Daily Archives: November 26, 2024

Hacker in Snowflake Extortions May Be a U.S. Soldier

Posted on by

Two men have been arrested for allegedly stealing data from and extorting dozens of companies that used the cloud data storage company Snowflake, but a third suspect — a prolific hacker known as Kiberphant0m — remains at large and continues to publicly extort victims. However, this person’s identity may not remain a secret for long: A careful review of Kiberphant0m’s daily chats across multiple cybercrime personas suggests they are a U.S. Army soldier who is or was recently stationed in South Korea.

Kiberphant0m’s identities on cybercrime forums and on Telegram and Discord chat channels have been selling data stolen from customers of the cloud data storage company Snowflake. At the end of 2023, malicious hackers discovered that many companies had uploaded huge volumes of sensitive customer data to Snowflake accounts that were protected with nothing more than a username and password (no multi-factor authentication required).

After scouring darknet markets for stolen Snowflake account credentials, the hackers began raiding the data storage repositories for some of the world’s largest corporations. Among those was AT&T, which disclosed in July that cybercriminals had stolen personal information, phone and text message records for roughly 110 million people.  Wired.com reported in July that AT&T paid a hacker $370,000 to delete stolen phone records.

On October 30, Canadian authorities arrested Alexander Moucka, a.k.a. Connor Riley Moucka of Kitchener, Ontario, on a provisional arrest warrant from the United States, which has since indicted him on 20 criminal counts connected to the Snowflake breaches. Another suspect in the Snowflake hacks, John Erin Binns, is an American who is currently incarcerated in Turkey.

A surveillance photo of Connor Riley Moucka, a.k.a. “Judische” and “Waifu,” dated Oct 21, 2024, 9 days before Moucka’s arrest. This image was included in an affidavit filed by an investigator with the Royal Canadian Mounted Police (RCMP).

Investigators say Moucka, who went by the handles Judische and Waifu, had tasked Kiberphant0m with selling data stolen from Snowflake customers who refused to pay a ransom to have their information deleted. Immediately after news broke of Moucka’s arrest, Kiberphant0m was clearly furious, and posted on the hacker community BreachForums what they claimed were the AT&T call logs for President-elect Donald J. Trump and for Vice President Kamala Harris.

“In the event you do not reach out to us @ATNT all presidential government call logs will be leaked,” Kiberphant0m threatened, signing his post with multiple “#FREEWAIFU” tags. “You don’t think we don’t have plans in the event of an arrest? Think again.”

On the same day, Kiberphant0m posted what they claimed was the “data schema” from the U.S. National Security Agency.

“This was obtained from the ATNT Snowflake hack which is why ATNT paid an extortion,” Kiberphant0m wrote in a thread on BreachForums. “Why would ATNT pay Waifu for the data when they wouldn’t even pay an extortion for over 20M+ SSNs?”

Kiberphant0m posting what he claimed was a “data schema” stolen from the NSA via AT&T.

Also on Nov. 5, Kiberphant0m offered call logs stolen from Verizon’s push-to-talk (PTT) customers — mainly U.S. government agencies and emergency first responders. On Nov. 9, Kiberphant0m posted a sales thread on BreachForums offering a “SIM-swapping” service targeting Verizon PTT customers. In a SIM-swap, fraudsters use credentials that are phished or stolen from mobile phone company employees to divert a target’s phone calls and text messages to a device they control.

MEET ‘BUTTHOLIO’

Kiberphant0m joined BreachForums in January 2024, but their public utterances on Discord and Telegram channels date back to at least early 2022. On their first post to BreachForums, Kiberphant0m said they could be reached at the Telegram handle @cyb3rph4nt0m.

A review of @cyb3rph4nt0m shows this user has posted more than 4,200 messages since January 2024. Many of these messages were attempts to recruit people who could be hired to deploy a piece of malware that enslaved host machines in an Internet of Things (IoT) botnet.

On BreachForums, Kiberphant0m has sold the source code to “Shi-Bot,” a custom Linux DDoS botnet based on the Mirai malware. Kiberphant0m had few sales threads on BreachForums prior to the Snowflake attacks becoming public in May, and many of those involved databases stolen from companies in South Korea.

On June 5, 2024, a Telegram user by the name “Buttholio” joined the fraud-focused Telegram channel “Comgirl” and claimed to be Kiberphant0m. Buttholio made the claim after being taunted as a nobody by another denizen of Comgirl, referring to their @cyb3rph4nt0m account on Telegram and the Kiberphant0m user on cybercrime forums.

