Un inteligente ataque de publicidad maliciosa utiliza Punycode para parecerse al sitio web oficial de KeePass

La mayoría de los usuarios que navegan en la red, suelen tener la costumbre de que al realizar una búsqueda, suelen visitar o utilizar los sitios en las primeras posiciones que despliega el buscador. Y es que no es para más, ya que hoy en día los buscadores ofrecen los mejores resultados acordes al criterio de búsqueda (hasta cierto punto) porque existen una gran cantidad de técnicas para poder posicionar una página web para cierto criterio, dígase SEO en general.

Hasta este punto todo puede parecer bien y nada fuera de lo normal en este aspecto, pero hay que recordar que algunos buscadores suelen mostrar en las primeras posiciones «publicidad» que en teoría está orientada al criterio de búsqueda, por ejemplo cuando en Google buscamos Chrome.

El problema con estos resultados, es que no siempre son los más adecuados y que para usuarios sin conocimiento de esto, suelen acceder desde esos enlaces proporcionados en las primeras posiciones y no encontrar lo que buscaban o en el peor de los casos caer en sitios no legítimos.

Tal es el caso reciente que dieron a conocer los investigadores de Malwarebytes Labs, quienes mediante una publicación de blog, dieron a conocer la promoción de un sitio ficticio que se hacia pasar por el administrador de contraseñas gratuito KeePass.

Se descubrió el sitio falso distribuye malware y logro colarse en las primeras posiciones del buscador a través de la red publicitaria de Google. Una peculiaridad del ataque fue el uso por parte de los atacantes del dominio “ķeepass.info”, cuya ortografía a primera vista no se distingue del dominio oficial del proyecto “ keepass.info ”. Al buscar la palabra clave “keepass” en Google, el anuncio del sitio falso aparecía en primer lugar, antes del enlace al sitio oficial.

Anuncio malicioso de KeePass seguido de un resultado de búsqueda orgánico legítimo

Para engañar a los usuarios se utilizó una técnica de phishing conocida desde hace mucho tiempo, basada en el registro de dominios internacionalizados (IDN) que contienen homoglifos, símbolos que se parecen a las letras latinas, pero tienen un significado diferente y tienen su propio código Unicode.

En particular, el dominio «ķeepass.info» en realidad está registrado como «xn--eepass-vbb.info» en notación punycode y si observa detenidamente el nombre que se muestra en la barra de direcciones, puede ver un punto debajo de la letra » ķ», que la mayoría de los usuarios perciben como una mota en la pantalla. La ilusión de autenticidad del sitio abierto se vio reforzada por el hecho de que el sitio falso se abrió a través de HTTPS con un certificado TLS correcto obtenido para un dominio internacionalizado.

Para bloquear el abuso, los registradores no permiten el registro de dominios IDN que mezclen caracteres de diferentes alfabetos. Por ejemplo, no se puede crear un dominio ficticio apple.com (“xn--pple-43d.com”) reemplazando la “a” latina (U+0061) con la “a” cirílica (U+0430). La mezcla de caracteres latinos y Unicode en un nombre de dominio también está bloqueada, pero hay una excepción a esta restricción, que utilizan los atacantes: se permite la mezcla con caracteres Unicode que pertenecen a un grupo de caracteres latinos que pertenecen al mismo alfabeto en el dominio.

Por ejemplo, la letra «ķ» utilizada en el ataque que estamos considerando es parte del alfabeto letón y es aceptable para dominios en idioma letón.

Para evitar los filtros de la red publicitaria de Google y eliminar los robots que pueden detectar malware, como enlace principal en el bloque publicitario se ha especificado un sitio intermedio keepassstacking.site, que redirige a los usuarios que cumplen determinados criterios al dominio ficticio «ķeepass.info».

El diseño del sitio ficticio fue estilizado para parecerse al sitio web oficial de KeePass, pero se cambió para impulsar de manera más agresiva las descargas de programas (se conservaron el reconocimiento y el estilo del sitio web oficial).

