alta calidad, confiables y utilizables.

Este modelo de código abierto, verdaderamente abierto, donde abierto se refiere a la libertad de elección brindada a los clientes y no solo a nuestro código, está incrustado en la cultura de SUSE, lo diferencia en el mercado y ha sido clave para su éxito.

Además, OpenSUSE, la distribución gratuita de Linux basada en SUSE Linux, es completamente independiente del buque insignia SUSE Linux Enterprise Server (SLES) de SUSE, por lo que no debe ser motivo de preocupación para sus usuarios.

El presidente de openSUSE, Richard Brown, ha confirmado en la lista de correo de OpenSUSE que el acuerdo de adquisición de SUSE «no tendrá ningún impacto negativo en openSUSE» y que SUSE sigue firmemente «comprometido a apoyar a la comunidad de openSUSE […] que se espera continúe bajo su nueva asociación con EQT«.

Si eres un usuario activo de OpenSUSE, me gustaría saber tu punto de vista sobre esta adquisición en los comentarios de esta entrada.

Si tu operador de telefonía móvil ofrece LTE, popularmente conocida como la red 4G, debes tener mucho cuidado ya que tus comunicaciones a través de la red móvil pueden ser secuestrada de forma remota por ciberdelincuentes.

Un equipo de investigadores de seguridad de Ruhr-Universität Bochum y la Universidad de Nueva York en Abu Dhabi han descubierto algunas debilidades críticas en el ubicuo estándar de dispositivos móviles LTE que podría permitir a ciberdelincuentes espiar el tráfico de red en las redes celulares de los usuarios, modificar el contenido de sus comunicaciones e incluso poder redirigirlas a sitios web maliciosos o de phishing.

El estándar LTE (Long Term Evolution), es el último estándar de telefonía móvil utilizado por miles de millones de personas y que fuera diseñado para brindar muchas mejoras de seguridad sobre el estándar anterior conocido como GSM (Global System for Mobile).

Aunque se han descubierto múltiples fallas de seguridad en los últimos años, como el conocido LTEInspector, que permiten a los atacantes interceptar el tráfico IP, espiar las llamadas telefónicas, enviar mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo y desconectar completamente los dispositivos.

Ahora, los investigadores del equipo formado por las universidades de Ruhr-Universität Bochum y NYU sede Abu Dhabi  han desarrollado tres nuevos ataques contra la tecnología LTE que les permitieron mapear la identidad de los usuarios, tomar huellas digitales de los sitios web que visitan y redirigirlos a sitios web maliciosos manipulando las búsquedas de DNS.

Los tres tipos de ataques, explicados por los investigadores en un sitio web dedicado a estas vulnerabilidades, abusan de la capa de enlace de datos, la capa 2 del modelo OSI.

La capa de enlace de datos se encuentra en la parte superior del canal físico, que mantiene la comunicación inalámbrica entre los usuarios y la red. Es responsable de controlar cómo múltiples usuarios acceden a los recursos en la red de forma simultánea, ayudando a corregir los errores de transmisión y protegiendo los datos a través del cifrado.

De las tres vulnerabilidades, dos de ellas: el mapeo de identidad y la huella digital del sitio web visitado por el usuario son ataques pasivos, en los que un espía escucha qué datos están pasando entre las estaciones base y los usuarios finales a través de las ondas electromagnéticas. El atacante sólo debe estar dentro del área de cobertura de una estación base (torre).

Sin embargo, el tercero, el ataque de suplantación de DNS, denominado «aLTEr» por el equipo, es un ataque activo, que permite a un atacante realizar ataques intermedios para interceptar las comunicaciones y redirigir a la víctima a un sitio web malicioso utilizando ataques del tipo DNS spoofing.

¿Qué es un Ataque aLTEr?

Como la capa de enlace de datos de la red LTE está encriptada con el protocolo AES-CTR pero no protege la integridad del paquete enviado, un atacante puede modificar los bits incluso dentro de un paquete de datos cifrados, que luego descifra a un texto plano relacionado.