“Type ‘kiberphant0m’ on google with the quotes,” Buttholio told another user. “I’ll wait. Go ahead. Over 50 articles. 15+ telecoms breached. I got the IMSI number to every single person that’s ever registered in Verizon, Tmobile, ATNT and Verifone.”

On Sept. 17, 2023, Buttholio posted in a Discord chat room dedicated to players of the video game Escape from Tarkov. “Come to Korea, servers there is pretty much no extract camper or cheater,” Buttholio advised.

In another message that same day in the gaming Discord, Buttholio told others they bought the game in the United States, but that they were playing it in Asia.

“USA is where the game was purchased from, server location is actual in game servers u play on. I am a u.s. soldier so i bought it in the states but got on rotation so i have to use asian servers,” they shared.

‘REVERSESHELL’

The account @Kiberphant0m was assigned the Telegram ID number 6953392511. A review of this ID at the cyber intelligence platform Flashpoint shows that on January 4, 2024 Kibertphant0m posted to the Telegram channel “Dstat,” which is populated by cybercriminals involved in launching distributed denial-of-service (DDoS) attacks and selling DDoS-for-hire services [Full disclosure: Flashpoint is currently an advertiser on this website].

Immediately after Kiberphant0m logged on to the Dstat channel, another user wrote “hi buttholio,” to which Kiberphant0m replied with an affirmative greeting “wsg,” or “what’s good.” On Nov. 1, Dstat’s website dstat[.]cc was seized as part of “Operation PowerOFF,” an international law enforcement action against DDoS services.

Flashpoint’s data shows that @kiberphant0m told a fellow member of Dstat on April 10, 2024 that their alternate Telegram username was “@reverseshell,” and did the same two weeks later in the Telegram chat The Jacuzzi. The Telegram ID for this account is 5408575119.

Way back on Nov. 15, 2022, @reverseshell told a fellow member of a Telegram channel called Cecilio Chat that they were a soldier in the U.S. Army. This user also shared the following image of someone pictured waist-down in military fatigues, with a camouflaged backpack at their feet:

Kiberphant0m’s apparent alias ReverseShell posted this image on a Telegram channel Cecilio Chat, on Nov. 15, 2022. Image: Flashpoint.

In September 2022, Reverseshell was embroiled in an argument with another member who had threatened to launch a DDoS attack against Reverseshell’s Internet address. After the promised attack materialized, Reverseshell responded, “Yall just hit military base contracted wifi.”

In a chat from October 2022, Reverseshell was bragging about the speed of the servers they were using, and in reply to another member’s question said that they were accessing the Internet via South Korea Telecom.

Telegram chat logs archived by Flashpoint show that on Aug. 23, 2022, Reverseshell bragged they’d been using automated tools to find valid logins for Internet servers that they resold to others.

“I’ve hit US gov servers with default creds,” Reverseshell wrote, referring to systems with easy-to-guess usernames and/or passwords. “Telecom control servers, machinery shops, Russian ISP servers, etc. I sold a few big companies for like $2-3k a piece. You can sell the access when you get a big SSH into corporation.”

On July 29, 2023, Reverseshell posted a screenshot of a login page for a major U.S. defense contractor, claiming they had an aerospace company’s credentials to sell.

PROMAN AND VARS_SECC

Flashpoint finds the Telegram ID 5408575119 has used several aliases since 2022, including Reverseshell and Proman557.

A search on the username Proman557 at the cyber intelligence platform Intel 471 shows that a hacker by the name “Proman554” registered on Hackforums in September 2022, and in messages to other users Proman554 said they can be reached at the Telegram account Buttholio.

Intel 471 also finds the Proman557 moniker is one of many used by a person on the Russian-language hacking forum Exploit in 2022 who sold a variety of Linux-based botnet malware.

Proman557 was eventually banned — allegedly for scamming a fellow member out of $350 — and the Exploit moderator warned forum users that Proman557 had previously registered under several other nicknames, including an account called “Vars_Secc.”

Vars_Secc’s thousands of comments on Telegram over two years show this user divided their time between online gaming, maintaining a DDoS botnet, and promoting the sale or renting of their botnets to other users.

