En breve DuckDuckGo finalmente ha tomado medidas enérgicas contra los scripts de seguimiento de terceros de Microsoft que llevaron al motor de búsqueda alternativo al agua caliente a principios de este año.
En mayo, DDG admitió que su navegador móvil supuestamente pro-privacidad no estaba bloqueando ciertos rastreadores de Microsoft, mientras que bloqueaba activamente otros tipos de rastreadores de terceros por parte de Microsoft y otras organizaciones, lo que confirma los hallazgos del investigador de uso de datos Zach Edwards.
Esta excepción especial para el gigante de Windows se debió a “compromisos contractuales con Microsoft”, dijo en ese momento el director general de DuckDuckGo, Gabriel Weinberg.
Esto causó una tormenta entre los internautas y provocó fuertes críticas por parte de la competencia. Ahora, a última hora del viernes de esta semana, DDG dijo que se agregarían los bloqueos completos contra Redmond.
“Anteriormente, estábamos limitados en la forma en que podíamos aplicar nuestra Protección de carga de rastreadores de terceros en los scripts de seguimiento de Microsoft debido a un requisito de política relacionado con nuestro uso de Bing como fuente para nuestros resultados de búsqueda privados”, graznó en voz baja.
“Estamos contentos de que esto ya no sea el caso. No hemos tenido, y no tenemos, ninguna limitación similar con ninguna otra compañía”.
Dicho esto, los scripts de Microsoft de bat.bing.com, utilizados para medir la eficacia de los anuncios web, no serán bloqueados por el navegador móvil de DDG si el sitio web de un anunciante los obtiene después de hacer clic en un anuncio de DuckDuckGo. Es decir, si toca un anuncio en una página de resultados de búsqueda de DDG, lo llevan al sitio web del anunciante y el anunciante extrae un script de bat.bing.com para detectar y registrar si algo que ordenó posteriormente fue el resultado de ese anuncio, el navegador no bloqueará ese script.
“Para cualquiera que quiera evitar esto, es posible deshabilitar los anuncios en la configuración de búsqueda de DuckDuckGo”, dijo el negocio, y agregó que está trabajando para eliminar el soporte para bat.bing.com con un seguimiento alternativo de conversión de anuncios sin perfil.
Si bien esto puede aplacar a algunos usuarios, sin duda se ha perdido mucha buena voluntad.
Twitter confirma datos robados por error de privacidad
En enero, Twitter arregló una falla de privacidad que facilitó el desenmascaramiento de los usuarios. Esta semana, el negocio confirmó que los datos de los usuarios de Twitter que salieron a la venta a principios de este año fueron tomados a través de ese agujero de seguridad específico.
Explotar el error fue bastante fácil: era posible enviar una dirección de correo electrónico o un número de teléfono a una parte de los sistemas de Twitter y hacer que te dijera qué cuenta de Twitter estaba asociada con esa información de contacto, si había alguna, incluso si habían elegido no hacerlo. revelar esos detalles en su configuración de privacidad. Por lo tanto, por ejemplo, si sospecha que alguien tiene un perfil de Twitter seudónimo, podría proporcionar su información de contacto a Twitter y el sitio confirmaría su nombre. O simplemente puede proporcionar al sitio una gran cantidad de detalles y hacer que los asigne a las cuentas.
Esto sería útil para los estados nacionales y otras organizaciones interesadas en saber quién está detrás de determinadas cuentas de Twitter.
“Si alguien envió una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona a qué cuenta de Twitter se asoció la dirección de correo electrónico o el número de teléfono enviado, si corresponde”, el negocio de microblogging. dijo Viernes. “Este error fue el resultado de una actualización de nuestro código en junio de 2021”, agregó.
La falla se solucionó poco después de que se revelara a través del programa de recompensas por errores de Twitter en enero, según nos dijeron. Luego se informó en julio que alguien aparentemente había explotado el agujero de privacidad antes de su parcheo y estaba vendiendo información obtenida de los servidores de Twitter.
Aunque Twitter ahora ha reconocido que esta información fue robada a través del error antes de que se solucionara, se entiende que 5,4 millones de usuarios de Twitter obtuvieron sus datos y los pusieron a la venta.
Una ventana al mundo de Pegasus
Una investigación sobre el software espía utilizado por el gobierno de Israel descubrió que los policías israelíes tenían su propia versión del snoopware Pegasus de NSO apodado Seifan desde 2016. También hemos visto una vista del panel de control del software para la herramienta de espionaje, que revela sus capacidades de vigilancia en tiempo real y otras funciones.
