Archive for October 21, 2019

Avast, NordVPN Breaches Tied to Phantom User Accounts

October 21, 2019 Leave a comment

Antivirus and security giant Avast and virtual private networking (VPN) software provider NordVPN each today disclosed months-long network intrusions that — while otherwise unrelated — shared a common cause: Forgotten or unknown user accounts that granted remote access to internal systems with little more than a password.

Based in the Czech Republic, Avast bills itself as the most popular antivirus vendor on the market, with over 435 million users. In a blog post today, Avast said it detected and addressed a breach lasting between May and October 2019 that appeared to target users of its CCleaner application, a popular Microsoft Windows cleanup and repair utility.

Avast said it took CCleaner downloads offline in September to check the integrity of the code and ensure it hadn’t been injected with malware. The company also said it invalidated the certificates used to sign previous versions of the software and pushed out a re-signed clean update of the product via automatic update on October 15. It then disabled and reset all internal user credentials.

“Having taken all these precautions, we are confident to say that our CCleaner users are protected and unaffected,” Avast’s Jaya Baloo wrote.

This is not the first so-called “supply chain” attack on Avast: In September 2018, researchers at Cisco Talos and Morphisec disclosed that hackers had compromised the computer cleanup tool for more than a month, leading to some 2.27 million downloads of the corrupt CCleaner version.

Avast said the intrusion began when attackers used stolen credentials for a VPN service that was configured to connect to its internal network, and that the attackers were not challenged with any sort of multi-factor authentication — such as a one-time code generated by a mobile app.

“We found that the internal network was successfully accessed with compromised credentials through a temporary VPN profile that had erroneously been kept enabled and did not require 2FA,” Baloo wrote.


Separately, NordVPN, a virtual private networking services that promises to “protect your privacy online,” confirmed reports that it had been hacked. Today’s acknowledgment and blog post mortem from Nord comes just hours after it emerged that NordVPN had an expired internal private key exposed, potentially allowing anyone to spin out their own servers imitating NordVPN,” writes Zack Whittaker at TechCrunch.

VPN software creates an encrypted tunnel between your computer and the VPN provider, effectively blocking your ISP or anyone else on the network (aside from you and the VPN provider) from being able to tell which sites you are visiting or viewing the contents of your communications. This can offer a measure of anonymity, but the user also is placing a great deal of trust in that VPN service not to get hacked and expose this sensitive browsing data.

NordVPN’s account seems to downplay the intrusion, saying while the attackers could have used the private keys to intercept and view traffic for some of its customers’ traffic, the attackers would have been limited to eavesdropping on communications routing through just one of the company’s more than 3,000 servers.

“The server itself did not contain any user activity logs; none of our applications send user-created credentials for authentication, so usernames and passwords couldn’t have been intercepted either,” reads the NordVPN blog post. “On the same note, the only possible way to abuse the website traffic was by performing a personalized and complicated man-in-the-middle attack to intercept a single connection that tried to access NordVPN.”

NordVPN said the intrusion happened in March 2018 at one of its datacenters in Finland, noting that “the attacker gained access to the server by exploiting an insecure remote management system left by the datacenter provider while we were unaware that such a system existed.” NordVPN declined to name the datacenter provider, but said the provider removed the remote management account without notifying them on March 20, 2018.

“When we learned about the vulnerability the datacenter had a few months back, we immediately terminated the contract with the server provider and shredded all the servers we had been renting from them,” the company said. “We did not disclose the exploit immediately because we had to make sure that none of our infrastructure could be prone to similar issues. This couldn’t be done quickly due to the huge amount of servers and the complexity of our infrastructure.”

This page might need to be updated.

TechCrunch took NordVPN to task on the somewhat dismissive tone of its breach disclosure, noting that the company suffered a significant breach that went undetected for more than a year.

Kenneth White, director of the Open Crypto Audit Project, said on Twitter that based on the dumped Pastebin logs detailing the extent of the intrusion, “the attacker had full remote admin on their Finland node containers.”

“That’s God Mode folks,” White wrote. “And they didn’t log and didn’t detect it. I’d treat all their claims with great skepticism.”


Many readers are curious about whether they should enshroud all of their online communications by using a VPN. However, it’s important to understand the limitations of this technology, and to take the time to research providers before entrusting them with virtually all your browsing data — and possibly even compounding your privacy woes in the process. For a breakdown on what you should keep in mind when considering a VPN service, see this post.

Forgotten user accounts that provide remote access to internal systems — such as VPN and Remote Desktop services (RDP) — have been a persistent source of data breaches for years. Thousands of small to mid-sized brick-and-mortar businesses have been relieved of millions of customer payment card records over the years when their hacked IT contractors used the same remote access credentials at each client location.

Almost all of these breaches could have been stopped by requiring a second form of authentication in addition to a password, which can easily be stolen or phished.

The persistent supply chain attack against Avast brings to mind something I was considering the other day about the wisdom of allowing certain software to auto-update itself whenever it pleases. I’d heard from a reader who was lamenting the demise of programs like Secunia’s Personal Software Inspector and FileHippo, which allowed users to automatically download and install available updates for a broad range of third-party Windows programs.