Los investigadores nos lo explican de esta manera:

El ataque aLTEr explota el hecho de que los datos del usuario LTE están encriptados en modo contador (AES-CTR) pero no protegidos por integridad, lo que nos permite modificar la carga del mensaje: el algoritmo de encriptación es maleable y un adversario puede modificar un texto cifrado en otro texto cifrado que luego descifra un texto plano relacionado.

En un ataque aLTEr, un ciberdelincuente simula ser una torre celular real para la víctima, mientras que al mismo tiempo también pretende ser la víctima de la red celular y luego intercepta las comunicaciones entre la víctima y la red real, el clásico ataque man-in-the-middle.

¿Cómo aLTEr ataca las redes 4G LTE?

Como demostración de prueba de concepto, el equipo mostró cómo un atacante activo podría redirigir las solicitudes de DNS (sistema de nombres de dominio) y luego realizar un ataque de suplantación de DNS, lo que hace que el dispositivo móvil de la víctima use un servidor DNS malicioso que finalmente redirecciona a la víctima a un sitio malicioso disfrazado de Hotmail, aquí un video de YouTube subido por los investigadores en dónde nos demuestran el ataque:

Los investigadores realizaron el ataque aLTEr de demostración dentro de una red comercial y un smartphone comercial dentro de su entorno de laboratorio. Para evitar inferencias no intencionadas con la red real, el equipo utilizó una caja de blindaje para estabilizar la capa de radio.

Además, para poder llevar acabo este tipo de ataque, configuraron dos servidores, un servidor DNS y un servidor HTTP para simular cómo un atacante puede redirigir las conexiones de red. Como se puede observar en la demostración de video mostrada línea arriva.

El ataque es peligroso, pero es difícil de realizar en escenarios del mundo real. También requiere equipo (USRP), de aproximadamente $ 4,000, para funcionar, algo similar a los receptores IMSI, Stingray o DRTbox y generalmente funciona dentro de un radio de 1.6 Km de la torre.

Sin embargo, para una agencia de inteligencia o un atacante hábil con recursos suficientes, abusar del ataque podría ser trivial.

¿Es posible que esta vulnerabilidades de LTE también afecte al próximo estándar 5G?

La mala noticia es que los ataques descritos anteriormente no están restringidos sólo a las redes móviles 4G.

Las próximas redes 5G también pueden ser vulnerables a estos ataques, ya que el equipo dijo que aunque 5G soporta el cifrado autentificado, la función no es obligatoria, lo que probablemente significa que la mayoría de los operadores no tienen la intención de implementarla, lo que podría hacer que las nuevas redes 5G también sean vulnerables a este tipo de ataques.

Los investigadores han expresado en su website:

El uso de cifrado autenticado evitaría el ataque aLTEr, que se puede lograr a través de la adición de códigos de autenticación de mensajes a los paquetes del usuario.

Sin embargo, la especificación 5G actual no requiere esta característica de seguridad como obligatoria, pero la deja como un parámetro de configuración opcional.

¿Puede esto ser aúnpeor?

Lamentablemente, los defectos en la red LTE no se pueden reparar de inmediato, dado que los ataques funcionan al abusar de un defecto de diseño inherente de la propia red LTE y es por ello que no se puede reparar, ya que requeriría una revisión completa del protocolo LTE y por lo tanto la actualización de todo el firmware en las redes 4G.

Como parte de su revelación responsable, el equipo de cuatro investigadores: David Rupprecht, Katharina Kohls, Thorsten Holz y Christina Pöpper, notificaron a la Asociación GSM y al 3GPP (3rd Generation Partnership Project), junto con otras compañías telefónicas, antes de hacer públicos sus hallazgos.

En respuesta a las vulnerabilidades, el grupo 3GPP, que desarrolla estándares para la industria de las telecomunicaciones, dijo que una actualización de la especificación 5G podría ser complicada porque operadores como Verizon y AT&T ya comenzaron a implementar el protocolo 5G en sus redes celulares.

