Monthly Archives: March 2023

Sued by Meta, Freenom Halts Domain Registrations

Posted on by

The domain name registrar Freenom, whose free domain names have long been a draw for spammers and phishers, has stopped allowing new domain name registrations. The move comes just days after the Dutch registrar was sued by Meta, which alleges the company ignores abuse complaints about phishing websites while monetizing traffic to those abusive domains.

Freenom’s website features a message saying it is not currently allowing new registrations.

Freenom is the domain name registry service provider for five so-called “country code top level domains” (ccTLDs), including .cf for the Central African Republic; .ga for Gabon; .gq for Equatorial Guinea; .ml for Mali; and .tk for Tokelau.

Freenom has always waived the registration fees for domains in these country-code domains, presumably as a way to encourage users to pay for related services, such as registering a .com or .net domain, for which Freenom does charge a fee.

On March 3, 2023, social media giant Meta sued Freenom in a Northern California court, alleging cybersquatting violations and trademark infringement. The lawsuit also seeks information about the identities of 20 different “John Does” — Freenom customers that Meta says have been particularly active in phishing attacks against Facebook, Instagram, and WhatsApp users.

The lawsuit points to a 2021 study (PDF) on the abuse of domains conducted for the European Commission, which discovered that those ccTLDs operated by Freenom made up five of the Top Ten TLDs most abused by phishers.

“The five ccTLDs to which Freenom provides its services are the TLDs of choice for cybercriminals because Freenom provides free domain name registration services and shields its customers’ identity, even after being presented with evidence that the domain names are being used for illegal purposes,” the complaint charges. “Even after receiving notices of infringement or phishing by its customers, Freenom continues to license new infringing domain names to those same customers.”

Meta further alleges that “Freenom has repeatedly failed to take appropriate steps to investigate and respond appropriately to reports of abuse,” and that it monetizes the traffic from infringing domains by reselling them and by adding “parking pages” that redirect visitors to other commercial websites, websites with pornographic content, and websites used for malicious activity like phishing.

Freenom has not yet responded to requests for comment. But attempts to register a domain through the company’s website as of publication time generated an error message that reads:

“Because of technical issues the Freenom application for new registrations is temporarily out-of-order. Please accept our apologies for the inconvenience. We are working on a solution and hope to resume operations shortly. Thank you for your understanding.”

Image: Interisle Consulting Group, Phishing Landscape 2021, Sept. 2021.

Although Freenom is based in The Netherlands, some of its other sister companies named as defendants in the lawsuit names are incorporated in the United States.

Meta initially filed this lawsuit in December 2022, but it asked the court to seal the case, which would have restricted public access to court documents in the dispute. That request was denied, and Meta amended and re-filed the lawsuit last week.

According to Meta, this isn’t just a case of another domain name registrar ignoring abuse complaints because it’s bad for business. The lawsuit alleges that the owners of Freenom “are part of a web of companies created to facilitate cybersquatting, all for the benefit of Freenom.”

“On information and belief, one or more of the ccTLD Service Providers, ID Shield, Yoursafe, Freedom Registry, Fintag, Cervesia, VTL, Joost Zuurbier Management Services B.V., and Doe Defendants were created to hide assets, ensure unlawful activity including cybersquatting and phishing goes undetected, and to further the goals of Freenom,” Meta charged.

It remains unclear why Freenom has stopped allowing domain registration, but it could be that the company was recently the subject of some kind of disciplinary action by the Internet Corporation for Assigned Names and Numbers (ICANN), the nonprofit entity which oversees the domain registrars.

In June 2015, ICANN suspended Freenom’s ability to create new domain names or initiate inbound transfers of domain names for 90 days. According to Meta, the suspension was premised on ICANN’s determination that Freenom “has engaged in a pattern and practice of trafficking in or use of domain names identical or confusingly similar to a trademark or service mark of a third party in which the Registered Name Holder has no rights or legitimate interest.”

ICANN has not yet responded to requests for comment.