“I use ddos for many things not just to be a skid,” Vars_Secc pronounced. “Why do you think I haven’t sold my net?” They then proceeded to list the most useful qualities of their botnet:

-I use it to hit off servers that ban me or piss me off
-I used to ddos certain games to get my items back since the data reverts to when u joined
-I use it for server side desync RCE vulnerabilities
-I use it to sometimes ransom
-I use it when bored as a source of entertainment

Flashpoint shows that in June 2023, Vars_Secc responded to taunting from a fellow member in the Telegram channel SecHub who had threatened to reveal their personal details to the federal government for a reward.

“Man I’ve been doing this shit for 4 years,” Vars_Secc replied nonchalantly. “I highly doubt the government is going to pay millions of dollars for data on some random dude operating a pointless ddos botnet and finding a few vulnerabilities here and there.”

For several months in 2023, Vars_Secc also was an active member of the Russian-language crime forum XSS, where they sold access to a U.S. government server for $2,000. However, Vars_Secc would be banned from XSS after attempting to sell access to the Russian telecommunications giant Rostelecom. [In this, Vars_Secc violated the Number One Rule for operating on a Russia-based crime forum: Never offer to hack or sell data stolen from Russian entities or citizens].

On June 20, 2023, Vars_Secc posted a sales thread on the cybercrime forum Ramp 2.0 titled, “Selling US Gov Financial Access.”

“Server within the network, possible to pivot,” Vars_Secc’s sparse sales post read. “Has 3-5 subroutes connected to it. Price $1,250. Telegram: Vars_Secc.”

Vars_Secc also used Ramp in June 2023 to sell access to a “Vietnam government Internet Network Information Center.”

“Selling access server allocated within the network,” Vars_Secc wrote. “Has some data on it. $500.”

BUG BOUNTIES

The Vars_Secc identity claimed on Telegram in May 2023 that they made money by submitting reports about software flaws to HackerOne, a company that helps technology firms field reports about security vulnerabilities in their products and services. Specifically, Vars_Secc said they had earned financial rewards or “bug bounties” from reddit.com, the U.S. Department of Defense, and Coinbase, among 30 others.

“I make money off bug bounties, it’s quite simple,” Vars_Secc said when asked what they do for a living. “That’s why I have over 30 bug bounty reports on HackerOne.”

A month before that, Vars_Secc said they’d found a vulnerability in reddit.com.

“I poisoned Reddit’s cache,” they explained. “I’m going to exploit it further, then report it to reddit.”

KrebsOnSecurity sought comment from HackerOne, which said it would investigate the claims. This story will be updated if they respond.

The Vars_Secc telegram handle also has claimed ownership of the BreachForums member “Boxfan,” and Intel 471 shows Boxfan’s early posts on the forum had the Vars_Secc Telegram account in their signature. In their most recent post to BreachForums in January 2024, Boxfan disclosed a security vulnerability they found in Naver, the most popular search engine in South Korea (according to statista.com). Boxfan’s comments suggest they have strong negative feelings about South Korean culture.

“Have fun exploiting this vulnerability,” Boxfan wrote on BreachForums, after pasting a long string of computer code intended to demonstrate the flaw. “Fuck you South Korea and your discriminatory views. Nobody likes ur shit kpop you evil fucks. Whoever can dump this DB [database] congrats. I don’t feel like doing it so I’ll post it to the forum.”

The many identities tied to Kiberphant0m strongly suggest they are or until recently were a U.S. Army soldier stationed in South Korea. Kiberphant0m’s alter egos never mentioned their military rank, regiment, or specialization.

However, it is likely that Kiberphant0m’s facility with computers and networking was noticed by the Army, which undoubtedly would have placed them in some kind of role involving both.

According to the U.S. Army’s website, the bulk of its forces in South Korea reside within the Eighth Army, which has a dedicated cyber operations unit focused on defending against cyber threats.

On April 1, 2023, Vars_Secc posted to a public Telegram chat channel a screenshot of the National Security Agency’s website. The image indicated the visitor had just applied for some type of job at the NSA.

A screenshot posted by Vars_Secc on Telegram on April 1, 2023, suggesting they just applied for a job at the National Security Agency.

The NSA has not yet responded to requests for comment.

Reached via Telegram, Kiberphant0m acknowledged that KrebsOnSecurity managed to unearth their old handles.

“I see you found the IP behind it no way,” Kiberphant0m replied. “I see you managed to find my old aliases LOL.”

Kiberphant0m denied being in the U.S. Army or ever being in South Korea, and said all of that was a lengthy ruse designed to create a fictitious persona. “Epic opsec troll,” they claimed.