¿Cómo nos podemos proteger contra las vulnerabilidades de la red 4G/LTE?

La forma más sencilla de protegerse de tales ataques de red LTE es buscar siempre el dominio HTTPS seguro en la barra de direcciones.

El equipo de investigadores de seguridad que las descubrieron sugieren dos contramedidas para todos los operadores:

La primera es actualizar el protocolo de cifrado, todos los operadores deberían unirse para solucionar este problema actualizando la especificación para usar un protocolo de cifrado con autenticación como AES-GCM o ChaCha20-Poly1305.

Sin embargo, los investigadores creen que esto probablemente no sea factible en la práctica, ya que el firmware de todos los dispositivos debe actualizarce para hacer esto, lo que llevará a un alto esfuerzo financiero y organizacional y la mayoría de los operadores no se molestarán en hacer esto.

La segunda recomendación es que todos los sitios web adoptasen la política de Seguridad de Transporte Estricta de HTTP (HSTS), que actuaría como una capa adicional de protección, ayudando a evitar la redirección de usuarios a un sitio web malicioso.

Además del sitio web dedicado a describir estas vulnerabilidades, el equipo también ha publicado un documento de investigación titulado Breaking LTE on Layer Two, con todos los detalles técnicos sobre el ataque aLTEr. Los detalles técnicos completos de los ataques se presentarán durante el 40^vo Simposio sobre Seguridad y Privacidad de la IEEE el próximo mes de mayo del 2019 en San Francisco.

Según una nota aparecida en el blog de seguridad Krebs on Security, se espera que Google en las próximas semanas solucione un grave problema de privacidad, ya que hay una fuga de información, que permite dar con la ubicación de los clientes en dos de sus productos de consumo más populares. Una nueva investigación muestra que algunos sitios web pueden ejecutar una secuencia de comandos simple en el fondo que recopila datos de ubicación precisos sobre las personas que tienen un dispositivo Google Home o Chromecast instalado en cualquier lugar de su red local.

Según las declaraciones de Craig Young, un investigador de la firma de seguridad Tripwire, una debilidad del proceso de autenticación, filtra información de ubicación increíblemente precisa sobre los usuarios del Google Home y del Chromecast, ambos increíblemente populares en los Estados Unidos.

Young dijo que el ataque funciona pidiendo al dispositivo de Google una lista de redes inalámbricas cercanas y luego enviando esa lista a los servicios de búsqueda de geolocalización de Google.

Es común que los sitios web mantengan un registro de las direcciones IP de todos los visitantes, y esas direcciones se pueden usar en combinación con herramientas de geolocalización en línea para obtener información sobre el lugar de residencia o región de cada visitante. Pero este tipo de información de ubicación a menudo es bastante impreciso. En muchos casos, la geolocalización IP ofrece solo una idea general de dónde se puede ubicar geográficamente la dirección IP.

Este no suele ser el caso con los datos de geolocalización de Google, que incluyen mapas completos de nombres de redes inalámbricas de todo el mundo, que conectan cada red Wi-Fi individual a una ubicación física correspondiente. Usando esta información, Google muy a menudo puede determinar la ubicación de un usuario a unos pocos pies (particularmente en áreas densamente pobladas), al triangular al usuario entre varios puntos de acceso Wi-Fi cercanos.

De acuerdo a lo declarado por Young:

La diferencia entre esto y una geolocalización IP básica es el nivel de precisión, […]

Por ejemplo, si geolocalizo mi dirección IP en este momento, obtengo una ubicación que está aproximadamente a 2 millas de mi ubicación actual en el trabajo. Para la conexión a Internet de mi casa, la geolocalización IP solo tiene una precisión de aproximadamente 3 millas. Sin embargo, con mi demostración de ataque, he estado consiguiendo ubicaciones constantemente a unos 10 metros del dispositivo.

