Daily Archives: December 19, 2022

Hacked Ring Cams Used to Record Swatting Victims

Posted on by

Photo: BrandonKleinPhoto / Shutterstock.com

Two U.S. men have been charged with hacking into the Ring home security cameras of a dozen random people and then “swatting” them — falsely reporting a violent incident at the target’s address to trick local police into responding with force. Prosecutors say the duo used the compromised Ring devices to stream live video footage on social media of police raiding their targets’ homes, and to taunt authorities when they arrived.

Prosecutors in Los Angeles allege 20-year-old James Thomas Andrew McCarty, a.k.a. “Aspertaine,” of Charlotte, N.C., and Kya Christian Nelson, a.k.a. “ChumLul,” 22, of Racine, Wisc., conspired to hack into Yahoo email accounts belonging to victims in the United States. From there, the two allegedly would check how many of those Yahoo accounts were associated with Ring accounts, and then target people who used the same password for both accounts.

An indictment unsealed this week says that in the span of just one week in November 2020, McCarty and Nelson identified and swatted at least a dozen different victims across the country.

“The defendants then allegedly accessed without authorization the victims’ Ring devices and transmitted the audio and video from those devices on social media during the police response,” reads a statement from Martin Estrada, the U.S. Attorney for the Central District of California. “They also allegedly verbally taunted responding police officers and victims through the Ring devices during several of the incidents.”

James Thomas Andrew McCarty.

The indictment charges that McCarty continued his swatting spree in 2021 from his hometown in Kayenta, Ariz., where he called in bomb threats or phony hostage situations on more than two dozen occasions.

The Telegram and Discord aliases allegedly used by McCarty — “Aspertaine” and “Couch,” among others — correspond to an identity that was active in certain channels dedicated to SIM-swapping, a crime that involves stealing wireless phone numbers and hijacking the online financial and social media accounts tied to those numbers.

Aspertaine bragged on Discord that he’d amassed more than $330,000 in virtual currency. On Telegram, the Aspertaine/Couch alias frequented several popular SIM-swapping channels, where they initially were active as a “holder” — a low-level but key SIM-swapping group member who agrees to hold stolen cryptocurrency after an account takeover is completed. Aspertaine later claimed more direct involvement in individual SIM-swapping attacks.

In September, KrebsOnSecurity broke the news about a wide-ranging federal investigation into “violence-as-a-service” offerings on Telegram and other social media networks, wherein people can settle scores by hiring total strangers to carry out physical attacks such as brickings, shootings, and firebombings at a target’s address.

The story observed that SIM swappers were especially enamored of these “IRL” or “In Real Life” violence services, which they frequently used to target one another in response to disagreements over how stolen money should be divided amongst themselves. And a number of Aspertaine’s peers on these SIM-swapping channels claimed they’d been ripped off after Aspertaine took more than a fair share from co-conspirators.

On April 30, 2022, a member of a popular SIM-swapping group on Telegram who was slighted by Aspertaine put out the word that he was looking for some physical violence to be visited on McCarty’s address in North Carolina. “Anyone live near here and wants to [do] a job for me,” the job ad with McCarty’s home address read. “Jobs range from $1k-$50k. Payment in BTC [bitcoin].” It’s unclear if anyone responded to that job offer.

In May 2021, KrebsOnSecurity published The Wages of Password ReUse: Your Money or Your Life, which observed that when normal computer users fall into the nasty habit of recycling passwords, the result is most often some type of financial loss. Whereas, when cybercriminals reuse passwords, it often costs them their freedom.

But perhaps that story should be updated, because it’s now clear that password reuse can also put you in mortal danger. Swatting attacks are dangerous, expensive hoaxes that sometimes end in tragedy.

In June 2021, an 18-year-old serial swatter from Tennessee was sentenced to five years in prison for his role in a fraudulent swatting attack that led to the death of a 60-year-old man.

In 2019, prosecutors handed down a 20-year sentence to Tyler Barriss, a then 26-year-old serial swatter from California who admitted making a phony emergency call to police in late 2017 that led to the shooting death of an innocent Kansas man.

McCarty was arrested last week in Arizona, and charged with conspiracy to intentionally access computers without authorization. Prosecutors said Nelson is currently incarcerated in Kentucky in connection with unrelated investigation.