La página de descarga para la plataforma Windows ofrecía un instalador msix con código malicioso, que venía con una firma digital válida emitida por Futurity Designs Ltd y no generaba una advertencia al inicio. Si el archivo descargado se ejecutó en el sistema del usuario, se iniciaba adicionalmente un script FakeBat, que descargaba componentes maliciosos de un servidor externo para atacar el sistema del usuario (por ejemplo, para interceptar datos confidenciales, conectarse a una botnet o reemplazar números de billetera criptográfica en el portapapeles).

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/rCJZXHD
via IFTTT

La protección IP es una función que envía tráfico de terceros para un conjunto de dominios a través de servidores proxy con el fin de proteger al usuario enmascarando su dirección IP de esos dominios.

Google ha dado a conocer la implementación inicial en su navegador Google Chrome, de una nueva función la cual tiene como finalidad la protección IP del usuario.

Se menciona que la nueva función, «IP Protection» será implementada de manera inicial como un experimento y como su nombre lo indica está diseñada para ocultar la dirección IP del usuario a los propietarios de los sitios web.

Como tal, la nueva función se puede utilizar como un anonimizador integrado, cuyo objetivo principal es evitar el seguimiento de movimientos, pero, entre otras cosas, es adecuado para evitar el bloqueo implementado tanto por parte de los sitios como a nivel de los operadores de telecomunicaciones.

Técnicamente, la característica propuesta se implementa enviando tráfico no directamente, sino a través de un servidor proxy, que redirige la solicitud al servidor de destino, que ve solo la dirección del proxy como una dirección IP entrante, similar al uso de una VPN. Para anonimizar la solicitud, es posible reenviarla secuencialmente a través de varios proxy. En este caso, la información sobre la dirección IP del cliente solo la conocerá el primer proxy, y el segundo proxy de la cadena verá la dirección del primer proxy.

Google planea probar la protección de direcciones IP en un pequeño porcentaje de usuarios en una versión futura de Chrome (119 a 125). Durante la primera fase de prueba, solo se utilizará un servidor proxy propiedad de Google y la ocultación solo estará habilitada para los dominios y redes publicitarias de Google. Esta fase se ofrecerá a sistemas con direcciones IP de EE. UU. y cubrirá no más del 33% de los usuarios de ediciones experimentales de Chrome.

En la segunda fase de prueba, planean introducir una configuración de proxy de dos capas: primero, la conexión se enrutará desde el navegador a través de un túnel cifrado hasta un proxy propiedad de Google, y luego se enrutará a un segundo proxy propiedad de una empresa no afiliado a Google.

El túnel de tráfico se organizará de tal manera que el primer proxy que vea la dirección IP del usuario no verá los parámetros de la solicitud y no podrá determinar el host de destino al que se dirige la solicitud del usuario. El segundo proxy podrá determinar datos sobre el host de destino, pero no verá la dirección IP del usuario. Aquellos. Los servidores proxy verán información sobre la dirección del usuario o sobre el sitio de destino, lo que no permitirá que el lado proxy asocie al usuario con el sitio solicitado.

El tráfico se enrutará al proxy utilizando los métodos CONNECT y CONNECT-UDP y creando un túnel basado en el protocolo TLS, que proporciona cifrado de extremo a extremo. Para evitar abusos, se accederá al primer proxy controlado por Google mediante un token criptográfico que generará el servidor de autenticación de Google cuando Chrome se conecte a la cuenta de Google del usuario (sin la autenticación de Chrome, se denegará el acceso al proxy). El token también tendrá restricciones de tráfico, lo que dificultará el reenvío de tráfico a través de servidores proxy con fines maliciosos.

El modo de ocultación de direcciones IP estará deshabilitado de forma predeterminada y podrá activarse a petición del usuario, ademas de que se menciona que se planea utilizar la ocultación de direcciones no para todos los sitios, sino solo para una lista generada por separado de dominios que se detectan rastreando los movimientos de los usuarios.

Vincular a la lista le permitirá evitar cambios no deseados que interrumpan el comportamiento de los sitios y provoquen problemas con la determinación de la ubicación, la separación de usuarios y la contabilidad del tráfico (por ejemplo, el bloqueo de un intruso en un sitio se puede aplicar a todos los usuarios redirigidos a través de un proxy).