Asked if they were at all concerned about getting busted, Kiberphant0m called that an impossibility.

“I literally can’t get caught,” Kiberphant0m said, declining an invitation to explain why. “I don’t even live in the USA Mr. Krebs.”

Below is a mind map that hopefully helps illustrate some of the connections between and among Kiberphant0m’s apparent alter egos.

A mind map of the connections between and among the identities apparently used by Kiberphant0m. Click to enlarge.

from Krebs on Security https://ift.tt/G2bdWoE
via IFTTT

Descubre las novedades de elementary OS 8.0: Innovación y diseño al siguiente nivel

Posted on by

elementary OS 8.0

elementary OS 8.0, la última versión de esta popular distribución basada en Linux, ha llegado con una serie de innovaciones que buscan mejorar tanto su diseño como su funcionalidad. En esta iteración, conocida bajo el nombre en clave «Circe», el equipo de desarrollo ha dado un salto significativo en términos de privacidad, gestión de aplicaciones y estética, consolidando su posición como una alternativa robusta y visualmente atractiva en el ecosistema Linux.

Esta versión está basada en Ubuntu 24.04 LTS, lo que garantiza estabilidad a largo plazo. Además, incorpora el núcleo Linux 6.8, ofreciendo compatibilidad con hardware moderno y un rendimiento mejorado. Vamos a profundizar en los aspectos más destacables de este lanzamiento para que no te pierdas detalle.

Optimización de privacidad y sesiones seguras en elementary OS 8.0

Uno de los puntos fuertes de elementary OS 8 es su enfoque en la privacidad del usuario. Ahora, las aplicaciones requieren tu consentimiento expreso para acceder a funciones clave, una funcionalidad inspirada en sistemas operativos móviles. Además, se ha introducido la capacidad de iniciar sesiones seguras directamente desde la pantalla de inicio, seleccionando la opción «Secure Session» mediante un icono de engranaje junto al campo de contraseña. Este modo aprovecha el servidor Wayland para proporcionar un entorno más protegido.

Diálogo de permisos 1
Diálogo de permisos 2

elementary OS también incluye soporte para cuatro nuevos portales estandarizados de FreeDesktop.org: Selector de colores, Captura de pantalla, Emisión de pantalla y Fondo de escritorio. Estas herramientas permiten utilizar funcionalidades específicas respetando los permisos y la privacidad del usuario.

Un AppCenter más completo y eficaz

AppCenter en elementary OS 8.0

El AppCenter, el centro de aplicaciones exclusivo de elementary OS, ha recibido una importante actualización en esta versión. Ahora, tiene acceso completo a Flathub, ampliando considerablemente el catálogo de aplicaciones disponibles. Además, se han incluido etiquetas como «Hecho para elementary OS» y enlaces para respaldar a los desarrolladores mediante plataformas de patrocinio como GitHub o Patreon.

Otra novedad clave es la transferencia de la gestión de drivers y actualizaciones del AppCenter a las Configuraciones del Sistema. Esto permite automatizar la descarga de actualizaciones y programar la instalación de estas antes de apagar el equipo, una característica que resulta especialmente útil para usuarios que buscan eficiencia.

Configuración en Circe

Diseño refinado y mejoras de accesibilidad

El equipo detrás de elementary OS ha trabajado arduamente en optimizar la experiencia visual y de accesibilidad. Esto incluye una renovación completa de los menús de ajustes rápidos, un rediseño más moderno del panel de configuración del sistema y mejoras en la navegación mediante teclado.

También destacan los nuevos punteros, que ahora presentan bordes más suaves y redondeados, junto con un efecto de desenfoque en el fondo de pantalla del modo multitarea. Estos pequeños detalles refuerzan la coherencia visual del sistema y lo convierten en una de las interfaces más elegantes disponibles en el mundo de Linux.

Rendimiento y estabilidad de elementary OS 8.0

Gracias a la base de Ubuntu LTS, elementary OS 8 ofrece una combinación ideal de fiabilidad y rendimiento. Incluso en máquinas virtuales, este sistema operativo ha mostrado un comportamiento fluido, con animaciones suaves y una excelente gestión de recursos. Si bien no es compatible con actualizaciones automáticas entre versiones mayores, el proceso de instalación permite conservar los datos personales al migrar a esta nueva edición.