If convicted on the conspiracy charge, both defendants would face a statutory maximum penalty of five years in federal prison. The charge of intentionally accessing without authorization a computer carries a maximum possible sentence of five years. A conviction on the additional charge against Nelson — aggravated identity theft — carries a mandatory two-year consecutive sentence.

from Krebs on Security https://ift.tt/4CyumHc
via IFTTT

Xen 4.17 ya fue liberado y estas son sus novedades

Posted on by
Xen

Xen es un hipervisor que proporciona aislamiento seguro, control de recursos, garantías de calidad de servicio y migración de máquinas virtuales

Después de un año de desarrollo, se dio a conocer el lanzamiento de la nueva versión del hipervisor gratuito Xen 4.17, versión en la cual la formación de actualizaciones para la rama Xen 4.17 durará hasta el 12 de junio de 2024 y la publicación de correcciones de vulnerabilidades hasta el 12 de diciembre de 2025.

Cabe mencionar que empresas como Amazon, Arm, Bitdefender, Citrix, EPAM Systems y Xilinx (AMD) han contribuido al desarrollo de la nueva versión.

Principales novedades de Xen 4.17

En esta nueva versión que se presenta se destaca que se proporcionó la capacidad de definir una configuración estática de Xen para sistemas ARM que codifica por adelantado todos los recursos necesarios para iniciar los sistemas invitados. Todos los recursos, como la memoria compartida, los canales de notificación de eventos y el espacio de almacenamiento dinámico del hipervisor, se asignan previamente en el inicio del hipervisor en lugar de asignarse dinámicamente, lo que elimina la posibilidad de fallas debido a la falta de recursos.

Para los sistemas integrados basados ​​en la arquitectura ARM, se ha implementado soporte experimental (tech preview) para la virtualización de E/S usando los protocolos VirtIO, virtio-mmio se utiliza para comunicarse con el dispositivo de E/S virtual, lo que permitió garantizar la compatibilidad con una amplia gama de dispositivos VirtIO. Tambien podremos encontrar la compatibilidad implementada para el frontend de Linux, con libxl/xl, el modo dom0less y los backends de espacio de usuario.

Otro de los cambios que se destaca es la compatibilidad mejorada con el modo dom0less, que permite evitar la implementación de un entorno dom0 al iniciar máquinas virtuales en una etapa temprana del arranque del servidor.

Se proporciona la capacidad de definir grupos de CPU (CPUPOOL) en la etapa de arranque (a través del árbol de dispositivos), lo que permite usar grupos en configuraciones sin dom0, por ejemplo, para vincular diferentes tipos de núcleos de CPU en sistemas ARM basados ​​en la arquitectura big.LITTLE, que combina núcleos potentes, pero que consumen energía, y núcleos menos productivos, pero más eficientes energéticamente. Además, dom0less brinda la capacidad de vincular el frontend/backend de paravirtualización a los invitados, lo que le permite iniciar a los invitados con los dispositivos paravirtualizados necesarios.

En los sistemas ARM, las estructuras de virtualización de memoria (P2M, físico a máquina) ahora se asignan desde el grupo de memoria creado cuando se crea un dominio, lo que permite un mejor aislamiento entre invitados cuando ocurren fallas relacionadas con la memoria.

En los sistemas x86, se admiten páginas IOMMU (superpágina) grandes para todos los tipos de sistemas invitados, lo que permite aumentar el rendimiento al reenviar dispositivos, PCI, ademas de que se agregó soporte para hosts con hasta 12 TB de RAM. En la etapa de arranque, se implementa la capacidad de establecer parámetros cpuid para dom0. Los parámetros VIRT_SSBD y MSR_SPEC_CTRL se proponen para controlar la protección a nivel de hipervisor contra ataques a la CPU en sistemas invitados.

De los demás cambios que se destacan:

  • Se agregó protección contra la vulnerabilidad Spectre-BHB en las estructuras de microarquitectura del procesador para sistemas ARM.
  • En los sistemas ARM, se proporciona la capacidad de ejecutar el sistema operativo Zephyr en el entorno raíz Dom0.
    Se proporciona la posibilidad de un ensamblaje de hipervisor separado (fuera del árbol).

Por separado, se está desarrollando el transporte VirtIO-Grant, que difiere de VirtIO-MMIO en un mayor nivel de seguridad y la capacidad de ejecutar controladores en un dominio aislado separado para los controladores.

En lugar del mapeo de memoria directo, VirtIO-Grant utiliza la traducción de las direcciones físicas del huésped en enlaces de concesión, lo que permite el uso de áreas de memoria compartida previamente acordadas para el intercambio de datos entre el huésped y el backend de VirtIO, sin otorgarle al backend el derecho de realizar mapeo de memoria. La compatibilidad con VirtIO-Grant ya está implementada en el kernel de Linux, pero aún no está incluida en los backends de QEMU, virtio-vhost y toolkit (libxl/xl).