Además de filtrar la ubicación geográfica precisa de un usuario de Chromecast o Google Home, este error podría ayudar a los estafadores a hacer que los ataques de phishing y extorsión parezcan más realistas. Estafas comunes como falsas advertencias del FBI o el IRS o amenazas de publicar fotos comprometedoras o exponer algún secreto a amigos y familiares podrían abusar de los datos de ubicación de Google para dar credibilidad a las advertencias falsas, señalo el investigador.

Según la publicación de KerbsOnSecurity, cuando Young se comunicó por primera vez con Google en mayo de este año para informarle de sus hallazgos, la compañía respondió cerrando el reporte de bug con un mensaje de «Estado: no se solucionará (comportamiento intencionado)«. Pero después de ser contactado por el conocido blog de seguridad, Google cambió su tono, diciendo que planeaba enviar una actualización para abordar la fuga de privacidad en ambos dispositivos. Actualmente, la actualización está programada para lanzarse a mediados de julio.

No hay evidencia de que esta vulnerabilidad esté siendo explotada actualmente, pero es muy probable que comience a serlo pronto, ya que Google ha programado la actualización para mediados del siguiente mes.

Un ex-programador de la CIA de 29 años que fue acusado de posesión de pornografía infantil el año pasado ahora ha sido acusado de planear la mayor fuga de información clasificada en la historia de la agencia.

Joshua Adam Schulte, que una vez creó malware para la CIA y la NSA para entrar en computadoras adversarias, fue acusado el lunes por el Departamento de Justicia de 13 cargos de presuntamente robar y transmitir miles de documentos clasificados de la CIA, proyectos de software y servicios de piratería.

Schulte también ha sido sospechoso de filtrar el archivo de documentos robados a la organización WikiLeaks, que luego comenzó a publicar la información clasificada en marzo de 2017 en una serie de filtraciones bajo el nombre «Vault 7».

Todavía no se ha confirmado si Schulte filtró documentos a WikiLeaks y en caso de ser cierto, cuándo, pero ya era sospechoso desde enero de 2017 de haber robado información clasificada de defensa nacional de la CIA en 2016.

Según la acusación formal, después de robar los documentos clasificados, Schulte intentó tapar sus huellas en una computadora operada por la Agencia de Inteligencia de los EE. UU., la idea era ganar acceso no autorizado al sistema, algo que ocurrió entre marzo y junio de 2016 y luego borrar registros de todas sus actividades y negar el acceso al sistema a otros.

En marzo de 2017, fecha en la cual WikiLeaks comenzó a lanzar algunas de las herramientas de hackeo de la CIA, los agentes del FBI registraron el apartamento de Schulte como parte de una investigación en curso para encontrar al cerebro detrás de las filtraciones de la Vault 7.

Sin embargo, en su lugar, el FBI encontró imágenes de niños abusados por adultos en un servidor que creó en 2009 cuando era estudiante en la Universidad de Texas. La pena máxima para esto es de 130 años de prisión.

Schulte fue arrestado en agosto de 2017 con posesión de pornografía infantil, pero los fiscales no han podido presentar cargos por «divulgación de la información clasificada» en su contra hasta ahora.

Sin embargo, ahora la acusación revisada incluye 13 cargos relacionados con el robo y la divulgación de la información clasificada a WikiLeaks y su posesión de pornografía infantil.

Aquí está la lista de cargos en su contra:

• Acopio ilegal de información de defensa nacional.
• Transmisión ilegal de información de defensa nacional poseída legalmente.
• Transmisión ilegal de información de defensa nacional poseída ilegalmente.
• Acceso no autorizado a una computadora para obtener información clasificada.
• Robo de propiedad gubernamental.
• Acceso no autorizado de una computadora para obtener información de un Departamento o Agencia de los Estados Unidos.
• Haber realizado transmisión de un programa informático dañino, información, código o comando.
• Haber hecho declaraciones falsas a los representantes del FBI.
• Obstrucción de la justicia.
• Recibo de pornografía infantil.
• Posesión de pornografía infantil.
• Transporte de pornografía infantil.
• Infracción de copyright.

