Miembro del llamado “Grupo ShinyHunters”, el acusado fue arrestado en Marruecos y extraditado a EE.UU.
Seattle: un ciudadano francés de 21 años de Epinal, Francia, comparecerá mañana 27 de enero de 2023 en el Tribunal de Distrito de EE. UU. en Seattle por una acusación de nueve cargos que alega conspiración para cometer fraude y abuso informático conspiración para cometer fraude electrónico, cuatro cargos de fraude electrónico y tres cargos de robo de identidad agravado, anunció el Fiscal Federal Nick Brown. Sebastien Raoult, también conocido como Sezyo Kaizen, fue arrestado el año pasado en Marruecos y extraditado a Estados Unidos esta semana. Raoult y dos coconspiradores fueron acusados formalmente por un gran jurado en el Distrito Oeste de Washington el 23 de junio de 2021. La comparecencia inicial de Raoult será a las 2:00 p. m. frente a la jueza magistrada Michelle L. Peterson.
“Demasiados malos actores creen que pueden acceder ilegalmente a información de propiedad e información financiera personal escondiéndose detrás de un teclado”, dijo el Fiscal Federal Nick Brown. “El Grupo de Trabajo Cibernético de Seattle del FBI y nuestra unidad cibernética experimentada están trabajando diligentemente para identificar, arrestar y enjuiciar a quienes buscan victimizar a personas, empresas e industrias en el Distrito Oeste de Washington y en todo el mundo”.
Según la acusación, Raoult participó en un grupo de hackeo que se autodenominó “ShinyHunters”. Los conspiradores supuestamente hackearon computadoras protegidas de entidades corporativas para el robo de información corporativa y de propiedad. El grupo promocionó la venta de datos confidenciales robados y, en ocasiones, amenazó con filtrar o vender archivos confidenciales robados si la víctima no pagaba un rescate. Desde principios de 2020, ShinyHunters Group ha comercializado y promocionado datos robados de más de 60 empresas en el estado de Washington y en otras partes del mundo.
Según la acusación, los conspiradores crearon sitios web que parecían ser páginas de inicio de sesión pertenecientes a negocios legítimos. Los conspiradores supuestamente enviaron correos electrónicos de phishing a los empleados de la compañía que fueron diseñados para parecer que provenían de negocios legítimos y contenían enlaces a esas páginas de inicio de sesión. Cuando las víctimas proporcionaron las credenciales de inicio de sesión de su cuenta en esas páginas de inicio de sesión, los conspiradores obtuvieron las credenciales de las víctimas. Usando las credenciales robadas, los conspiradores supuestamente accedieron a computadoras protegidas con datos de las empresas.
Los ShinyHunters mantuvieron cuentas en varios sitios web oscuros donde anunciaron la venta de datos robados, incluidas bases de datos de clientes con información personal y financiera. Los conspiradores también usaron cuentas de redes sociales para dirigir a compradores potenciales a los mercados de la web oscura para comprar datos robados. A veces los conspiradores alertaron a los medios sobre su hackeo o publicaron imágenes en el sitio web de una víctima reclamando el crédito por hackeo a la empresa.
Algunas de las víctimas del hackeo de ShinyHunters estaban ubicadas en el Distrito Oeste de Washington, pero otras estaban ubicadas en todo el mundo. Las víctimas van desde empresas de tecnología hasta una empresa internacional de comercio de acciones, una empresa de indumentaria y una empresa de nutrición y fitness. Millones de registros de clientes se incluyeron en los datos robados.
Además de los recuentos de conspiración, los recuentos de fraude electrónico corresponden a correos electrónicos maliciosos particulares a entidades en el Estado de Washington y otras transmisiones que involucran al Estado de Washington. Los tres recuentos de robo de identidad son para el uso de las credenciales de inicio de sesión de otras personas para acceder a los datos de la empresa víctima.
Además de Raoult, la acusación acusa a Gabriel Kimiaie-Asadi Bildstein, de 23 años, alias “Kuroi” y “Gnostic Players”, de Tarbes, Francia, y a Abdel-Hakim El Ahmadi, de 22 años, alias “Zac” y “ Jordan Keso” de Lyon, Francia.
El cargo de conspiración para cometer fraude y abuso informático se castiga con un máximo de diez años de prisión. El cargo de conspiración para cometer fraude electrónico se castiga con un máximo de 27 años de prisión. El fraude electrónico se castiga con un máximo de 20 años de prisión. El robo de identidad agravado se castiga con una pena mínima obligatoria de dos años de prisión después de cualquier otra pena de prisión impuesta en el caso.
Los cargos contenidos en la acusación son solo alegaciones. Se presume que una persona es inocente a menos y hasta que se pruebe su culpabilidad más allá de toda duda razonable en un tribunal de justicia.
El caso está siendo investigado por la Fuerza de Tarea Cibernética de Seattle del FBI. Está a cargo de la acusación en el caso la fiscal federal adjunta Miriam Hinman. La Oficina de Asuntos Internacionales del DOJ está brindando asistencia sustancial. El Departamento de Justicia también agradece la importante cooperación y asistencia proporcionada por las autoridades marroquíes y francesas .
KeePass es un administrador de contraseñas de código abierto ampliamente utilizado que le permite administrar sus contraseñas mediante el uso de una base de datos que se mantiene localmente, a diferencia de una base de datos alojada en la nube como LastPass o Bitwarden. KeePass es bastante popular. ! Los investigadores en el campo de la seguridad de la información han descubierto una vulnerabilidad importante en el administrador de contraseñas ampliamente utilizado KeePass, que pone a los usuarios del software en grave peligro. Existe la posibilidad de que la versión 2.5x de KeePass sea vulnerable al agujero de seguridad conocido como CVE-2023-24055, que podría permitir a los atacantes leer contraseñas que se han guardado en texto no cifrado.
Dado que ya está disponible un exploit de prueba de concepto ( PoC ) y que KeePass es uno de los administradores de contraseñas más utilizados en el mundo, la vulnerabilidad de seguridad actual es un objetivo tentador para los actores malintencionados. con el fin de detectar proactivamente comportamientos dañinos relacionados con la explotación de CVE-2023-24055.
CVE-2023-24055 El código de explotación de prueba de concepto puede ser alterado por los adversarios para evadir la detección y continuar con el ataque sin ser detectado. Permite a los actores de amenazas con acceso de escritura al sistema de un objetivo editar el archivo de configuración XML de KeePass e insertar un disparador malicioso que exportaría la base de datos, incluidos todos los usuarios y contraseñas en texto sin cifrar. Esto solo se puede hacer si el actor de la amenaza tiene acceso al sistema del objetivo.
La regla de exportación se activará y el contenido de la base de datos se almacenará en un archivo que los atacantes podrán filtrar posteriormente a una máquina bajo su control una vez que el objetivo inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos la siguiente vez.
Cualquier cambio malicioso en el archivo de configuración de KeePass puede ser realizado por un adversario que tenga acceso de escritura al archivo (por ejemplo, podría inyectar disparadores maliciosos). Sin embargo, KeePass realmente no tiene ningún problema con esta vulnerabilidad de seguridad en particular.
Si el usuario instala KeePass mediante el programa de instalación, el archivo de configuración se ubicará en el directorio de datos de la aplicación del usuario (en “%APPDATA%KeePass”), que se encuentra dentro del directorio de perfil de usuario (“%USERPROFILE%”) del Sistema operativo. Cuando se trata de KeePass, tener acceso de escritura al archivo de configuración generalmente se considera lo mismo que tener acceso de escritura al directorio de perfil de usuario. Una persona puede llevar a cabo cualquier tipo de ataque siempre que tenga la capacidad de escribir en el directorio del perfil del usuario. Por ejemplo, el adversario podría plantar malware en la carpeta de inicio (“%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”; el malware se ejecutará automáticamente después del próximo inicio de sesión del usuario), modificar los accesos directos del escritorio (en “%USERPROFILE%Desktop”), manipular el registro del usuario (archivo “%PERFIL DE USUARIO%NTUSER.DAT”),
En el caso de que el usuario esté trabajando con la versión portátil de KeePass el archivo de configuración se guarda en el directorio en el que está instalado el programa (que contiene el archivo “KeePass.exe”). Cuando se trata de KeePass, tener acceso de escritura al archivo de configuración a menudo se considera lo mismo que tener acceso de escritura al directorio de la aplicación. Debido a esta característica, un actor malicioso puede, por ejemplo, reemplazar fácilmente el archivo “KeePass.exe” con otra pieza de software malicioso.