El fiscal general adjunto de Israel, Amit Merari, líder de un comité de investigación que analiza el uso policial de spyware, publicó un informe el lunes que detalla los hallazgos del comité, informó el sitio de noticias israelí Haaretz.
Seifan, según la investigación de Merari, puede haber sido lanzado al gobierno israelí ya en 2014 en una forma que los analistas describieron a Haaretz como una forma beta del ahora notorio spyware. La investigación mostró que la policía israelí usó la tecnología de una manera “más allá de su autoridad legal” y que el grupo responsable de su operación todavía está en posesión de los datos recopilados ilegalmente.
Entre las capacidades de la variante Seifan Pegasus se encuentran todas las apuestas habituales de la mesa: exfiltración de datos, interceptación de llamadas y similares. También se incluyó en la versión policial de Pegasus la “escucha de volumen” que permitía a la policía husmear en el micrófono de un dispositivo infectado en tiempo real y la operación remota de las cámaras de un teléfono.
Haaretz dijo que la última herramienta probablemente sea ilegal, ya que la ley israelí “no permite explícitamente colocar cámaras ocultas y ciertamente no permite el control remoto de una cámara pirateando el dispositivo móvil de un sospechoso”.
Pegasus tampoco se limita a Israel: NSO, la compañía israelí que desarrolló el software espía, ha tratado de minimizar los temores diciendo que ha vendido Pegasus a menos de 50 clientes, aunque al menos cinco de los cuales eran estados miembros de la UE. Según los informes, Pegasus se ha utilizado para espiar a disidentes políticos, periodistas y otros objetivos del gobierno, incluido el periodista asesinado del Washington Post, Jamal Khashoggi.
La investigación de Merari encontró que, mientras la policía israelí estaba usando spyware, no se escuchaba a escondidas fuera de las situaciones ordenadas por la corte.
“Uso policial de [Seifan] fue únicamente con el propósito de prevenir y resolver delitos graves, y sujeto a órdenes judiciales, y que no se tomaron acciones intencionales en contravención de la ley”, dijo la policía israelí en un comunicado a Haaretz.
Defectos críticos en el hardware de correo electrónico de Cisco: Parche ahora
Se han reparado las vulnerabilidades en AsyncOS de Cisco para dispositivos de correo electrónico físicos y virtuales, y se recomienda a cualquier persona con un sistema afectado que actualice ahora.
Cisco notificó a los clientes sobre los agujeros de seguridad en junio, y recientemente actualizó el aviso para señalar los parches de AsyncOS para las fallas, lo que podría permitir que un atacante remoto omita la autenticación e inicie sesión en la consola de administración web de un dispositivo afectado.
Causada por comprobaciones de autenticación incorrectas cuando se utiliza LDAP para la autenticación externa, la vulnerabilidad tiene una puntuación CVSS de 9,8. Afecta a todos los dispositivos de seguridad de correo electrónico de Cisco y a los administradores web y de correo electrónico seguro de Cisco que ejecutan versiones vulnerables de AsyncOS que están configuradas para la autenticación externa y utilizan LDAP como protocolo.
Cisco señaló que la autenticación externa está deshabilitada de forma predeterminada, pero advierte a los usuarios de sus dispositivos de correo electrónico que verifiquen dos veces la configuración para asegurarse de que no dejen el equipo expuesto.
Los dispositivos Secure Email y Web Manager que ejecutan AsyncOS versiones 13, 13.6, 13.8, 14 y 14.1 pueden encontrar actualizaciones, y aquellos que usan Email Security Appliances encontrarán actualizaciones disponibles para AsyncOS versiones 13 y 14. Los enlaces a la versión actualizada se pueden encontrar en el Aviso de seguridad de Cisco vinculado anteriormente.
La versión 11 de AsyncOS no es compatible, dijo Cisco, y aquellos que usan esta versión o una anterior deben migrar a una versión fija. La versión 12 tampoco parece estar recibiendo actualizaciones contra la explotación.
Para aquellos que no pueden actualizar a una versión más nueva de AsyncOS, Cisco dijo que hay una solución disponible al deshabilitar los enlaces anónimos en el servidor de autenticación externo. Cisco dijo que no ha descubierto ningún uso malicioso de las vulnerabilidades en el campo.
Ciberdelincuentes contratan a Uber para acelerar las estafas
Los estafadores ahora pueden estar ofreciendo enviar Ubers a las casas de las víctimas para llevarlas a los bancos y retirar grandes sumas de sus cuentas.