Con todas estas novedades y un enfoque constante en mantener un diseño intuitivo, elementary OS 8 reafirma su compromiso de proporcionar a los usuarios una experiencia informática impecable y accesible. Si te interesa explorar más detalles o descargar esta versión, visita su página oficial.

Imágenes y contenido: el blog del proyecto.

from Linux Adictos https://ift.tt/JcK6G2u
via IFTTT

Grave vulnerabilidad en 7-Zip permite ejecución remota de código: ¿estás protegido?

Posted on by

Vulnerabilidad en 7-zip

Una nueva vulnerabilidad pone en el punto de mira a 7-Zip, una de las aplicaciones de compresión de archivos más utilizadas a nivel mundial. Este software, con una larga trayectoria de confianza en múltiples sistemas operativos, ha sido identificado como vulnerable a ataques que podrían comprometer tanto dispositivos personales como redes corporativas.

Esta vulnerabilidad, registrada como CVE-2024-11477, afecta a todas las versiones anteriores a 7-Zip 24.07 y permite a los atacantes la ejecución de código malicioso. El problema reside en el módulo de descompresión Zstandard, donde la validación inadecuada de datos puede provocar un desbordamiento de enteros, generando una brecha que facilita el acceso no autorizado al sistema.

Causas técnicas detrás de la vulnerabilidad

El fallo se encuentra en la biblioteca de descompresión Zstandard, un componente clave que es popular especialmente en sistemas Linux al ser compatible con Btrfs, SquashFS y OpenZFS. La explotación se produce cuando se manipulan archivos especialmente diseñados para aprovechar esta debilidad. Al interactuar con estos archivos, el atacante puede ejecutar código en el contexto del usuario actual, comprometiendo potencialmente sistemas completos.

Según informes de Trend Micro Security y su iniciativa Zero Day (ZDI), esta vulnerabilidad fue descubierta en junio de 2024 y recibió una calificación CVSS de 7.8, clasificándola como una amenaza de alta gravedad. Aunque requiere de la interacción del usuario, como la apertura de un archivo, el riesgo elevado viene del fácil acceso a estos archivos a través de correos electrónicos o archivos compartidos.

Impacto en los usuarios y medidas de mitigación

La gravedad de este fallo radica en la amplia base de usuarios de 7-Zip, que incluye tanto particulares como empresas que confían en esta herramienta para gestionar grandes volúmenes de datos. A pesar de la publicación de un parche en la versión 24.07 y una mejora posterior en la 24.08, muchos usuarios desconocen el problema debido a la ausencia de un sistema de actualización automática en 7-Zip.

Los expertos de seguridad aconsejan actualizar manualmente el software a la última versión disponible para cerrar esta vulnerabilidad. Asimismo, los desarrolladores responsables de productos que integran 7-Zip en sus sistemas deben proceder inmediatamente con las implementaciones actualizadas.

Recomendaciones para protegerte

La situación actual destaca la esencialidad de tomar medidas preventivas. Aquí te dejamos algunos pasos prácticos:

  • Actualiza a la versión 24.08 de 7-Zip mediante su página oficial.
  • Evita abrir archivos comprimidos provenientes de fuentes no confiables.
  • Desinstala versiones antiguas si no es absolutamente necesario su uso.
  • Complementa tu seguridad con un buen software antivirus para detectar posibles amenazas adicionales, aunque este punto quizá no sea tan necesario en Linux.

Además, se recomienda a las organizaciones revisar sus sistemas de gestión de archivos y realizar campañas de concienciación sobre los riesgos asociados con el manejo de archivos comprimidos.

La vulnerabilidad de 7-Zip sirve como recordatorio acerca de la importancia de adoptar buenas prácticas de ciberseguridad. Desde actualizar regularmente las aplicaciones hasta desconfiar de archivos desconocidos, pequeños pasos pueden marcar la diferencia para mantener tus datos y dispositivos a salvo de ciberataques.

from Linux Adictos https://ift.tt/jgoXJCu
via IFTTT

Scrcpy 3.0 revoluciona la duplicación de pantalla con soporte para pantallas virtuales

Posted on by

Presentación de Scrcpy 3.0

Con la llegada de Scrcpy 3.0, los amantes de la tecnología cuentan con una herramienta aún más completa para duplicar la pantalla de sus dispositivos Android en sus ordenadores. Este software, ampliamente conocido por su eficiencia y versatilidad, ha logrado posicionarse como una de las opciones predilectas frente a otras alternativas gracias a sus características avanzadas.