En cualquier escenario, tener acceso de escritura al archivo de configuración de KeePass a menudo indica que un atacante puede llevar a cabo operaciones que son mucho más potentes que simplemente alterar el archivo de configuración (y estos ataques al final también pueden afectar a KeePass, independientemente de un protección del archivo de configuración).
Mantener el entorno seguro es la única forma de evitar ataques como este (usando un software antivirus, un cortafuegos, no abriendo archivos adjuntos de correo electrónico desconocidos, etc.). Es imposible que KeePass funcione mágicamente de forma segura en un entorno que no es seguro.
Sin embargo incluso si los desarrolladores de KeePass no brindan a los usuarios una versión de la aplicación que aborde la exportación a texto sin formato a través del problema de los disparadores, aún puede proteger su base de datos iniciando sesión como administrador del sistema y creando un archivo de configuración forzado. Esto es algo que puede hacer incluso si no proporcionan a los usuarios una versión de la aplicación que solucione el la vulnerabilidad.
Este tipo de archivo de configuración tiene prioridad sobre la configuración establecida en los archivos de configuración globales y locales, incluidos los nuevos activadores proporcionados por actores malintencionados, lo que reduce el riesgo asociado con la vulnerabilidad CVE-2023-24055.
GitHub descubrió el acceso ilegal a una colección de repositorios el 7 de diciembre de 2022. Estos repositorios se usaron en el diseño y desarrollo de Atom y GitHub Desktop. Se violó un token de acceso personal (PAT) que estaba conectado con una cuenta de máquina, lo que condujo a la clonación de los repositorios que pertenecen a nuestras organizaciones atom y de escritorio, así como a los que pertenecen a otros grupos obsoletos propiedad de GitHub. Estos repositorios tenían una cantidad de certificados de firma de código que estaban encriptados y estaban destinados a usarse en la sección Acciones de nuestros procedimientos de lanzamiento de GitHub Desktop y Atom.
Los certificados se usan de una manera muy similar a firmar sus cambios en GitHub para validar que el código en cuestión fue escrito por el autor especificado. Las instalaciones existentes de las aplicaciones Desktop y Atom no son vulnerables a ataques como resultado de estos certificados. Sin embargo si se rompiera el cifrado, el atacante podría firmar programas no autorizados con estos certificados y hacer que pareciera que GitHub fue la empresa que realmente los desarrolló.
El 6 de diciembre de 2022 todavía había dos certificados de firma de código de Digicert que podían usarse para Windows y un certificado de ID de desarrollador de Apple que eran válidos. El 2 de febrero de 2023, GitHub cancelará las tres certificaciones en su poder.
El primer certificado de Digicert no era válido cuando expiró el 4 de enero de 2023, y el segundo dejará de serlo el 1 de febrero del mismo año. Cuando finaliza el período de validez de un certificado, ya no se puede utilizar para firmar código. Tienen previsto revocarlas el 2 de febrero como medida cautelar, pese a que no constituirán un peligro que perdure en el tiempo.
El certificado ID de desarrollador de Apple tiene un período de validez que se extiende hasta 2027. Mientras esperamos que se revoque el certificado el 2 de febrero, estamos colaborando con Apple para buscar nuevos archivos ejecutables (como programas) que puedan haber sido firmado con el certificado comprometido.
Después de realizar una investigación sobre el contenido de los repositorios hackeados, descubrieron que GitHub.com y cualquiera de nuestros otros productos, con la excepción de los certificados particulares mencionados anteriormente, no se vieron afectados de ninguna manera. El código incluido en estos repositorios no ha sido alterado de ninguna forma que no esté aprobada.
La página de lanzamientos se actualizó para reflejar el hecho de que se eliminaron las dos versiones más recientes de la aplicación Atom, 1.63.0-1.63.1. Estas versiones dejarán de funcionar tan pronto como se revoque el certificado, ya que dependen de él.
Van a revocar los certificados de firma de Mac y Windows que se usaron para firmar las versiones 3.0.2-3.1.2 de la aplicación de escritorio y las versiones 1.63.0-1.63.1 de Atom el jueves 2 de febrero de 2023. Una vez que se revoquen los certificados, todas y cada una de las versiones que se firmaron con ellos dejarán de funcionar. Antes del 2 de febrero, se recomienda enfáticamente que actualice Desktop y/o baje la versión de Atom para evitar interrupciones en los procesos en los que confía.
No hay información que sugiera que el autor de la amenaza pudo descifrar o hacer uso de estos certificados, pero la empresa no puede confirmarlo .
La ciberseguridad es cada vez más importante, sobre todo en el mundo actual donde hay un gran número de amenazas en Internet en el día a día. Algunas medidas relacionadas con la ciberseguridad pueden incluir medidas como cortafuegos, cifrado y contraseñas seguras para impedir el acceso no autorizado, así como planes de respuesta a incidentes para hacer frente a los ataques y recuperarse de ellos.
La mayor parte de la información está almacenada en la red hoy en día, por lo que es realmente importante no tomar riesgos a la hora de almacenar datos sensibles en Internet. Este tipo de seguridad es especialmente importante cuando se navega por Internet, sobre todo cuando se trata de disfrutar de servicios online como juegos de navegador donde puede haber un gran riesgo.
Estadísticas de ciberseguridad de los teléfonos inteligentes
He aquí algunas estadísticas sobre la ciberseguridad de los smartphones:
En 2020, los incidentes de malware móvil aumentaron un 54% en comparación con 2019. (Fuente: McAfee)
En 2020, el 40% de todas las violaciones de datos fueron causadas en dispositivos móviles. (Fuente: Verizon)
En 2020, la amenaza móvil más común fueron las aplicaciones maliciosas, que representaron el 38% de todos los casos de malware móvil. (Fuente: Symantec)
En 2020, los ataques de phishing móvil aumentaron un 66% en comparación con el año anterior. (Fuente: Lookout)
Una encuesta realizada en 2020 reveló que sólo el 42% de los usuarios de smartphones utiliza una contraseña o un pin para restringir el acceso libre a su dispositivo. (Fuente: Norton)
En 2019, se estimó que alrededor de 20.000 millones de dispositivos móviles estarán en uso en todo el mundo en 2023. (Fuente: Statista)
Una encuesta realizada en 2021 reveló que solo el 16% de los usuarios de smartphones tiene una app de seguridad móvil instalada en su dispositivo. (Fuente: Norton)
Una encuesta realizada en 2021 reveló que alrededor del 60% de los usuarios de smartphones están preocupados por la seguridad de su información personal en su dispositivo. (Fuente: Norton)
Estas estadísticas ponen de relieve la importancia de tomar medidas para proteger los smartphones de los ciberataques ya que los dispositivos móviles son cada vez más vulnerables al malware, el phishing y otras ciberamenazas.
¿Por qué es importante la ciberseguridad de los smartphones?
La ciberseguridad de los teléfonos inteligentes es importante porque almacenan y procesan una gran cantidad de información personal y sensible. Esto incluye contactos personales, correos electrónicos, mensajes de texto e información financiera. Además, los teléfonos inteligentes se utilizan a menudo para acceder a redes corporativas y datos de la empresa, jugar a juegos móviles y de navegador y realizar transacciones financieras, lo que los convierte en objetivo de ciberataques.