A copy of the amended complaint against Freenom, et. al, is available here (PDF).

from Krebs on Security https://ift.tt/kwJM5GN
via IFTTT

Rosenpass, un proyecto de VPN que promete resistir ataques por computadoras cuánticas

Posted on by
Rosenpass

Rosenpass es una importante precaución contra lo que está por venir:

Hace poco se dio a conocer la noticia de que un grupo de investigadores, desarrolladores y criptógrafos alemanes ha publicado la primera versión del proyecto Rosenpass, que desarrolla VPN y mecanismos de intercambio de claves que son resistentes a los ataques de computadoras cuánticas.

Rosenpass utiliza bajo el capo la VPN de WireGuard junto a algoritmos y claves de cifrado estándar que se utiliza como transporte y lo complementa con herramientas de intercambio de claves protegidas contra hackeo en computadoras cuánticas (es decir, Rosenpass protege adicionalmente el intercambio de claves sin cambiar los algoritmos de operación y los métodos de cifrado de WireGuard).

Rosenpass también se puede usar por separado de WireGuard en forma de una herramienta genérica de intercambio de claves adecuada para proteger otros protocolos de ataques a computadoras cuánticas.

Sobre Rosenpass

Rosenpass está escrita en Rust y usa liboqs 1 y libsodium 2, la herramienta establece una clave simétrica y se la proporciona a WireGuard. Dado que proporciona a WireGuard una clave a través de la función PSK, el uso de Rosenpass+WireGuard no es criptográficamente menos seguro que el uso de WireGuard solo («seguridad híbrida»).

Actualmente se está trabajando para verificar formalmente el protocolo, los algoritmos criptográficos y la implementación para proporcionar una prueba matemática de confiabilidad. De momento, utilizando ProVerif, ya se ha realizado un análisis simbólico del protocolo y su implementación básica en el lenguaje Rust.

El protocolo Rosenpass se basa en el mecanismo de intercambio de claves autenticado post-cuántico PQWG (Post-quantum WireGuard), construido empleando el criptosistema McEliece, que resistente a la fuerza bruta en una computadora cuántica. La clave generada por Rosenpass se utiliza en forma de clave simétrica compartida (PSK, clave precompartida) WireGuard, implementando una capa adicional para la protección de la conexión VPN híbrida.

Rosenpass asigna dos puertos UDP; si se especifica el puerto N para rosenpass, asignará el puerto N+1 para WireGuard.

Al igual que WireGuard, Rosenpass no impone ninguna separación entre clientes y servidores. Si no especifica la listenopción, Rosenpass y WireGuard elegirán puertos aleatorios; este es el modo cliente. Si no especifica endpoint, Rosenpass no intentará conectarse con el par y, en su lugar, esperará las conexiones de los pares. Este es el modo servidor . Puede especificar ambos. Omitir ambos no está prohibido pero tampoco es muy útil.

Rosenpass proporciona un proceso en segundo plano independiente que se utiliza para generar claves WireGuard predefinidas e intercambios de claves seguras durante el proceso de reconocimiento mediante técnicas de criptografía poscuántica.

Al igual que WireGuard, las claves simétricas en Rosenpass se actualizan cada dos minutos. Para proteger la conexión, se usan claves compartidas (en cada lado, se genera un par de claves públicas y privadas, después de lo cual los participantes se transfieren las claves públicas entre sí).

Al igual que con cualquier aplicación, existe un pequeño riesgo de problemas críticos de seguridad (como desbordamientos de búfer, ejecución remota de código); la aplicación Rosenpass está escrita en el lenguaje de programación Rust, que es mucho menos propenso a este tipo de problemas. Rosenpass también puede escribir claves en archivos en lugar de proporcionarlas a WireGuard. Con un poco de secuencias de comandos, el modo independiente de la implementación se puede usar para ejecutar la aplicación en un Contenedor, VM u otro host. Este modo también se puede emplear para integrar herramientas distintas de WireGuard con Rosenpass.

Cabe mencionar que Rosenpass cuenta con algunos inconvenientes; se ejecuta como root, lo que exige acceso a las claves privadas de WireGuard y Rosenpass, toma el control de la interfaz y funciona exactamente con una interfaz. Si no está seguro de ejecutar Rosenpass como root, debe usar el modo independiente para crear una configuración más segura usando contenedores, cárceles o máquinas virtuales.