En esta última actualización, destaca especialmente el soporte para pantallas virtuales, una función que permite duplicar una segunda pantalla en el ordenador sin afectar la principal del móvil. Esto significa que, por ejemplo, puedes interactuar con tu smartphone mientras, al mismo tiempo, se ejecuta una aplicación específica en tu PC. Sin duda, una mejora significativa para aquellos que buscan una experiencia multitarea.

Nueva funcionalidad de pantallas virtuales en Scrcpy 3.0

Uno de los aspectos más innovadores de Scrcpy 3.0 es la capacidad de crear y duplicar pantallas virtuales. La implementación de esta tecnología permite a los usuarios optimizar su flujo de trabajo, ofreciendo mayor flexibilidad. Tal como señalan los desarrolladores, en la mayoría de los dispositivos Android, aparecerá una actividad de iniciador secundaria en esta pantalla virtual. En caso de no contar con un lanzador predeterminado, la pantalla permanecerá en negro, obligando al usuario a iniciar manualmente una aplicación desde la interfaz de línea de comandos.

Uso de pantallas virtuales en Scrcpy

Además, esta actualización responde a una demanda popular: la inclusión de binarios precompilados para macOS y Linux. Antes, los usuarios de estos sistemas operativos debían realizar compilaciones manuales, lo que dificultaba su acceso. Ahora, al proporcionar versiones descargables listas para instalar, Scrcpy amplía su alcance a un mayor público.

Competencia y el eterno debate sobre la interfaz

A pesar de las múltiples mejoras, Scrcpy mantiene su enfoque en una interfaz basada en línea de comandos. Aunque algunas alternativas, como Microsoft Phone Link, ofrecen una experiencia más pulida para usuarios de Windows, la riqueza funcional de Scrcpy sigue destacándose. Entre sus características se incluyen el soporte para mandos de juego, la retransmisión de audio y una personalización avanzada que muchas herramientas más simples no pueden igualar.

Sin embargo, esta preferencia por la línea de comandos puede ser intimidante para usuarios menos técnicos. Si bien se encuentran disponibles guías detalladas en GitHub para facilitar la configuración y el uso, la curva de aprendizaje inicial sigue siendo un desafío que podría alejar a algunos interesados.

Disponibilidad y cómo empezar

Scrcpy 3.0 ya está disponible para su descarga a través de la sección de lanzamientos en su página de GitHub. Allí encontrarás todas las herramientas necesarias para comenzar, además de documentación exhaustiva con ejemplos de comandos clave. Con este lanzamiento, el equipo detrás de Scrcpy demuestra su compromiso por mejorar constante e innovadoramente, atendiendo tanto a nuevos usuarios como a aquellos que llevan tiempo utilizando la herramienta.

Opciones de descarga de Scrcpy 3.0

La versión 3.0 de Scrcpy establece un nuevo estándar en el ámbito de la duplicación de pantalla. Combina lo mejor de la tecnología actual con un enfoque en flexibilidad y personalización. Ya sea que busques utilizar aplicaciones móviles en pantalla grande, realizar pruebas desde tu PC o simplemente disfrutar de una experiencia multitarea fluida, Scrcpy 3.0 es una opción difícil de superar.

from Linux Adictos https://ift.tt/NrlFVgH
via IFTTT

:(){ :|:& };:, el comando Fork Bomb: cómo funciona y cómo protegerte

Posted on by

Fork Bomb

En el mundo de la informática, ciertos comandos pueden parecer inofensivos a simple vista, pero esconden un poder destructivo que, usado de forma maliciosa o accidental, puede llevar a un sistema completo a la ruina. Entre estos comandos, uno de los más conocidos — o no –, y temidos, es el denominado fork bomb, o bomba fork.

Una fork bomb no es más que una forma de ataque de tipo denial-of-service (DoS, denegación de servicio), diseñado para consumir los recursos disponibles del sistema, como la CPU y la memoria, hasta el punto en que este queda inutilizable. Si alguna vez te has preguntado cómo funciona este comando, por qué puede ser tan perjudicial y qué medidas puedes tomar para protegerte, aquí encontrarás todo lo que necesitas saber, explicado de manera accesible y detallada.

¿Qué es una Fork Bomb?

Una fork bomb, también conocida como «rabbit virus» debido a su tendencia a replicarse de manera exponencial, es una técnica que utiliza la creación masiva de procesos para saturar un sistema operativo. Esto se logra mediante un comando que emplea la función fork, disponible en sistemas Unix y Linux. La función fork permite a un proceso crear una copia exacta de sí mismo, conocida como proceso hijo.