Si un smartphone se ve comprometido, puede provocar el robo de información personal, pérdidas económicas y la propagación de programas maliciosos a otros dispositivos. La ciberseguridad del smartphone incluye medidas como el uso de contraseñas seguras, la instalación de actualizaciones de seguridad y la precaución a la hora de descargar aplicaciones de fuentes no fiables. Además, es importante utilizar un software de seguridad móvil y restringir los permisos a las apps que no lo necesiten. Protegiendo tu smartphone y los datos almacenados en él, puedes ayudar a prevenir ciberataques y mantener tu información a salvo.
Medidas de ciberseguridad para smartphones
Hay varias medidas que puede tomar para proteger su smartphone de los ciberataques:
Utiliza una contraseña segura
Una contraseña segura es aquella que resulta difícil de adivinar y contiene una combinación de letras, números y caracteres especiales. Evita utilizar información fácil de adivinar, como tu cumpleaños, nombre o número de teléfono. También puedes utilizar la autenticación biométrica, como la huella dactilar o el reconocimiento facial en tu dispositivo, si está disponible. Esta es una gran forma de prevenir los robos de datos en tus dispositivos.
Mantén tu teléfono actualizado
Los fabricantes publican periódicamente actualizaciones de seguridad para sus dispositivos, por lo que es importante mantener el teléfono actualizado con la última versión del sistema operativo. Estas actualizaciones pueden incluir parches de seguridad que corrigen vulnerabilidades conocidas del software.
Utiliza software de seguridad para móviles
El software de seguridad móvil puede ayudar a proteger tu dispositivo de programas maliciosos, como virus ytroyanos, y otras ciberamenazas. Estas aplicaciones también pueden ayudarte a localizar un dispositivo perdido o robado y a hacer copias de seguridad de tus datos.
Utiliza la autenticación de dos factores
La autenticación de dos factores (2FA) añade una capa adicional de seguridad al requerir un código enviado a tu teléfono además de tu contraseña, lo que hace más difícil que los hackers accedan a tus cuentas.
Es importante tener en cuenta que la ciberseguridad es un esfuerzo continuo y no una acción puntual, es esencial estar alerta y mantenerse actualizado con las últimas medidas de seguridad y escenarios de amenazas.
Palabras finales
En conclusión, la ciberseguridad de los teléfonos inteligentes es importante porque almacenan y procesan una gran cantidad de información personal y sensible. Un smartphone en peligro puede provocar el robo de información personal, pérdidas económicas y la propagación de malware a otros dispositivos. Además, es importante estar alerta y mantenerse al día de las últimas medidas de seguridad y escenarios de amenazas. Las medidas mencionadas ayudarán a proteger tu smartphone y la información sensible que contiene de los ciberataques.
El Departamento de Transporte del estado advierte al público en general que es contra la ley alterar un tablero de mensajes oficial de obras viales.
Esto se produce después de que dos letreros diferentes fueran hackeadas las dos noches anteriores el martes y el miércoles.
El DOT ha declarado que los contratistas modificarán las contraseñas de las bases de datos de señales de tránsito y aumentarán el nivel de protección.
Cualquier persona que sea sorprendida manipulando un letrero podría enfrentar una multa de hasta $200 por la primera infracción.
A lo largo de Pali Highway un letrero que decía “Deoccupy Hawaii… Stop Cop City… Defend Atlanta Forest” fue destrozado el martes por la noche. Hacía referencia a una manifestación violenta que todavía estaba ocurriendo en Atlanta, Georgia.
La noche siguiente para demostrar su apoyo a la comunidad LGBTQ+ los hacker manipularon otra señal de tráfico que se encontraba en Kailua Road.
Los funcionarios del Departamento de Transporte han declarado que los mensajes no aprobados se codificaron manualmente y que los sistemas HDOT no han sido violados.
Según las autoridades de Austria un hacker holandés que fue detenido en noviembre había recopilado y puesto a la venta el nombre completo, la dirección y la fecha de nacimiento de casi todas las personas en el país de Austria.
En mayo de 2020 un usuario que se cree que es el hacker ofreció los datos a la venta en un foro en línea, presentándolos como “el nombre completo, el género, la dirección completa y la fecha de nacimiento de presumiblemente todos los ciudadanos” en Austria según un declaración emitida por la policía austriaca, quien agregó que los investigadores habían confirmado la autenticidad de los datos.
Según las autoridades, el caché incluía cerca de nueve millones de conjuntos de datos diferentes.
La población de Austria se acerca a los 9,1 millones de personas.
El hacker también había puesto a la venta “conjuntos de datos similares” de Italia, Países Bajos y Colombia según la policía austriaca y añadió que no tenía ninguna otra información sobre el incidente.
La información relativa a Austria es lo que se conoce como “datos de registro”. Se refiere a la información fundamental como una dirección actual que los ciudadanos están obligados a proporcionar a las autoridades correspondientes.
“Dado que estos datos eran de libre acceso en Internet ciertamente debe presumirse que estos datos de registro están, en su totalidad o en parte irreversiblemente en manos de delincuentes”, afirmó la policía, y agregó que se pensaba que personas no identificadas habían pagado.
Según la policía austriaca el sospechoso que tiene 25 años y fue capturado en un apartamento de Ámsterdam era conocido por la policía internacional y ahora es objeto de una investigación por parte de la policía y las autoridades judiciales holandesas.
Un portavoz también dijo que la declaración solo se publicó en este momento para evitar obstaculizar las investigaciones en curso.
La policía no proporcionó más información sobre las implicaciones para la seguridad de los datos de los Austriacos.
El FBI y el Departamento de Justicia derribaron la infraestructura del grupo de ransomware Hive el jueves y anunciaron que sus agentes habían estado dentro de los sistemas del grupo desde julio de 2022.
El director del FBI Christopher Wray dijo que los agentes tenían “acceso clandestino y persistente” al panel de control utilizado por los operadores de Hive hace siete meses, lo que les permitió identificar a las víctimas y ofrecer claves de descifrado a más de 1300 de ellas en todo el mundo y evitar al menos $ 130 millones en pagos de rescate.
“Sin el conocimiento de Hive en una vigilancia cibernética del siglo XXI, nuestro equipo de investigación se infiltró legalmente en la red de Hive y se escondió allí durante meses, robando repetidamente claves de descifrado y pasándoselas a las víctimas para liberarlas del ransomware”, dijo la fiscal general adjunta Lisa Monaco durante una entrevista y conferencia de prensa el jueves.
“Durante meses, ayudamos a las víctimas a derrotar a sus atacantes y privamos a la red Hive de las ganancias de la extorsión. En pocas palabras usando medios legales hackeamos a los hackers. Le dimos la vuelta a Hive y acabamos con su modelo de negocio”.
Las agencias dijeron que Hive se ha centrado en 1500 víctimas en más de 80 países desde que surgió en junio de 2021, y el fiscal general Merrick Garland enumeró docenas de instancias específicas en las que pudieron ayudar a las víctimas a lidiar con un ataque de ransomware destacando la afinidad del grupo para apuntar a las escuelas. y hospitales durante la pandemia de COVID-19.
El grupo ganó al menos $ 100 millones en su primer año de operación.
“El FBI interrumpió un ataque de ransomware Hive contra los sistemas informáticos de un distrito escolar de Texas y la oficina proporcionó claves de descifrado al distrito escolar evitando que hiciera un pago de rescate de $ 5 millones” dijo Garland.
“Ese mismo mes, el FBI desbarató un ataque de ransomware Hive en un hospital de Luisiana, salvando a la víctima del pago de un rescate de $3 millones. El FBI también pudo desbaratar un ataque a una empresa de servicios alimentarios, proporcionando a la empresa claves de descifrado y salvando a la víctima de un pago de rescate de 10 millones de dólares”.
Wray dijo que la operación se realizó en cooperación con Europol, así como con las agencias de aplicación de la ley en Alemania, los Países Bajos, Canadá, Francia, Irlanda, Lituania, Noruega, Portugal, Rumania, España, Suecia y el Reino Unido.
El FBI dijo que proporcionó más de 300 claves de descifrado a las víctimas de Hive actualmente bajo ataque y más de 1,000 claves a víctimas anteriores.