El código del kit de herramientas está escrito en Rust y se distribuye bajo las licencias MIT y Apache 2.0. Los algoritmos criptográficos y las primitivas se toman prestados de las bibliotecas C liboqs y libsodium.

El código base publicado se posiciona como una implementación de referencia: en función de las especificaciones proporcionadas, se pueden desarrollar opciones de herramientas alternativas utilizando otros lenguajes de programación.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/WP5SqHX
via IFTTT

Tras adelantarse a sus competidores integrando ChatGPT en Bing, Satya Nadella ataca a todos los asistentes de voz, incluida Cortana

Posted on by

Satya Nadella y ChatGPT

Cuando acabamos de escribir un artículo que critica tímidamente a las inteligencias artificiales con ChatGPT a la cabeza, nos hemos enterado de una noticia en la que Satya Nadella, CEO de Microsoft, hizo un poco lo mismo con todos los asistentes de voz que hay en el mercado. Lo hizo en una entrevista en The Financial Times, y la palabra que ha usado para definirlos ha sido «tontos».

Nadella dijo el mes pasado que todos eran «tontos como una piedra«, y el primero en mencionar fue el suyo, Cortana, que estuvo presente en los móviles con Windows Phone y también en Windows 10, pero muy pocos han usado. En la misma frase hubo espacio para el resto de asistentes, como Alexa, Google Assistant y Siri, y dijo que sencillamente no funcionan; que se suponía que iban a cambiarlo todo, pero no funcionó.

¿Tiene razón Satya Nadella?

Creo que hay que examinar la situación y entender un poco las cosas. El CEO de Microsoft no pretendió dar una puntada sin hilo. Su compañía invirtió miles de millones en ChatGPT, y ya está integrado en Bing si usas Windows y Edge. Así que, en mi opinión, más que criticar a los asistentes de voz que encontramos en los dispositivos más populares, su intención es hablar bien de su nueva inversión.

Hay una cosa en la que sí tiene razón: los asistentes a los que él llama tontos lo son un poco. No se pueden mantener conversaciones con ellos, hasta el punto de que muchas veces nos muestran resultados de Internet que podrían interesarnos. Pero este tipo de asistentes no se diseñaron pensando en cambiarlo todo como afirma Nadella; se diseñaron para facilitarnos algunas gestiones. Están integrados en el sistema operativo, y su función es, por ejemplo, que le digamos que nos cree un recordatorio y lo haga; que le digamos que llame y lo haga; que le digamos que nos lea los mensajes y lo haga. Siempre desde mi punto de vista, no es que sean tontos; es que son para lo que son.

También es cierto que ChatGPT ha cambiado mucho las cosas, y que los asistentes deben mejorar por lo menos un poco para que no nos quede la sensación de que no sirven para nada, aunque sea sólo de cara al marketing. Y también tengo otra cosa clara: no voy a cambiarme a Windows y Edge porque Nadella lo diga, ya que, para mí, tonto tonto es su sistema operativo.

from Linux Adictos https://ift.tt/bCqFKjO
via IFTTT

Cuidado con ChatGPT y compañía: jamás reconocerá que no conoce una respuesta

Posted on by

ChatGPT y sus limitaciones

Cuando todos esperábamos esa Web 3.0 como el próximo gran avance en Internet, apareció el ya famosísimo ChatGPT que ha llegado a quitarle la corona de «santo» a Google, hasta el punto de que en Alphabet han activado el «código rojo» para no perder su posición dominante. Ahora mismo, ya somos muchos los que, en vez de realizar búsquedas con un buscador normal, preguntamos a ChatGPT, ya sea directa o indirectamente, pero hay que tener cuidado con lo que hacemos con las respuestas porque no siempre son precisas.