These days, I find myself seeking out and turning off any auto-update functions in software that I install. I’d rather be alerted to new updates when I launch the program and have the ability to review what’s changing and whether anyone has experienced issues with the new version. I guess you could say years of dealing with unexpected surprises on Microsoft Patch Tuesdays has cured me of any sort of affinity I may have once had for auto-update features.

from Krebs on Security

Russian Hackers Using Iranian APT’s Infrastructure in Widespread Attacks

October 21, 2019 Leave a comment

New advisory from the UK’s NCSC and the NSA throws fresh light on activity first revealed by Symantec in June.

from Dark Reading:

Opinión impopular: yo no creo que el Samsung Galaxy Fold cueste demasiado, y os lo demostraré

October 21, 2019 Leave a comment

En un futuro no muy lejano, cuando los móviles plegables sean mayoría en nuestros bolsillos, podremos recordar que fue el curso 2019 el que nos los acercó a nuestras vidas, y es que finalmente, no sin los problemas de juventud y cuidados específicos característicos de novedosas tecnologías como esta, los primeros teléfonos plegables con panel OLED flexible empiezan a llegar a las tiendas a precios estratosféricos… ¿O no tan estratosféricos?

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Opinión impopular: yo no creo que el Samsung Galaxy Fold cueste demasiado, y os lo demostraré se publicó primero en Andro4all.

from Andro4all

Categories: Internet Tags: , ,

Ya disponible la nueva versión del administrador de paquetes Pacman 5.2

October 21, 2019 Leave a comment


La semana pasada hablábamos sobre la noticia que dieron a conocer los desarrolladores de Arch Linux de incluir el soporte para el algoritmo de compresión zstd a partir de la versión de Pacman 5.2. Y bien justamente hace pocas horas fue liberada la nueva versión del administrador de paquetes Pacman 5.2

Para quienes desconozcan de Pacman, deben saber que este es el gestor de paquetes de Arch Linux, es capaz de resolver las dependencias, y descargar e instalar automáticamente todos los paquetes necesarios. En teoría, el usuario solo necesita ejecutar una única orden para actualizar por completo el sistema.

Pacman utiliza archivos empaquetados en tar y comprimidos en gzip o xz para todos los paquetes, cada uno de los cuales contiene binarios compilados. Los paquetes son descargados a través de FTP, también se puede utilizar HTTP y archivos locales, dependiendo de cómo esté configurado cada repositorio. Cumple con Linux Arch Build System (ABS) utilizados para crear los paquetes desde el código fuente.

Principales novedades de Pacman 5.2

Con el lanzamiento de esta nueva versión de Pacman 5.2, podremos encontrar que como una de las novedades más destacadas es la inclusión del algoritmo zstd que, en comparación con el algoritmo “xz”, acelerará la compresión y el desempaquetado de paquetes, al tiempo que preserva el nivel de compresión.

Junto con lo cual se agregó la capacidad de conectar los gestores a makepkg para descargar paquetes fuente y verificar mediante firma digital. Además también se añadió soporte para la compresión de paquetes usando los algoritmos lzip y lz4.

Para el caso de Repo-add, se destaca el soporte añadido para la compresión de la base de datos usando zstd. En un futuro próximo, Arch Linux espera una transición predeterminada al uso de zstd.

Otro de los cambios en Pacman 5.2 es que se eliminó por completo la compatibilidad con las actualizaciones delta, lo que le permite descargar solo los cambios. La capacidad se ha eliminado debido a una vulnerabilidad (CVE-2019-18183), que permite ejecutar comandos arbitrarios en el sistema cuando se utilizan bases de datos sin firmar.

Para un ataque, es necesario que el usuario descargue los archivos preparados por el atacante con la base de datos y la actualización delta. El soporte para actualizaciones delta estaba deshabilitado de manera predeterminada y no se usaba ampliamente. En el futuro, se planea reescribir completamente la implementación de actualizaciones delta.

Por otro lado también se destaca el soporte para descargar claves PGP utilizando Web Key Directory (WKD), cuya esencia es colocar claves públicas en la web con un enlace al dominio especificado en la dirección de correo.

Otro de los cambios que vale la pena tomar en cuenta, es que en esta nueva versión de Pacman 5.2 se eliminó la opción “–force” dado que con su uso puede ocurrir la posibilidad de tener problemas con las dependencias. Ahora en su lugar de se ofrece la opción “–overwrite” que reflejara con mayor precisión.

Mientras que para los resultados de búsqueda de archivos con la opción “-F” proporcionan información ampliada, como el grupo de paquetes y el estado de la instalación.

Finalmente también vale la pena mencionar que con la liberación de Pacman 5.2, una vulnerabilidad se ha corregido en el controlador de comandos XferCommand (CVE-2019-18182), que permite un ataque MITM y una base de datos sin firmar para lograr la ejecución de sus comandos en el sistema.

Y que con Pacman 5.2 es posible construir usando el sistema Meson en lugar de Autotools. En la próxima versión, Meson reemplazará por completo a Autotools.