Garland dijo que finalmente decidieron interrumpir los sistemas del grupo después de encontrar servidores informáticos ubicados en Los Ángeles que fueron utilizados por los actores de Hive para almacenar información crítica. Se apoderaron de los servidores el miércoles por la noche y cerraron el sitio de red oscura de Hive. Un aviso de incautación de varias agencias estadounidenses e internacionales ahora aparece en el sitio de fuga del grupo.
“La interrupción coordinada de las redes informáticas de Hive, luego de meses de descifrar víctimas en todo el mundo, muestra lo que podemos lograr al combinar una búsqueda incesante de información técnica útil para compartir con las víctimas con investigaciones destinadas a desarrollar operaciones que afecten duramente a nuestros adversarios” dijo Wray. dicho.
Señaló que durante su tiempo en los sistemas de Hive descubrieron que solo alrededor del 20 % de las víctimas denunciaron sus incidentes de ransomware a las fuerzas del orden público, lo que destaca el problema persistente de que las víctimas simplemente no se presentan y, en cambio, pagan rescates.
Europol dijo que el éxito de Hive se basaba en su modelo de “ransomware como servicio”, en el que los afiliados recibían el 80 % del rescate y los desarrolladores del ransomware recibían el otro 20 %.
Señalaron que se llevaron a cabo reuniones operativas en Portugal y los Países Bajos para respaldar la operación, proporcionando enlaces a “datos disponibles para varios casos penales dentro y fuera de la UE, y respaldaron la investigación a través de criptomonedas, malware, descifrado y análisis forense”.
No se anunciaron arrestos y Garland se negó a comentar cuando se le preguntó si se esperaba alguno. Pero Europol dijo que se desplegaron cuatro expertos para “coordinar las actividades sobre el terreno”.
Wray dijo a los periodistas que “cualquier persona involucrada con Hive debería estar preocupada porque esta investigación aún está en curso”. Agregó que los involucrados pueden ser juzgados en Estados Unidos o en Europa.
Wray señaló que el trabajo del FBI en este caso fue especial porque nunca habían tenido este tipo de acceso al backend de un grupo de ransomware.
Argo CD es una plataforma de entrega continua GitOps declarativa basada en Kubernetes. Está construido como un controlador de Kubernetes que supervisa constantemente las aplicaciones en ejecución y compara su estado actual en vivo con el estado objetivo previsto (como se especifica en el repositorio de Git). 257 empresas, incluidas Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom, Tesla y Ticketmaster, utilizan Argo CD.
CVE-2023-22482 (puntaje CVSS de 9.0) afecta las versiones 1.8.2 a 2.6.0-rc4, v2.5.7, v2.4.18 y v2.3.13, y se corrigió en las versiones 2.6.0-rc5, v2. 5.8, v2.4.20 y v2.3.14.
A partir de la versión 1.8.2, todas las versiones de Argo CD están sujetas a un vulnerabilidad de autorización inapropiado que hace que la API acepte ciertos tokens erróneos.
En tokens firmados, los proveedores de OIDC agregan un reclamo aud (audiencia). El valor de ese reclamo identifica la(s) audiencia(s) prevista(s) del token (es decir, el servicio o los servicios destinados a aceptar el token). Argo CD verifica que el proveedor de OIDC seleccionado haya firmado el token. Sin embargo, dado que Argo CD no confirma el reclamo de la audiencia, aceptará tokens que no están destinados a Argo CD”.
Se insta a los usuarios de Argo CD a actualizar a una versión parcheada de la plataforma lo antes posible, ya que no hay soluciones para CVE-2023-22482.
La vulnerabilidad, identificada como CVE-2023-22736 (puntuación CVSS de 8,5), es una omisión de autorización que permite a un atacante implementar aplicaciones fuera de los espacios de nombres autorizados establecidos. Esta vulnerabilidad se solucionó en las versiones 2.5.8 y 2.6.0-rc5 de Argo CD.
Hay una solución para esta vulnerabilidad que no necesita actualización
“Ejecutar solo una réplica del controlador de aplicaciones evitará que se explote esta vulnerabilidad. Asegurarse de que todos los espacios de nombres de origen de AppProjects estén confinados dentro de los límites de los espacios de nombres de aplicaciones establecidos también evitará que se explote esta vulnerabilidad.
El Tribunal Local de Sídney impone una pena de cárcel por un total de 32 meses a un hombre que robó más de 100 000 dólares australianos (69 751 dólares) en una estafa de phishing por SMS que involucró a 450 víctimas.
Un hombre australiano fue sentenciado a prisión por más de dos años por una estafa de phishing por SMS, durante la cual robó AU $ 100,000 ($ 69,751) y apuntó a 450 víctimas.
El Tribunal Local de Sydney encontró al hombre culpable de varios delitos cibernéticos, incluida la obtención y el suministro de datos con la intención de cometer un delito informático. Fue sentenciado a dos años y ocho meses de prisión, dijo la Policía Federal Australiana (AFP), que reunió evidencia de registros de sitios web sospechosos de ser utilizados para facilitar las estafas de phishing.
Observó que estos sitios se usaban para dirigirse a clientes de proveedores de telecomunicaciones e instituciones financieras locales. Se cree que las actividades de phishing comenzaron en 2018, cuando se indujo a las víctimas a ingresar sus datos personales en los sitios web fraudulentos. Luego la información se usó para acceder al teléfono y las cuentas bancarias de las víctimas y crear nuevas cuentas.
Las investigaciones sobre el crimen comenzaron en septiembre de 2021, con la AFP trabajando junto con el Escuadrón de Delitos Cibernéticos de la Policía de Nueva Gales del Sur para ejecutar una orden de allanamiento en la casa del hombre en noviembre. Tarjetas SIM, tarjetas bancarias, dispositivos electrónicos, teléfonos móviles y dispositivos de almacenamiento se encontraban entre los artículos incautados en su casa.
AFP dijo que pudieron vincular al hombre con más de 100.000 dólares australianos robados de las cuentas de 39 personas. Fue arrestado el 24 de noviembre de 2021.
La policía también trabajó con el Commonwealth Bank of Australia, el National Australia Bank y la empresa local de telecomunicaciones Telstra para identificar a las víctimas que proporcionaron sus datos personales a los sitios de phishing. Se implementaron protocolos de seguridad adicionales para evitar que se roben más fondos de estos titulares de cuentas, lo que, según AFP, detuvo más robos a otros 16.147 australianos.
El portavoz de AFP, Chris Goldsmid, dijo: “Los estafadores utilizarán cualquier herramienta que puedan para explotar a las personas en su propio beneficio. Internet y otras nuevas tecnologías brindan oportunidades para acceder de forma remota a posibles víctimas. Alentamos a los australianos a protegerse contra las estafas de phishing revisando cuidadosamente los correos electrónicos o mensajes SMS antes de hacer clic en cualquier enlace”.
El año pasado, el gobierno de Singapur también instó a la necesidad de una responsabilidad compartida , luego de que una estafa masiva de phishing que involucró a 790 clientes de OCBC Bank resultó en pérdidas por un total de SG $ 13,7 millones ($ 10,18 millones).
La Asociación de Consumidores de Singapur (CASE) emitió la semana pasada dos alertas a través de su página de Facebook , incluida una ayer, para advertir a los consumidores sobre correos electrónicos de phishing que afirman ser sus funcionarios y dirigen a los destinatarios a sitios web fraudulentos a cambio de una compensación monetaria. Las víctimas seleccionadas recibieron números de boletos falsos de disputas o reclamos y se les pidió que hicieran clic en un ícono de chat para acceder a los sitios de phishing para recibir actualizaciones o dinero.
CASE dijo que sus sistemas de TI y su base de datos estaban protegidos y no se habían visto comprometidos. Agregó que la policía había sido notificada de las estafas.