El comando más representativo asociado a una fork bomb es el siguiente:

:(){ :|:& };:

Este comando tiene una estructura que, aunque compacta, es increíblemente poderosa. Lo que hace es definir una función llamada :, que se llama a sí misma de forma recursiva, generando dos nuevos procesos en cada ejecución gracias al operador pipe | y a la ejecución en segundo plano con &. El resultado es un crecimiento exponencial de procesos que colapsa el sistema en cuestión de segundos.

¿Cómo Funciona una Fork Bomb?

El comando :(){ :|:& };: puede parecer confuso al principio, por lo que vamos a desglosarlo paso por paso:

  • :: Este símbolo representa el nombre de la función. En realidad, podrías utilizar cualquier nombre.
  • () { }: Esta sintaxis define la función sin ningún parámetro.
  • :|:: Una vez definida, la función se llama a sí misma, y el operador | redirige su salida a una nueva instancia de sí misma.
  • &: Este símbolo ejecuta las llamadas en segundo plano, permitiendo la creación simultánea de procesos.
  • ;: Sirve como separador entre la definición de la función y su ejecución inicial.
  • :: Finalmente, este último símbolo ejecuta la función, lo que inicia la cascada de procesos.

Una vez en marcha, la fork bomb consume rápidamente los recursos del sistema, bloqueando la capacidad de ejecutar nuevos procesos y usualmente obligando a un reinicio forzado del equipo.

Sistemas Vulnerables

Prácticamente cualquier sistema operativo basado en Unix o Linux, como Ubuntu, Debian o Red Hat, es vulnerable a una fork bomb, ya que todos estos hacen uso de la llamada al sistema fork. Sin embargo, los sistemas Windows no son vulnerables a este tipo específico de ataque, ya que no cuentan con una función equivalente a fork. En su lugar, en Windows habría que crear un conjunto de nuevos procesos de manera similar, pero esto requiere un enfoque más complejo.

Ejemplos de Fork Bomb en Diversos Lenguajes

La fork bomb no es exclusiva de Bash; puede implementarse en otros lenguajes de programación. Aquí tienes algunos ejemplos:

Python Fork Bomb

#!/usr/bin/env python
import os
while True: os.fork()

Java Fork Bomb

public class Bomb {
  public static void main(final String[] args) {
    while (true) {
      Runtime.getRuntime().exec("java Bomb");
    }
  }
}

C Fork Bomb

#include 
int main(void) {
  while (1) {
    fork();
  }
}

Impacto de una Fork Bomb

El principal impacto de una fork bomb es la sobrecarga del sistema. Los recursos como la CPU, la memoria y las entradas del proceso se consumen rápidamente, provocando que el sistema se vuelva inestable o no responda. En la mayoría de los casos, se necesita un reinicio forzado para recuperar el control. Además, existe un riesgo significativo de pérdida de datos debido al comportamiento abrupto de las aplicaciones durante el desastre.

Medidas de Prevención

Aunque una fork bomb puede ser devastadora, hay formas de mitigar su impacto e incluso prevenirla por completo:

1. Limitar la Cantidad de Procesos

El comando ulimit en Linux permite establecer un límite en el número máximo de procesos que un usuario puede crear. Por ejemplo:

ulimit -u 5000

Esto limita al usuario a tener un máximo de 5000 procesos activos.

2. Configurar Límites Persistentes

Para aplicar límites de forma permanente, puedes modificar el archivo /etc/security/limits.conf. Por ejemplo:

usuario hard nproc 5000

Esto asegura que los límites persistan incluso después de que el usuario cierre sesión.

3. Uso de Cgroups

En sistemas Linux modernos, cgroups (grupos de control) permiten establecer un control más granular sobre los recursos del sistema, incluyendo el número de procesos permitidos.

No hagas caso a lo que ves en redes sociales

Este tipo de comandos pueden aparecer en redes sociales como una broma pesada, por lo que hay que tener cuidado y no introducir en el terminal lo que nos digan. Sin ir más lejos, si se pone «fork bomb» en X, vemos una respuesta a un post que dice «hola, fork bomb». La publicación original, compartida hace unos instantes, dice que hay un gato con el nombre :(){ :|:& };: y que lo pongas en el terminal. Ya te hemos explicado qué hace, así que no lo hagas.