La iniciativa Hyperlaunch continúa desarrollándose para proporcionar herramientas flexibles para personalizar el lanzamiento de máquinas virtuales en el momento del arranque del sistema. Actualmente, el primer conjunto de parches ya está listo, lo que  permite definir dominios PV y transferir sus imágenes al hipervisor al cargar. T

Finalmente si estás interesado en poder conocer más la respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/1k2Isxh
via IFTTT

Linux 6.2 incluirá mejoras a RAID5 y RAID6 en Btrfs

Posted on by
Linux Kernel

Linux Kernel

Se dio a conocer hace poco que fueron propuestas mejoras de Btrfs para su inclusión en el kernel de Linux 6.2 para solucionar el problema del «write hole» en la implementación de RAID 5/6.

La esencia del problema se reduce al hecho de que si se produce un bloqueo durante la grabación, inicialmente es imposible entender qué bloque en cuál de los dispositivos RAID se escribió correctamente y en cuál no se completó la grabación.

Si se intenta reconstruir un RAID en esta situación, los bloques correspondientes a los bloques suscritos pueden dañarse porque el estado de los bloques RAID no está sincronizado. Este problema ocurre en cualquier arreglo RAID1/5/6 donde no se toman medidas especiales para combatir este efecto.

En una implementación de RAID como RAID1 en btrfs, este problema se resuelve mediante el uso de sumas de verificación en ambas copias, si hay una discrepancia, los datos simplemente se restauran desde la segunda copia. Este enfoque también funciona si algún dispositivo comienza a dar datos incorrectos en lugar de fallar por completo.

Sin embargo, en el caso de RAID5/6, el sistema de archivos no almacena sumas de verificación para bloques de paridad: en una situación normal, la corrección de los bloques se verifica por el hecho de que todos están equipados con una suma de verificación y el bloque de paridad puede recrearse a partir de los datos. Sin embargo, en el caso de grabación parcial, este enfoque puede no funcionar en ciertas situaciones. En este caso, al restaurar la matriz, es posible que los bloques que quedaron en el registro incompleto se restauren incorrectamente.

En el caso de btrfs, este problema es más relevante si la escritura que se produce es más pequeña que la franja. En este caso, el sistema de archivos debe realizar una operación de lectura, modificación y escritura (RMW).

Si encuentra bloques de escritura en curso, la operación RMW puede causar daños que no se detectarán, independientemente de las sumas de verificación. Los desarrolladores han realizado cambios en los que la operación RMW verifica la suma de verificación de los bloques antes de realizar esta operación y, si es necesario, la recuperación de datos también realiza una verificación de suma de verificación después de escribir.

Desafortunadamente, en una situación en la que se escribe una franja incompleta (RMW), esto genera una sobrecarga adicional para calcular las sumas de verificación, pero aumenta significativamente la confiabilidad. Para RAID6, dicha lógica aún no está lista,

Además, podemos observar las recomendaciones sobre el uso de RAID5/6 de los desarrolladores, cuya esencia es que en Btrfs el perfil para almacenar metadatos y datos puede diferir. En este caso, puede utilizar el perfil RAID1 (espejo) o incluso RAID1C3 (3 copias) para metadatos, y RAID5 o RAID6 para datos.

Esto garantiza una protección fiable de los metadatos y la ausencia de un «agujero de escritura», por un lado, y un uso más eficiente del espacio, típico de RAID5/6, por el otro. Esto evita la corrupción en los metadatos y la corrupción de datos se puede corregir.

También se puede señalar que para los SSD en Btrfs en el kernel 6.2, la ejecución asíncrona de la operación «discard» (marcar bloques liberados que ya no se pueden almacenar físicamente) estará activada por defecto.

La ventaja de este modo es el alto rendimiento debido a la agrupación eficiente de las operaciones de «discard» en una cola y el procesamiento posterior de la cola por parte de un controlador en segundo plano, por lo que las operaciones normales de FS no se ralentizan, como es el caso con el síncrono «discard» a medida que se liberan bloques, y el SSD puede tomar mejores decisiones. Por otro lado, ya no necesitará usar utilidades como fstrim, ya que todos los bloques disponibles se borrarán en el FS sin necesidad de escaneo adicional y sin ralentizar las operaciones.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/TPJ5Z3i
via IFTTT