Tras el incidente de phishing de OCBC los bancos de Singapur implementaron un “interruptor de interrupción” como parte de las medidas de seguridad que ordenó el gobierno para protegerse contra futuras estafas. También se instó a los consumidores a acceder a sus cuentas a través de aplicaciones de banca móvil, en lugar de navegadores web para minimizar los riesgos.
jQuery es una biblioteca de JavaScript popular que se usa ampliamente para crear páginas web dinámicas e interactivas. Sin embargo como cualquier otro software los ciberdelincuentes también pueden utilizarlo para propagar malware.
Una táctica común utilizada por los atacantes es inyectar código JavaScript malicioso en sitios web legítimos, a menudo a través de vulnerabilidades en el sistema de administración de contenido del sitio web. Este código luego puede usar jQuery para manipular la funcionalidad del sitio web y robar información confidencial de los visitantes. Por ejemplo un atacante puede usar jQuery para agregar un formulario a un sitio web que parece un formulario de inicio de sesión, pero en realidad envía las credenciales del usuario a un servidor controlado por el atacante.
Otra táctica es distribuir malware disfrazándolo como un complemento jQuery legítimo. Esto se puede hacer modificando un complemento existente o creando uno nuevo que parece ofrecer una funcionalidad útil, pero que en realidad contiene malware.
Para protegerse contra el malware jQuery es importante mantener todo el software, incluido jQuery y cualquier complemento actualizado con los parches de seguridad más recientes. Además es una buena idea usar un software antivirus confiable y tener cuidado al descargar e instalar complementos u otro software de fuentes no confiables.
Un plan de respuesta a incidentes de malware jQuery JavaScript debe incluir los siguientes pasos:
Identificación: el primer paso es identificar que se ha producido un incidente de malware jQuery JavaScript. Esto se puede hacer monitoreando el tráfico web, los registros y otros datos de seguridad en busca de signos de actividad sospechosa. Esto incluye buscar signos de código JavaScript malicioso que se inyecte en páginas web legítimas, o signos de malware que se distribuya a través de complementos jQuery disfrazados como legítimos.
Contención: una vez que se ha identificado el incidente, se deben tomar medidas para contener el malware y evitar que se propague más. Esto puede incluir el aislamiento de los sistemas afectados, la desactivación de las conexiones de red y el cierre de los servicios afectados. Esto también incluye identificar y bloquear la fuente del malware.
Análisis: una vez que se ha contenido el malware, se debe analizar para determinar sus capacidades y comportamientos. Esto puede incluir la identificación del tipo de malware, los datos que recopila y extrae, y los sistemas y redes que ha infectado.
Erradicación: el siguiente paso es eliminar el malware de los sistemas afectados. Esto se puede hacer eliminando manualmente el código malicioso o utilizando un software de eliminación de malware especializado. Además, se debe escanear el sistema para asegurarse de que se haya eliminado todo el código malicioso.
Recuperación: después de eliminar el malware, se deben tomar medidas para recuperar los sistemas y datos afectados. Esto puede incluir la restauración de copias de seguridad, la reinstalación de software y la reconfiguración de sistemas.
Lecciones aprendidas: el paso final es realizar una revisión posterior al incidente para identificar qué salió mal y qué se puede hacer para evitar que ocurran incidentes similares en el futuro. Esto puede incluir actualizar los planes de respuesta a incidentes, implementar nuevos controles de seguridad y brindar capacitación adicional a los empleados.
También es importante tener en cuenta que la respuesta a incidentes es un proceso continuo, y las organizaciones deben revisar y actualizar periódicamente sus planes de respuesta a incidentes para asegurarse de que están preparados para responder a nuevos tipos de ataques.
ESCENARIO DE ATAQUE:
Los atacantes inyectaron JavaScript/jQuery malicioso utilizando los códigos fuente ABC de la empresa. El analista de Soc supervisó al cliente y observó códigos de estado de redirección HTTP sospechosos como (3XX) a dominios desconocidos que no son propiedad del cliente. Se creó un ticket de incidente para el equipo de IR para una mayor investigación sobre este caso.
Se asignó a la persona que responde a incidentes “Kim” y ella comenzó a investigar el incidente revisó los códigos fuente de los clientes. Mientras investigaba, vio archivos de scripts jQuery ofuscados en la carpeta JavaScript.
Kim ha observado que los atacantes han manipulado el archivo legítimo de JavaScript/jQuery con líneas adicionales en el código.
Código malicioso :
Kim usó la herramienta cyberchef para descifrar los números anteriores.
Como se ilustra en la imagen de arriba los datos decodificados parecen ilegibles. ¡Kim, notó algo! Hay una coma entre cada número.
Ahora el delimitador se ha establecido en coma en la función from charcode en cyberchef.
Todavía no hay suerte, solo ves los datos codificados. Es hora de cambiar el número base a más pequeño o más grande. Al cambiar la base de 0 a 37, Kim encontró resultados interesantes en la base 10.
¡Sí, ahora puede ver la carga útil real! Esperar !! Mire los números nuevamente parece que el atacante usa doble ofuscación. Vamos a decodificarlo también.
La figura decodificada anterior muestra el nombre de dominio https://record[.]findtrustclicks.com/state[.]js?v=2.6.6 , verificando los resultados en Virustotal.
Resultados de Virustotal para dominio malicioso
Se han erradicado los códigos maliciosos para los clientes y el complemento utilizado por los clientes no se ha actualizado durante mucho tiempo lo que ha sido la causa fundamental de este incidente.
El FBI dice que un grupo de amenazas vinculado a Corea del Norte conocido como Lazarus y APT38 está detrás del atraco de criptomonedas del Horizon Bridge de 100 millones de dólares.
El FBI atribuyó oficialmente el hackeo del FHorizon y el robo de criptomonedas del año pasado a un grupo de amenazas que se cree que opera en nombre del gobierno de Corea del Norte.
El Horizon está diseñado para permitir que los titulares de criptomonedas muevan activos entre la red de Harmony y la red Ethereum, Binance Chain y Bitcoin.
En junio de 2022, se conoció la noticia de que alguien había logrado robar USD 100 millones del Horizon, específicamente del lado de Ethereum después de obtener y descifrar claves privadas.
Poco después de que saliera a la luz el robo de criptomonedas, la firma de análisis de blockchain Elliptic nombró al grupo de hackeo Lazarus de Corea del Norte como el principal sospechoso.
La agencia señaló que las autoridades estadounidenses están identificando e interrumpiendo las actividades de lavado y robo de criptomonedas de Corea del Norte que son utilizadas por el régimen para financiar sus programas de misiles balísticos y armas de destrucción masiva.
“El viernes 13 de enero de 2023, los ciberactores norcoreanos utilizaron Railgun un protocolo de privacidad para lavar más de 60 millones de dólares en ethereum (ETH) robados durante el atraco de junio de 2022. Una parte de este ethereum robado se envió posteriormente a varios proveedores de servicios de activos virtuales y se convirtió en bitcoin (BTC)”, dijo el FBI.
La agencia dijo que parte de estos fondos se congelaron con la ayuda de proveedores de servicios de activos virtuales mientras que el resto se trasladó a casi una docena de direcciones, que se hicieron públicas.
Se cree que los hackers patrocinados por el estado de Corea del Norte están detrás de varios robos de criptomonedas de alto perfil y esta no es la primera vez que el gobierno de EE. UU. los culpa oficialmente por un ataque.
VRealize Log Insight es un dispositivo virtual de recopilación y análisis de registros que brinda a los administradores la capacidad de recopilar, mostrar, administrar y analizar datos de syslog. Log Insight fue desarrollado por Logrotate. Los registros de aplicaciones los seguimientos de red, los archivos de configuración, los mensajes y las estadísticas de rendimiento se pueden monitorear en tiempo real con Log Insight. Ha sido diseñado específicamente para su uso en un centro de datos heterogéneo y un entorno de nube híbrida. Proporciona y mantiene la infraestructura y las aplicaciones para impulsar la agilidad del negocio mientras mantiene el control de TI.
VMware ha publicado un boletín de seguridad que contiene información sobre 4 vulnerabilidades.