Esa es la historia de Towson, Maryland, EE. UU., donde a una mujer de 80 años que era víctima de estafadores se le ofreció un viaje de cortesía al banco para arreglar un retiro bancario “accidental” de $160,000, según lo informado por el bloguero de seguridad informática Brian Krebs.
Los estafadores utilizaron una táctica familiar que, en este caso, funcionó bien: se hicieron pasar por empleados de Best Buy que cobraban por la instalación de un electrodoméstico; Coincidentemente, la víctima acababa de instalar un lavavajillas poco antes. Los estafadores dijeron que la víctima debía $160.
Después de persuadirla para que instalara y ejecutara un software de control remoto en su computadora, los estafadores le pidieron que iniciara sesión en su cuenta bancaria para poder ordenar el pago y luego dijeron que “accidentalmente” transfirieron $160,000 a su cuenta en lugar de sacar $160. A continuación, los ciberdelincuentes intentaron que la mujer fuera a su banco en persona para “devolver” el dinero.
Cuando dijo que no conducía, los ladrones dijeron que enviarían un Uber a su casa. No se sabe si llegó el Uber: el hijo de la víctima le dijo a Krebs que ella fue a la casa de un vecino después de la llamada telefónica, quien descubrió que era una estafa.
Si bien a menudo se asume que las personas mayores son las víctimas más comunes del fraude en línea, varios estudios apuntan a una conclusión diferente: es más probable que los jóvenes caigan en una estafa digital. Las razones informadas varían, pero en general se considera que los usuarios de Internet más jóvenes confían demasiado en sus habilidades de seguridad en línea, lo que lleva a un comportamiento más riesgoso sin una comprensión completa de lo que puede salir mal.
Las principales cepas de malware de CISA de 2021
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., junto con el Centro de Seguridad Cibernética de Australia, han publicado un informe informativo, aunque algo tardío, que nombra las principales cepas de malware observadas en 2021.
Según las agencias, los troyanos de acceso remoto, los troyanos bancarios, los ladrones de información y el ransomware encabezaron la lista, y la mayoría de las cepas incluidas habían estado en escena durante más de cinco años.
“Las actualizaciones realizadas por los desarrolladores de malware y la reutilización del código de estas cepas de malware contribuyen a la longevidad y evolución del malware en múltiples variaciones”, decía el aviso.
En el informe se mencionan once cepas de malware, la mayoría de las cuales hemos cubierto hasta cierto punto:
- El agente Tesla ha sido utilizado en campañas de phishing contra la industria petrolera de EE.UU.
- AZORult es un malware de recopilación de datos que se dirige a Windows
- Formbook, un ladrón de datos también conocido como XLoader, ha sido detectado en sistemas ucranianos
- Ursnif es un malware bancario detectado por primera vez en 2008
- LokiBot es un troyano bancario en uso durante años
- MOUSEISLAND es un descargador de macros de Word; dadas las actualizaciones recientes de Microsoft para el uso de macros, es posible que tenga que adaptarse a una nueva táctica
- NanoCore es una RAT que llevó a su desarrollador a prisión
- Qbot es un ladrón de datos que utiliza el exploit de Windows Follina
- Remcos es un software de pentesting supuestamente legítimo que suelen utilizar los ciberdelincuentes
- TrickBot es una forma de ransomware cuyo creador ruso fue arrestado recientemente en Corea del Sur
- Gootkit se ha utilizado para promocionar sitios web maliciosos en los resultados de los motores de búsqueda.
La compañía de seguridad cibernética Tenable dijo que la lista de CISA de malware principal tiene una superposición interesante con las vulnerabilidades más explotadas de 2021: dependen unas de otras.
Citando la lista de CISA de las 36 vulnerabilidades más comúnmente explotadas de 2021, Tenable dijo que cuatro de ellas están representadas por malware en la lista cubierta aquí, con dos lanzadas después del período de tiempo relevante. De las vulnerabilidades que Tenable destacó, varias son explotables por múltiples familias de malware.
Tenable dijo que ha visto una “explotación sostenida de estas fallas por parte de diversos actores de amenazas”, y dijo que le preocupa que las explotaciones de vulnerabilidades más antiguas sigan siendo comunes.
“La explotación continua es una evidencia preocupante de que las organizaciones están dejando estos defectos sin remediar, lo cual es particularmente preocupante si se tiene en cuenta el número de defectos de Print Spooler que Microsoft ha corregido en el año transcurrido desde PrintNightmare”, dijo Tenable. ®