Para resolver problemas con la vinculación de ubicación, que se puede utilizar en un sitio para cumplir con los requisitos de la legislación local y seleccionar parámetros de localización, se propone utilizar un proxy de segundo nivel en el mismo país o incluso ciudad que el usuario (en última instancia, está previsto para implementar una amplia red de servidores proxy (servidores de segundo nivel, construidos en colaboración con varios proveedores y redes de entrega de contenido).

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/S4cdeHL
via IFTTT

OpenZFS es un sistema de archivos avanzado y administrador de volúmenes

La nueva versión de OpenZFS 2.2 llega tras poco más de dos años de desarrollo y en esta nueva versión se destacan las mejoras de soporte para Linux, tales como la compatibilidad con las diferentes versiones del Kernel, asi como compatibilidad con contenedores de Linux, asi como también con FreeBSD y mas.

Se menciona que esa nueva versión de OpenZFS ha sido probada con kernels de Linux desde 3.10 hasta 6.5 y todas las ramas de FreeBSD a partir de 12.2-RELEASE, ademas de que cabe mencionar que OpenZFS ya se utiliza en FreeBSD y está incluido en las distribuciones Debian, Ubuntu, Gentoo, NixOS y ALT Linux.

Principales novedades de OpenZFS 2.2

Una de las novedades más importantes de OpenZFS 2.2 es el mecanismo de clonación de bloques, que permite crear una copia de un archivo o parte de él sin duplicar datos, utilizando en la segunda copia referencias a bloques de datos ya existentes del archivo fuente sin copiarlos realmente. Si se realizan cambios en el archivo fuente o sus copias, se copian los bloques y se realizan cambios en las copias creadas (modo de copia en escritura a nivel de archivo). Sobre la base del mecanismo de clonación, se implementa la operación reflink, que se puede utilizar para crear clones automáticamente en varias utilidades de copia, por ejemplo, en nuevas versiones de /bin/cp en Linux.

Otra de las novedades de este lanzamiento es el soporte añadido para tecnologías utilizadas para el aislamiento de contenedores en Linux, como la llamada al sistema renameat, el sistema de archivos overlayfs, la asignación de ID de usuario en montajes y la delegación de espacios de nombres para contenedores.

Ademas de ello, también se destaca que se ha implementado un registro de errores detectados durante las operaciones de verificación de suma de control (scrub). Cuando se ejecuta el comando «zpool status«, se muestra información sobre todos los sistemas de archivos, instantáneas y clones afectados por el bloque dañado. Para intentar recuperar rápidamente bloques defectuosos conocidos, puede utilizar el comando «zpool Scrub -e«.

Ademas de ello, también se destaca la capacidad de usar la función hash criptográfica BLAKE3 para sumas de verificación, que se destaca por su rendimiento de cálculo hash muy alto (tres veces más rápido que Edon-R y significativamente más rápido que sha256 y sha512) al tiempo que garantiza confiabilidad en el nivel SHA-3.

Otro de los aspectos destacados de OpenZFS 2.2 es la mejora en la implementación del caché ARC adaptativo, que mejora el rendimiento de las operaciones de lectura. En este lanzamiento ARC ahora se adapta mejor a cargas elevadas y minimiza la necesidad de optimizar la configuración manualmente.

Se ha implementado la operación «zfs recibir -c», que se puede utilizar para restaurar datos dañados (no metadatos) en el sistema de archivos, instantáneas y clones, en los casos en que exista una copia de seguridad replicada previamente guardada con el comando «zfs send«.