Cuando hablas con cualquiera que haya usado ChatGPT con frecuencia en las últimas semanas, te das cuenta de que piensa que es una buena herramienta, pero lo es más si conoces el tema sobre el que estás hablando. Dicho de otro modo, si no sabes nada del tema en cuestión, nos puede colar información incorrecta, e incluso perder el tiempo, ya que parece que no le han programado la modestia suficiente como para responder con un «no lo sé»; siempre responde, y siempre lo hace con autoridad, como si no pudiera equivocarse. Y no es así.

ChatGPT sólo llega hasta septiembre de 2021

Aunque también hace uso de otros medios, la base de datos histórica de ChatGPT sólo llega a septiembre 2021. Hace poco me puse a chatear con esta IA para debatir sobre letras de canciones. Mirando lo que tenía en mi Kodi, le pregunté sobre varias, una de ellas Avalanche, Avril Lavigne, 2022. Me dijo que no conocía esa letra, y me extrañó. Le pregunté sobre cuándo iba a salir el próximo disco de Metallica y se me empezó a «flipar»: me mencionaba el S&M2, y decía que era emocionante, pero es que ese disco salió en 2020, ya ni siquiera en 2021. Se supone que por la información de la que dispone, tendría que haberme respondido otra cosa.

Empecé a decirle que estaba equivocado, y que tuviera en cuenta que, aunque sabe en qué fecha estamos, su base de datos llega hasta 2021, así, como a modo de tirón de orejas, y no había manera de que reconociera que estaba cometiendo un error. O sí, me pedía disculpas por el malentendido, pero luego me volvía a dar la misma respuesta; no tiene ni idea de que en abril sale 72 Seasons, y eso que está en la Wikipedia y por todo Internet. Y sobre la canción Avalanche, me insistía de que era del disco Head Above The Water, de 2018; la metía en un disco incorrecto, no sé, por decir algo, y no se daba cuenta de la contradicción de decirme que no conoce una canción y al mismo tiempo en qué disco aparece, haciéndolo mal, claro.

Y cuidado con el código

De lo mejor que hace es ayudar con el código, pero ahí tampoco acierta siempre. A veces te da respuestas que pueden funcionar, pero que no son lo que buscas. Aquí parece que entra en juego el hacerle la pregunta lo más precisa posible, pero siempre tiene que decir algo. Recientemente le consulté sobre una cosa que no estaba pasando en un código que escribí y, tras pasarnos más de una hora probando cosas, le vuelvo a pasar el código que le había pasado al principio, y me dijo que me faltaba una orden o comando.

Y digo yo, si le dije el mismo «tengo esto», ¿por qué no me dio la respuesta correcta a la primera? Creo que la explicación está en que tiene que decir algo rápido que parezca correcto, aunque haya mejores opciones. Es cierto que al final dio con la solución, pero me hizo perder el tiempo realizando pruebas que no eran necesarias. Probablemente, examinando la conversación encontró el error, pero para mí habría sido mejor que en la primera respuesta se tomara su tiempo y todo habría sido más rápido.

Otras veces puedes decirle «¿esto funcionaría?» y te responde que sí, proporcionándote un código que no es exactamente el que tú le has pasado. Le pregunté sobre una consulta SQL para SQLite, me dijo que sí funcionaría y luego me puso el código añadiendo unos paréntesis al final que a mí se me habían olvidado. Se lo comenté, que entonces debería haberme dicho que no, que no iba a funcionar porque se me habían olvidado los paréntesis, y en ese momento pide perdón por haber omitido lo de los paréntesis y vuelve a darme la misma respuesta ya corregida, pero porque yo le he indicado el error antes.

ChatGPT y compañía necesitan mejorar

Está claro, o me lo parece a mí, que todo esto ha llegado para quedarse. Que está cambiando y aún va a cambiar más la manera en la que buscamos cosas e incluso hacemos trabajos, pero tiene que mejorar. De hecho, de esto ya avisan en el apartado «Limitations» de ChatGPT, pero ¿quién lee los términos de uso y todas estas cosas? El ser humano quiere las cosas, y las quiere ya. Pues en cuanto a información, vísteme despacio que tengo prisa, que ahora mismo no hay nada perfecto.

from Linux Adictos https://ift.tt/oi26GR0
via IFTTT