1) PATH TRAVERSAL
Riesgo: Alto
CVE-ID: CVE-2022-31703
Hay una vulnerabilidad en la validación de entrada que causa la vulnerabilidad y se manifiesta durante la ejecución de secuencias transversales de directorio dentro de la API REST de vRNI. Un atacante desde una ubicación remota puede acceder a archivos arbitrarios en el sistema enviando una solicitud HTTP cuidadosamente diseñada. Debido a esta vulnerabilidad un atacante externo podría potencialmente llevar a cabo ataques transversales de directorio.
2) CONTROL DE ACCESO INADECUADO
Riesgo: Crítico
CVE-ID: CVE-2022-31704
Debido a la vulnerabilidad, un atacante externo puede obtener acceso al sistema comprometido. Debido a que se implementaron límites de acceso inadecuados la vulnerabilidad aún persiste. Un atacante externo puede eludir las restricciones de seguridad que se han establecido y ejecutar código arbitrario en el sistema.
3) DESERIALIZACIÓN DE DATOS NO CONFIABLES
Riesgo: Medio
CVE-ID: CVE-2022-31710
Un usuario remoto no autorizado puede llevar a cabo un ataque de denegación de servicio (DoS) debido a la vulnerabilidad. Al procesar datos serializados la validación de entrada no era lo suficientemente segura lo que condujo a la vulnerabilidad. Se puede llevar a cabo un ataque de denegación de servicio (DoS) contra una aplicación enviándole datos especialmente preparados mientras el atacante se encuentra en una ubicación remota y no está autorizado.
4) DIVULGACIÓN DE INFORMACIÓN
Riesgo: Medio
CVE-ID: CVE-2022-31711
Debido a la vulnerabilidad, un atacante fuera del sitio podría obtener acceso a información que podría considerarse confidencial. El programa genera una enorme cantidad de datos, que es la causa raíz de la vulnerabilidad. Un atacante que opera desde una ubicación distante tiene la capacidad de obtener acceso no autorizado a datos confidenciales de aplicaciones y sesiones.
vRealize Log Insight: las versiones 8.0.0 a 8.10 son las que son vulnerables a los ataques. Descarga e instala la actualización desde el sitio web de la empresa .
Aunque la compañía no publicó un aviso o anuncio oficial en su sitio web, los clientes afectados recibieron correos electrónicos con detalles sobre el incidente de seguridad.
Zendesk afirma que como resultado del ataque los actores de amenazas tuvieron acceso a datos no estructurados de una plataforma de registro durante un mes entre el 25 de septiembre y el 26 de octubre de 2022.
El 25 de octubre de 2022 Zendesk un proveedor de soluciones de servicio al cliente, vio comprometida su seguridad como resultado de una sofisticada campaña de phishing por SMS dirigida a sus empleados.
Como resultado del compromiso de las credenciales de la cuenta de los empleados, el actor de amenazas tuvo acceso a datos no estructurados de una plataforma de registro durante un mes entre el 25 de septiembre y el 26 de octubre de 2022.
Aunque la compañía no publicó un aviso o anuncio oficial en su sitio web los clientes afectados recibieron correos electrónicos con detalles sobre el incidente de seguridad.
Coinigy, un proveedor de servicios de billetera virtual, estuvo entre los afectados y, por lo tanto, recibió un correo electrónico del soporte de Zendesk el 13 de enero de 2023. La publicación de Coinigy sobre el compromiso explicaba que sintieron la necesidad de revelarlo a sus clientes e hicieron que se enviara el correo electrónico. por el público de Zendesk.
“Zendesk determinó que los datos de servicio que pertenecen a su cuenta coiningy.zendesk.com pueden haber estado en los datos de la plataforma de registro no estructurada (expuesta)”, explicó el correo electrónico de Zendesk. “No hay evidencia que sugiera que el actor de amenazas accedió a la instancia de Zendesk de su cuenta coiningy.zendesk.com en ningún momento”.
Aunque Coinigy fue informado del incidente en enero de 2023, parece que Zendesk notificó a otras víctimas mucho antes. Kraken un intercambio de Bitcoin y criptomonedas, informó a sus clientes sobre la violación de Zendesk en noviembre.
Kraken declaró que los atacantes vieron el contenido de los tickets de soporte, que incluían información como nombres, direcciones de correo electrónico, fechas de nacimiento y números de teléfono. El intercambio agregó además que las cuentas y los fondos no estaban en riesgo.
Los desarrolladores de CakePHP han parcheado una vulnerabilidad crítica que puede ser explotada por un atacante remoto para la inyección de SQL, escribió un investigador en los avisos de Github.
Con millones de descargas, CakePHP es un marco de desarrollo rápido para PHP que utiliza patrones de diseño comúnmente conocidos como asignación de datos asociativos, controlador frontal y MVC. Nuestro objetivo principal es proporcionar un marco estructurado que permita a los usuarios de PHP en todos los niveles desarrollar rápidamente aplicaciones web sólidas sin pérdida de flexibilidad.
Registrado como CVE-2023-22727 (puntuación de Github CVSS de 9.8), CakePHP es vulnerable a la inyección SQL, causada por datos de solicitud de usuario no desinfectados en `Cake\Database\Query::limit()` y `Cake\Database\Query Métodos ::offset()` . Un atacante remoto podría enviar declaraciones SQL especialmente diseñadas al sistema, lo que podría permitirle leer o modificar cualquier dato en la base de datos subyacente o elevar sus privilegios.
El investigador Markstory no ha revelado los detalles técnicos de la vulnerabilidad .
El CVE-2023-22727 fue parcheado por los desarrolladores de CakePHP el 6 de enero con el lanzamiento de las versiones 4.2.12, 4.3.11 y 4.4.10. La versión 4.2.0 anterior a la 4.2.12, la versión 4.3.0 anterior a la 4.3.11 y la versión 4.4.0 anterior a la 4.4.10 se ven afectadas.
Se recomienda a los usuarios que actualicen a la última versión. Los usuarios que no puedan actualizar pueden mitigar esta vulnerabilidad utilizando la biblioteca de paginación de CakePHP. La validación manual o conversión de parámetros a estos métodos también mitigará la vulnerabilidad
Se advierte a los jugadores de PC de GTA Online sobre un nuevo ataque remoto en el que los hackers pueden modificar su personaje, eliminar estadísticas y prohibir o eliminar la cuenta.
Según Speyedr miembro de la comunidad de GTA y desarrollador web hay una solución temporal disponible a través de un firewall personalizado pero es mejor jugar en una sesión bloqueada.
Grand Theft Auto de Rockstar Games, GTA Online en PC Los jugadores deben tener cuidado al jugar porque ha surgido un nuevo exploit de ejecución remota de código/RCE, que permite a los hackers obtener el control total de sus cuentas.
Este exploit permite a los atacantes modificar tu personaje, editar/eliminar estadísticas y prohibir o eliminar la cuenta.
La cuenta de noticias no oficial de Rockstar, Tez2, compartió la noticia en Twitter después de enterarse por uno de sus seguidores que las cuentas de los jugadores de PC estaban siendo hackeadas e incluso prohibidas en el juego en línea.
Según se informa, la ola de hackeo comenzó en diciembre de 2022. Tez2 volvió a publicar su tweet de firewall original y recomendó que los jugadores usaran el programa que desarrollaron.
Dado que GTA Online es un juego multijugador, la mayoría de sus sistemas están basados en servidores. Cuando los detalles de la cuenta del cliente se almacenan en el lado del servidor la información del jugador no se puede modificar desde las PC.
Pero los exploits pueden eludir este mecanismo y manipular los datos enviados al servidor desde el cliente de un jugador. Aunque hay algunas correcciones no hay ningún método disponible para ayudarlo a evitar convertirse en el objetivo de este exploit. Cualquiera que inicie sesión en el juego puede ser hackeado.
#GTAOnline Warning Update:
The exploit is partial remote code execution.
Paid mod menus are racing as speak to abuse this to the further extent.