Actualizar Pacman a la nueva versión

En estos momentos en el que fue escrito el articulo la nueva versión de Pacman aún no ha sido liberada en los repositorios de Arch Linux, por lo que la única manera de tener esta nueva versión de Pacman 5.2 en nuestro sistema es descargando y compilando el código fuente de este en nuestro equipo.

Para los aventureros que gustan de las compilaciones, pueden obtener el código de Pacman 5.2 desde el siguiente enlace.

Mientras tanto para los demás, toca esperar a la notificación en Octopi o esperar a que se refleje la actualización dentro de los repositorios de Arch Linux.

from Linux Adictos

Categories: Internet, Linux Tags: , ,

Firefox 70 ya esta disponible para descargar, conoce sus novedades

October 21, 2019 Leave a comment

La nueva versión del popular navegador web Firefox 70 acaba de ser liberada al público en general, con lo cual esta nueva versión llega con varias novedades de las cuales una de ellas es el modo oscuro que se ha incorporado de manera predeterminada al navegador, así como la llegada del nuevo icono del navegador, entre otras cosas más.

A pesar de tratarse de una nueva versión del navegador, Firefox 70 no llega con un gran listado de novedades, pero si algunas bastante interesantes. Esta nueva versión ya se encuentra disponible para ser descargada e instalada para los diferentes sistemas operativos.

Principales novedades de Firefox 70

Con la llegada de esta nueva versión del navegador web, Firefox 70, una de sus principales novedades que se destacan y que se pueden notar justo después de haber actualizado su versión anterior del navegador o de haber instalado, es el modo oscuro que se ha incluido de manera predeterminada al navegador, con lo cual los usuarios ya no tendrán que activar de manera manual este modo y de esta forma Firefox se une a esta tendencia.

Aun que para quienes no les guste este modo pueden quitarlo dirigiéndose a “about:config” y en las opciones buscamos “” y cambiamos a “disable“.


Otro de los cambios que encontraremos dentro de la nueva versión de Firefox 70 es la barra de direcciones, pues aquí podremos ver que las páginas abiertas muestran un icono en lugar del botón “(i)”, donde podemos ver que se muestra un indicador del nivel de seguridad de la conexión. Esto permite evaluar el estado de los modos de bloqueo de código para los scripts de minería de criptomonedas, así como de “Fingerprint”

Además también la información sobre el certificado EV se elimino en el menú desplegable. Para devolver la visualización de información sobre el certificado EV en la barra de direcciones, se agregó la opción “security.identityblock.show_extended_validation” en “about: config“.

De los demás cambios que se destacan en Firefox 70:

  • WebRender está habilitado de forma predeterminada para escritorios de Windows con gráficos integrados de Intel para dispositivos de baja resolución.
  • Se han eliminado las propiedades del tema de alias, lo que puede afectar algunos temas
  • El menú de la barra de herramientas Cuentas de Firefox se ha actualizado y reorganizado para proporcionar un acceso más rápido a las funciones y servicios de la cuenta.
  • El panel de accesibilidad de la herramienta para desarrolladores ahora incluye una auditoría de teclado y un simulador de color para sistemas con capacidades habilitadas para WebRender.
  • En macOS, el consumo de energía fue significativamente reducido con un compositor más eficiente

¿Como instalar o actualizar la nueva versión de Firefox 70 en Linux?

Para quienes estén interesados en poder instalar esta nueva versión de Firefox o de actualizar a ella, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.

Es importante mencionar que la mayoría de las distribuciones de Linux cuentan con el paquete de Firefox dentro de sus repositorios, por lo que la disponibilidad de esta nueva versión puede tardar algunos días.

Sin embargo es posible poder obtener esta nueva versión de una forma más rápida. Tal es el caso para los usuarios de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, pueden instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y 
sudo apt-get update

Hecho esto ahora solo tienen que instalar con:

sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -Syu

O para instalar con:

sudo pacman -S firefox

Finalmente para aquellos que prefieren del uso de los paquetes Snap, podrán instalar la nueva version en cuanto sea liberada en los repositorios de Snap.

Pero pueden obtener el paquete directamente desde el FTP de Mozilla. Con ayuda de una terminal tecleando el siguiente comando:


Y para instalar el paquete solo tecleamos:

sudo snap install firefox-70.0.snap

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.

from Linux Adictos

Categories: Internet, Linux Tags: , ,

Microsoft Aims to Block Firmware Attacks with New Secured-Core PCs

October 21, 2019 Leave a comment

Partnerships with Intel, Qualcomm, and AMD will bring a new layer of device security that alters the boot process to detect firmware compromise.

from Dark Reading:

Facebook Lays On the Charm for Its Libra Cryptocurrency Plan by CECILIA KANG and NATHANIEL POPPER

October 21, 2019 Leave a comment


Executives fanned out in Washington to court lawmakers and regulators. Mark Zuckerberg is expected to testify about Libra this week before the House.

Published: October 20, 2019 at 07:00PM

from NYT Technology

Categories: Internet Tags: ,