Schulte se declaró inocente de los cargos de pornografía infantil y ha negado reiteradamente su participación en el caso de Vault 7.

El lanzamiento de Vault 7 fue una de las filtraciones más importantes en la historia de la CIA, exponiendo armas cibernéticas secretas y técnicas de espionaje que los Estados Unidos usaban para monitorear o entrar en computadoras, teléfonos celulares, televisores, cámaras web, transmisiones de video y más.

Un investigador de seguridad ha descubierto una vulnerabilidad crítica en algunos de los clientes de cifrado de correo electrónico más populares y ampliamente utilizados del mundo que usan el estándar OpenPGP y confían en GnuPG para encriptar y firmar digitalmente los mensajes.

La revelación llega casi un mes después de que los investigadores revelaran una serie de fallas, denominadas eFail, en PGP y herramientas de cifrado S/Mime que podrían permitir a los atacantes revelar correos electrónicos cifrados en texto sin formato, afectando una variedad de programas de correo electrónico, incluyendo Thunderbird, Apple Mail y Outlook.

El desarrollador de software Marcus Brinkmann descubrió que una vulnerabilidad de sanitización de la entrada, que denominó SigSpoof, hace posible que los atacantes falsifiquen firmas digitales con la clave pública o la identificación de clave de alguien, sin requerir ninguna de las claves privadas o públicas involucradas.

La vulnerabilidad, a la que se le ha asignado el código CVE-2018-12020, afecta a las aplicaciones de correo electrónico populares, incluidas GnuPG, Enigmail, GPGTools y python-gnupg. Afortunadamente ya existen los parches disponibles, así que actualice lo antes posible si Ud. utiliza alguno de estos clientes de correo electónico.

Según lo explicado por el investigador, el protocolo OpenPGP permite incluir el parámetro «nombre de archivo» del archivo de entrada original en los mensajes firmados o encriptados, combinándolo con los mensajes de estado de GnuPG (incluida la información de firma) en un único canal de datos (paquetes de datos literales) agregando una palabra clave predefinida para separarlos.

Durante el descifrado del mensaje, al final  en el destinatario, la aplicación del cliente divide la información utilizando esa palabra clave y muestra el mensaje con una firma válida, si el usuario tiene habilitada la opción detallada en su archivo gpg.conf.

Sin embargo, el investigador encuentra que el nombre de archivo incluido, que puede tener hasta 255 caracteres, no se sanitiza adecuadamente con las herramientas que contienen la vulnerabilidad, lo que permite que un atacante «incluya alimentaciones de línea u otros caracteres de control».

Brinkmann demuestra cómo este vacío se puede utilizar para inyectar mensajes de estado GnuPG arbitrarios (falsos) en el analizador de la aplicación en un intento de falsificar la verificación de firma y los resultados del descifrado del mensaje:

El ataque es muy poderoso y el mensaje ni siquiera necesita ser encriptado en absoluto. Un único paquete de datos literales (también conocido como «texto plano») es un mensaje OpenPGP perfectamente válido y ya contiene el «nombre del archivo cifrado» utilizado en el ataque, aunque no haya sido cifrado.

El investigador también cree que la falla tiene el potencial de afectar una gran parte de nuestra infraestructura central que va más allá del encriptado de correo electrónico, debido a que «GnuPG no solo se usa para seguridad de correo electrónico sino también para respaldos seguros, actualizaciones de software en distribuciones y código fuente en sistemas de control de versiones como Git«.

Brinkmann también compartió tres pruebas de concepto que muestran cómo las firmas pueden ser falsificadas en Enigmail y GPGTools, cómo la firma y el cifrado pueden ser falsificados en Enigmail, así como también cómo se puede falsificar una firma en la línea de comando.