This could transform into something much worse to extend beyond a game and affect your PC. https://t.co/eDtVrOGXQn
Según Speyedr miembro de la comunidad de GTA y desarrollador web, hay una solución temporal disponible a través de un firewall personalizado pero es mejor jugar en una sesión bloqueada. Speyedr también afirmó que esta protección adicional podría no garantizar una seguridad integral. Por lo tanto, los usuarios deben eliminar sus partes de GitHub. Y los jugadores de GTA Online en PC también deben evitar iniciar sesión en el juego.
GTA Online se convierte con frecuencia en blanco de delitos cibernéticos por ser uno de los juegos en línea más famosos del mundo. Sin embargo, el último incidente no tiene precedentes ya que amenaza las cuentas de los jugadores y sus computadoras. Según Tez2, los usuarios afectados por este ‘exploit extremo’ quedarán ‘indefinidamente’ atrapados en las nubes si intentan iniciar sesión después de que se complete el hackeo.
This is how it looks like if your account gets "corrupted" due to the recent RCE exploit on PC. Basically you'll get stuck in the clouds indefinitely when trying to enter online.
“Han aparecido nuevos exploits extremos que permiten a los tramposos agregar/eliminar/modificar sus estadísticas de forma remota y corromper permanentemente su cuenta, también conocida como prohibición/eliminación. ¡Evite jugar sin una regla de firewall o jugar en absoluto!” Tez2 tuiteó.
Los jugadores han expresado su incredulidad y disgusto por la noticia. En Reddit donde las comunidades del juego tienen más de 1,4 millones de miembros, los usuarios proponen boicotear el juego hasta que Rockstar Games resuelva definitivamente el hackeo y la modificación y la modificación.
Rockstar está al tanto del problema y está registrando las cuentas afectadas. Sin embargo la compañía no emitió una respuesta ni adoptó un enfoque agresivo para lidiar con el exploit.
El Protocolo de Internet (IP) es el protocolo que utiliza la gran mayoría de los dispositivos en red para comunicarse. La versión 6 de IP a menudo conocida como IPv6 es la versión más reciente del Protocolo de Internet (IP) y tiene muchos beneficios sobre su predecesora, la versión 4 de IP (IPv4). Lo que es más importante el espacio de direcciones proporcionado por IPv4 es insuficiente para manejar la creciente cantidad de dispositivos en red que requieren direcciones IP enrutables mientras que IPv6 ofrece un amplio espacio de direcciones que puede satisfacer tanto las demandas actuales como las que puedan surgir en el futuro.
Aunque IPv6 tendrá un mayor impacto en algunas tecnologías como la infraestructura de red que en otras casi todas las piezas de hardware y software en red se verán afectadas de alguna manera. Como consecuencia de esto IPv6 tiene una amplia gama de efectos en la ciberseguridad todos los cuales deben ser abordados por las empresas con sumo cuidado.
Las preocupaciones de seguridad de IPv6 son bastante comparables a las preocupaciones de seguridad de IPv4. Es decir los procedimientos de seguridad que se usan con IPv4 normalmente se deben usar para IPv6, con los cambios necesarios para manejar las variaciones que están presentes en IPv6. En la mayoría de los casos, las redes que son nuevas en IPv6 o aquellas que se encuentran en las etapas iniciales de la transición a IPv6 son las que experimentarán los primeros problemas de seguridad relacionados con una implementación de IPv6.
Estas redes no están maduras en cuanto a sus configuraciones de IPv6 y las tecnologías utilizadas para la seguridad de la red. Lo que es más importante no tienen suficiente experiencia general en el protocolo IPv6 entre sus administradores. Debido a la superficie de ataque ampliada que conlleva tener tanto IPv4 como IPv6 las redes de doble pila, que ejecutan tanto IPv4 como IPv6 al mismo tiempo tienen vulnerabilidades de seguridad adicionales. Como resultado, se requieren contramedidas adicionales para reducir estos riesgos a fin de mantener seguros a los usuarios.
La seguridad general de la red está fuertemente influenciada por el diseño de la red así como por la competencia de las personas que configuran y operan una implementación de IPv6. Como consecuencia directa de esto la postura de seguridad real de una implementación de IPv6 puede diferir de una instancia a otra.
Vulnerabilidades de seguridad sobre IPV6 y algunas sugerencias
Lo siguiente es lo que la Agencia de Seguridad Nacional ( NSA ) sugiere que haga para tener un buen comienzo con la instalación de redes IPv6 y los posibles riesgos de seguridad que presentan:
Configuración automática
La configuración automática de direcciones sin estado a menudo conocida como SLAAC, es un enfoque automatizado que permite que un host se asigne automáticamente una dirección IPv6. Puede ser preferible utilizar direcciones estáticas en determinadas circunstancias como cuando se configuran servidores esenciales; sin embargo a menudo es más sencillo permitir que los dispositivos se autoasignen automáticamente o soliciten una dirección IPv6 de forma dinámica. Los ejemplos de tales circunstancias incluyen: Un host en SLAAC es responsable de configurar su propia dirección de red mediante el uso de un prefijo de red que se obtuvo de un enrutador. La información de la dirección de control de acceso a medios (MAC) se toma de la interfaz de red y se incluye en la dirección IPv6 emitida. Esto puede hacer posible que el host se identifique mediante la identificación de la interfaz, la tarjeta de interfaz de red o el proveedor del host. Esto plantea problemas de privacidad ya que permite vincular movimientos a un elemento en particular y permite inferir la identidad de una persona que está afiliada a ese equipo. Además revela los tipos de dispositivos que se utilizan dentro de una red. La Agencia de Seguridad Nacional (NSA) sugiere usar un servidor de protocolo de configuración dinámica de host versión 6 (DHCPv6) para proporcionar direcciones IP a los hosts como una solución a la vulnerabilidad de privacidad de SLAAC. Esta vulnerabilidad también se puede resolver mediante el uso de una ID de interfaz generada aleatoriamente como se describe en RFC 4941: Extensiones de privacidad para la configuración automática de direcciones sin estado en IPv6 que cambia a lo largo del tiempo, lo que hace imposible vincular la actividad y al mismo tiempo proporciona a los defensores de la red la visibilidad que necesitan
Túneles Automáticos
La tunelización es un mecanismo de transición que permite transferir o canalizar un protocolo a otro protocolo. La tunelización se puede realizar dentro de otro protocolo. Por ejemplo, se puede usar un túnel para mover paquetes IPv6 dentro de paquetes IPv4 mientras se transportan. La tunelización puede ser el método que emplea una red para conectarse a Internet. Además, algunos dispositivos y aplicaciones podrían construirse para tunelizar datos IPv6. Cuando un cliente se conecta a un servidor, algunos sistemas operativos pueden construir automáticamente un túnel IPv6. Esto podría resultar en un punto de acceso no deseado al host.
Si los túneles de transición no son necesarios, la Agencia de Seguridad Nacional (NSA) recomienda eliminar los túneles por completo para reducir la complejidad y la superficie de ataque que brindan. Configure los dispositivos de seguridad que se colocan alrededor del perímetro para detectar y evitar el uso de protocolos de tunelización como mecanismos de transición. Además se recomienda deshabilitar los protocolos de tunelización como 6to4, ISATAP, Teredo y otros en todos los dispositivos siempre que sea factible hacerlo. Se pueden permitir protocolos de tunelización si es necesario hacerlo durante una transición; sin embargo su uso debe restringirse a aquellos sistemas que hayan sido pre-aprobados, durante los cuales su uso sea fácilmente comprensible y en los que estén expresamente establecidos.
Doble Pila
Se dice que existe un entorno de doble pila presente cuando los dispositivos ejecutan simultáneamente los protocolos IPv4 e IPv6. Esta es la estrategia que se recomienda para el despliegue de IPv6 por fases; sin embargo, puede ser más costoso y generalmente da como resultado un aumento en la superficie de ataque. Este método proporciona un método de transición a IPv6 porque permite que los dispositivos usen IPv6 para comunicaciones compatibles con IPv6 mientras mantienen la capacidad de usar IPv4 para comunicaciones que no admiten IPv6. En otras palabras, permite que los dispositivos usen IPv6 para comunicaciones que admitan IPv6 mientras mantienen la capacidad de usar IPv4 para comunicaciones que no admiten IPv. Un entorno de doble pila migrará a operaciones centradas en IPv6 a medida que aumentan las implementaciones de IPv6.