La fork bomb, aunque simple en su concepto, tiene un impacto profundo en los sistemas vulnerables. Comprender su funcionamiento, sus implicaciones y las formas de mitigarlo es vital para proteger los entornos informáticos modernos. Es un recordatorio de cómo un simple comando puede llevar a consecuencias catastróficas, y también de la importancia de la administración adecuada de sistemas y la configuración de límites de seguridad.

.barra {display: flex;justify-content: flex-end;height: 25px; background-color: #333;border-radius: 5px 5px 0 0;}.rojo, .naranja, .verde{width: 12px;height: 12px; position: relative;border-radius: 50%;top: 7px; margin: 0 3px;}.rojo{background-color: rgb(248, 82, 82); margin-right: 7px;}.naranja{background-color: rgb(252, 186, 63);}.verde{background-color: rgb(17, 187, 17);}.terminal{background-color: black !important; border-radius: 5px !important; margin-bottom:20px}pre{font-family:monospace !important; padding: 0 10px 10px; line-height: 1.5em; overflow: auto; background-color: black !important; color: #0EE80E !important} code {background-color: rgba(255, 255, 0, 0.18); color: #d63384; padding: 1px 3px; font-family: monospace; border-radius: 2px;}

from Linux Adictos https://ift.tt/Z16eWsx
via IFTTT

Firefox 133 introduce nueva Protección de Rastreo de Rebote para mejorar la seguridad

Posted on by

Firefox 133

Mozilla hará oficial dentro de unos instantes el lanzamiento de Firefox 133. Ya se puede descargar desde su servidor, pero sin lugar a dudas es mejor esperarse hasta el mediodía de este 26 de febrero para descargar sus binarios o un poco más a que nuestra distribución Linux de turno añada los paquetes a sus repositorios oficiales. Pero el caso es que poder ya se puede descargar, y también sabemos las novedades que incluye la nueva versión.

Si alguien está esperando una nueva función espectacular, malas noticias; Firefox 133 es una versión que ni siquiera incluye una larga lista de cambios. Aunque, para ser honesto, quizá le sepa poco a personas como yo, acostumbradas a recibir mejoras muy llamativas como el nuevo Tablero de Vivaldi 7.0. En cualquier caso, ya tenemos nueva versión del navegador del panda rojo e incluye estos cambios.

Novedades de Firefox 133

Firefox estrena una nueva característica anti-rastreo, de nombre Protección de Rastreo de Rebote. Esta medida de protección detecta los rastreadores de rebote basándose en su comportamiento de redireccionamiento y purga periódicamente sus cookies y datos del sitio para bloquear el rastreo. Por otra parte, la barra lateral para ver pestañas de otros dispositivos ahora se puede abrir a través del menú Vista general de pestañas.

En el apartado de las imágenes, Canvas2D acelerado por GPU está ahora activado por defecto en Windows, lo que mejora el rendimiento, y se ha añadido soporte para decodificación de imágenes como parte de la WebCodecs API. Esto permite la decodificación de imágenes desde los hilos principal y trabajador.

Para los desarrolladores, Firefox 133 ahora soporta la opción keepalive en la Fetch API, lo que permite a los desarrolladores hacer peticiones HTTP que pueden continuar ejecutándose incluso después de que la página se descargue, como durante la navegación o el cierre de la página, soporta la API de permisos en el contexto Worker y ahora envía eventos «beforetoggle» justo antes de que un diálogo se abra y eventos «toggle» después de que el diálogo se cierre, igualando el comportamiento de popovers.

De cara a los servidores, ahora, cuando se dispone de la hora del servidor, el valor del atributo «caducidad» se ajusta añadiendo la diferencia entre la hora del servidor y la hora local. Si la hora actual se fija en el futuro, las cookies que no hayan caducado según la hora del servidor se considerarán válidas. La lista de novedades la completan mejoras en la función Picture-in-Picture que abre automáticamente al cambiar la pestaña y ahora hay métodos disponibles en UInt8Array para convertir a y desde codificaciones Base64 y hexadecimal.

Ya se puede descargar

Aunque el lanzamiento no es oficial, Firefox 133 ya se puede descargar en forma de binarios en este enlace. Pronto actualizarán su paquete snap, flatpak, los paquetes del repositorio oficial y ya más tarde empezará a llegar a los repositorios de las diferentes distribuciones Linux.

from Linux Adictos https://ift.tt/E7jzC1p
via IFTTT