A pesar de las advertencias sobre la amenaza de dejar los servicios remotos inseguros habilitados en dispositivos Android, los fabricantes continúan enviando dispositivos con configuraciones de puerto de depuración ADB abiertas que dejan a los dispositivos basados en Android expuestos a los cibercriminales.

Android Debug Bridge (ADB) es una función de línea de comandos que generalmente se utiliza para fines de diagnóstico y depuración ayudando a los desarrolladores de aplicaciones a comunicarse con dispositivos Android de forma remota para ejecutar comandos y si es necesario, controlar completamente un dispositivo.

Por lo general, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando un servidor daemon en el puerto TCP 5555 en el dispositivo.

Si se deja activado este servicio, los atacantes remotos no autorizados pueden escanear Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración ADB a través del puerto 5555, acceder de forma remota a los privilegios de «root» más altos y luego instalar software malicioso sin autenticación.

Por lo tanto, se recomienda a los fabricantes que se aseguren que la interfaz ADB para sus dispositivos Android esté desactivada antes del envío de los mismos, por lo general se usa durante el proceso de control de calidad durante la fabricación. Sin embargo, muchos fabricantes no lo hacen.

En una publicación en el servicio de blogging Medium, aparecida este lunes 11 de Junio, el investigador de seguridad Kevin Beaumont dijo que todavía hay innumerables dispositivos basados en Android, incluidos smartphones, DVR, televisores inteligentes e incluso buques cisterna, que aún están expuestos a un ataque a la interfaz ADB:

Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como usuario ‘root’ * – el modo de administrador – y luego instalar sigilosamente el software y ejecutar funciones maliciosas.

La amenaza no es algo teórico, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron un gusano, denominado ADB.Miner, a principios de este año, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).

Se estima que el número total de smartphones, televisores inteligentes y decodificadores de televisión que fueron atacados por el gusano ADB.Miner fue de más de 5.000 dispositivos en tan solo 24 horas.

Ahora, Beaumont una vez más planteó sus preocupaciones a la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.

Aunque es difícil saber la cantidad exacta de dispositivos infectados debido a que la mayoría de dispositivos están destras de un router que hace NAT (Network Address Translation), Beaumont dice que «es seguro decir ‘mucho'».

En respuesta a la publicación del blog de Beaumont, Shodan, un motor de búsqueda de Internet del IoT (Internet de las Cosas), también agregó la capacidad de buscar el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur, cómo se puede apreciar en este gráfico:

Beaumont aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.

Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.

Google Chrome es el navegador más usando actualmente en Internet, debido a al soporte que recibe de Google, pero pese a tener una empresa tan grande tras de sí, el investigador de seguridad Michał Bentkowski descubrió y reportó una vulnerabilidad de alta gravedad en Google Chrome a fines de mayo, que afecta a todas versiones de los principales sistemas operativos, incluidos Windows, Mac y Linux.

Sin revelar ningún detalle técnico aún sobre la vulnerabilidad, el equipo de seguridad de Chrome describió el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en una publicación en el blog oficial de Chrome:

El acceso a los detalles de los errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También retendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se haya corregido

El encabezado de la Política de seguridad de contenido o CSP (por sus siglas en inglés), permite a los administradores de sitios web agregar una capa adicional de seguridad a una página web, permitiendoles controlar a que recursos el navegador puede tener acceso en el sitio web.

El manejo incorrecto de los encabezados de CSP por parte del navegador web podría volver a habilitar a los atacantes a realizar ataques del tipo cross-site scripts (XSS), clickjacking y otros tipos de ataques de inyección de código en cualquier página web específica.

El parche para la vulnerabilidad ya se lanzó a los usuarios en una actualización estable de Chrome 67.0.3396.79 para Windows, Mac y el sistema operativo Linux, que los usuarios pueden haber recibido o recibirán en los próximos días/semanas.

Por lo tanto, asegúrese de que su sistema esté ejecutando la versión actualizada del navegador web Chrome.

Por otra parte Firefox también lanzó una nueva versión de su navegador web, versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.