Las organizaciones deben crear métodos de ciberseguridad IPv6 que alcancen la paridad con los mecanismos IPv4 existentes o mejores antes de adoptar una red de doble pila. Se debe crear un mecanismo de seguridad coincidente para IPv6 para cualquier mecanismo de seguridad que se establezca para IPv4, y el mecanismo de IPv6 debe abordar cualquier diferencia que sea específica de IPv6. [5] Por ejemplo, las reglas para el firewall que filtran los protocolos de nivel superior (como TCP o UDP, por ejemplo) deben implementarse en los protocolos IPv6 e IPv4 simultáneamente. Existen muchas técnicas de seguridad de red actuales que admiten tanto IPv4 como IPv6, pero los administradores deben asegurarse de que los productos individuales sean compatibles entre sí. Además,
Hosts que incluyen más de una dirección IPV6
IPv6 permite que se emitan muchas direcciones de red a una sola interfaz, en contraste con el modelo de dirección única de IPv4.
En comparación con tener una sola dirección, tener muchas direcciones da como resultado una superficie de ataque más grande. El proceso de generar reglas de filtrado o listas de control de acceso (ACL) puede ser difícil a veces. Para que tenga éxito, es necesario que los cortafuegos y otros dispositivos de seguridad intermediarios tengan un conocimiento completo de todas las direcciones.
Revise las Listas de control de acceso (ACL) con mucho cuidado para verificar que estén configuradas para rechazar todo el tráfico de manera predeterminada. Esto garantizará que solo se permita el tráfico procedente de direcciones autorizadas a través de los cortafuegos y cualquier otro dispositivo de seguridad. Asegúrese de que se registre cada parte del tráfico y verifique los registros con regularidad para verificar que el tráfico permitido cumpla con las normas de la empresa.
Capacitación en IPV6
Una comprensión básica de las formas en que funcionan IPv4 e IPv6, además de las distinciones entre los dos protocolos, es una necesidad mínima para proteger adecuadamente una red IPv6. La ausencia de esta información puede resultar en configuraciones incorrectas de IPv6. Los dispositivos habilitados para IPv6 que se configuraron incorrectamente (como consecuencia de un error en la configuración) pueden exponer vulnerabilidades, lo que hace que los dispositivos sean más susceptibles de verse comprometidos.
Lo más importante que debe hacer para mantener y mejorar la seguridad de IPv6 en una red es familiarizarse con el protocolo IPv6 y comprender bien cómo configurar correctamente IPv6. La Agencia de Seguridad Nacional (NSA) sugiere que sea un requisito que todos los administradores de red tengan suficiente conocimiento y capacitación para ejecutar redes IPv6 de manera efectiva.
Aunque existen argumentos convincentes a favor de cambiar de IPv4 a IPv6, la seguridad no es la razón principal para hacerlo. Hay vulnerabilidades de seguridad asociados con IPv6 y se enfrentarán; sin embargo, estos riesgos deben abordarse mediante una combinación de consejos de configuración que se implementen rigurosamente y capacitación para los propietarios y administradores del sistema durante la transición. La siguiente es una lista de cosas adicionales a tener en cuenta al intentar proteger las redes IPv6, además de las posibles vulnerabilidades de seguridad que se discutieron anteriormente:
Utilice el sistema de nombre de dominio dividido (DNS Dividido)
Se agregó un nuevo registro AAAA que proporciona direcciones IPv6 al Sistema de nombres de dominio (DNS) que proporciona direcciones IPv6 además del registro A que proporciona direcciones IPv4. Esta expansión se realizó para IPv6.
Como consecuencia de esto, una implementación de un DNS de doble pila podría necesitar manejar entradas A y AAAA. Existe la posibilidad de que se incluya información confidencial en los registros AAAA para hosts internos como resultado del SLAAC y otros procesos. Una configuración de DNS dividido utiliza dos servidores DNS distintos, uno para la red externa y otro para la red interna. Estos servidores están configurados para el mismo dominio. El propósito de un DNS dividido, a diferencia de un DNS único, es aumentar tanto la seguridad como la privacidad al evitar la divulgación accidental de información confidencial contenida en un registro de DNS que se envía desde una red interna a una red externa. Esto se logra separando la red interna de Internet. La NSA sugiere usar DNS dividido para configuraciones de red IPv4 e IPv6.
Filtrar el tráfico IPV6 (Protección de Límites)
Se recomienda filtrar el tráfico IPv6 de acuerdo con la normativa de red de la empresa. Cualquier tráfico IPv6, incluido el IPv6 que se tuneliza en IPv4, debe ser bloqueado en el borde de la red por una red que aún no haya implementado IPv6. Una red que ha implementado IPv6 solo debe admitir tráfico IPv6 aprobado por política. Las listas de control de autorización (ACL) solo deben permitir flujos y protocolos autorizados, y deben bloquear el resto del tráfico de forma predeterminada. Aunque la política de filtrado de IPv6 podría modelarse a partir de una política de IPv4 existente, la política de IPv6 debe tener en cuenta las vulnerabilidades que son exclusivas de IPv6. Además, la estrategia de filtrado debe tener en cuenta el hecho de que el Protocolo de mensajes de control de Internet para IPv6 (ICMPv6) es más vital para las comunicaciones sobre IPv6 que su contraparte,
Aunque el mensaje coincidente en ICMP para IPv4 esté bloqueado, es posible que sea necesario permitir algunos mensajes ICMPv6, como el descubrimiento de vecinos y la publicidad de enrutadores.
Mantenga la conexión local segura
IPv6 describe las operaciones de una red que se llevan a cabo en la conexión local. La resolución de direcciones en la capa de enlace, la detección de enrutadores y la configuración automática de direcciones sin estado se incluyen en esta categoría. IPv6 tiene procedimientos de enlace local más complicados que IPv4, lo que da como resultado una superficie de ataque más grande. Como resultado, cualquier medida preventiva adecuada (como la protección de anuncio de enrutador (RA)), el protocolo de configuración dinámica de host para IPv6 (DHCPv6) se podría considerar para proteger contra mensajes RA no autorizados para proteger contra servidores DHCPv6 no autorizados proporcionados por conmutadores y enrutadores. .
Evite hacer cualquier cosa que involucre direcciones de red o traducción de protocolos
Las redes que solo utilizan IPv6 probablemente implementarán la traducción para comunicarse con otras redes que aún no admiten IPv6, como NAT64/DNS64 (traducción de direcciones de red entre hosts IPv6 y servidores IPv4 y síntesis de registros AAAA de DNS a partir de registros A) o 464XLAT (traducción de direcciones de red entre hosts IPv6 y servidores IPv4). entre direcciones privadas IPv4, direcciones IPv6 y direcciones globales IPv4). Aumentará el número de instalaciones que utilizan únicamente IPv6, lo que conducirá a una reducción en la necesidad de traducción. Eventualmente, las funciones de traducción no serán necesarias en absoluto y podrán ser eliminadas.
En general, no se debe emplear la traducción de direcciones; las únicas excepciones a esta regla son las redes solo IPv6 que utilizan NAT64/DNS64 o 464XLAT. Un número significativo de redes IPv4, en particular, hacen uso de NAT, más especialmente NAT44, para traducir entre direcciones internas y externas. Por otro lado, las redes IPv6 deberían hacer uso de direcciones globales en todos los sistemas que requieran conexiones externas, y deberían hacer uso de direcciones no enrutables dentro de la propia red. Cualquier sistema que tenga que comunicarse con el mundo exterior debe tener una dirección global además de su dirección local única, en el caso de que los sistemas internos empleen direcciones locales únicas.