De los demás cambios que se destacan de OpenZFS 2.2:

• Se agregó soporte para configurar y leer propiedades mediante programación para discos virtuales vdev individuales.
• Se agregó la capacidad de vincular propiedades personalizadas arbitrarias a vdev y zpool, similar a las propiedades personalizadas para el conjunto de datos zfs.
• Se agregó soporte para mecanismos de aceleración de hardware para calcular sumas de verificación SHA2.
• La implementación de las sumas de comprobación de Edon-R ha sido reescrita y optimizada.
  Cuando se utiliza el algoritmo zstd para la compresión de datos, se acelera la determinación de situaciones en las que la compresión no tiene sentido (los datos no se pueden comprimir).
• Se han realizado mejoras en el mecanismo de captación previa para acelerar el trabajo durante E/S intensivas.
• Opciones del módulo: los valores predeterminados para las opciones del módulo se seleccionaron para producir un buen rendimiento para la mayoría de las cargas de trabajo y configuraciones. 
• Se han introducido una serie de optimizaciones generales para mejorar el rendimiento.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/U6SlBwx
via IFTTT

Gnome continua sus trabajos para la adopción completa de Wayland

Wayland, el protocolo de servidor gráfico sin dudas durante los últimos años ha ganado bastante terreno y ha mejorado a grandes pasos, y aunque varias distribuciones de Linux han apostado por este protocolo, la dependencia con X11 sigue siendo un requisito hoy en día.

Dentro de los diferentes proyectos y referentes en Linux que han dado el salto a Wayland y han estado trabajando para ir eliminando las dependencias con X11 podemos encontrar por ejemplo a Fedora, Gnome, KDE, también a Ubuntu en su momento con Unity, entre otros.

La razon de hablar de ello, es que hace algunos días un miembro del equipo de lanzamiento y control de calidad de Gnome dio a conocer una solicitud de cambio para eliminar los archivos de destino systemd del paquete gnome-session que se utilizan para ejecutarse en entornos X11.

En Gnome ya se han implementado diversos cambios en favor del uso de Wayland, pero cabe señalar que este es el primer paso hacia el abandono del soporte para el protocolo X11 en Gnome. Sin embargo, se menciona que en la etapa actual, la funcionalidad restante requerida para ejecutar una sesión X11 permanece vigente.

Pese a ello, los desarrolladores de Gnome han mencionado que la funcionalidad con X11 está programada para eliminarse en el próximo ciclo de desarrollo para y los usuarios pueden revertir la compatibilidad con X11 agregando manualmente los archivos de destino systemd.

La razón para realizar los cambios es que los desarrolladores prueban cada vez menos X11. La sesión basada en el protocolo Wayland ha sido la predeterminada en GNOME desde 2016, y algunos desarrolladores dicen que es hora de deshacerse por completo de la sesión X11 y centrarse en admitir solo Wayland.

Aunque esta es solo una propuesta, tal parece que a la mayoría de los desarrolladores no les degrada la solicitud, pero como en toda comunidad, hay dos lados de la cara y por su parte Joshua Strobl, un desarrollador clave del entorno de usuario Budgie, se opuso a la eliminación del soporte X11 de gnome-session.

La oposición de Joshua Strobl es lógica, ya que proyectos como Budgie Desktop y Pantheon Desktop están basados ​​en las tecnologías de Gnome, y aunque están en camino de pasar a Wayland, aún tienen dependencias y actualmente solo es totalmente compatible con X11, por lo que si se elimina la compatibilidad con X11 de gnome-session, menciona que tendrán que mantener sus propias bifurcaciones de este componente.

Por otro lado, y aprovechando este espacio en el que estamos hablando de Gnome, también vale la pena mencionar que la Fundación Gnome, que supervisa el desarrollo de Gnome, dio a conocer mediante un anuncio el nombramiento de Holly Million para el puesto de directora ejecutiva, que había estado vacante desde agosto del año pasado tras la partida de Neil McGovern.

Por supuesto, no esperaría que gnome-session mantenga esto hasta el final de los tiempos, pero dentro del próximo ciclo de Gnome, por ejemplo, parece bastante pronto para que esto ocurra, y al menos a nosotros, los Budgie, nos gustaría evitar tener que bifurcar otro componente de Gnome.y gastar esfuerzo de desarrollo que de otra manera se podría poner en elementos como Wayland solo para garantizar que nuestros usuarios en una amplia gama de sistemas operativos con diferentes ciclos de lanzamiento no se vean afectados negativamente por esta eliminación.

El Director Ejecutivo es responsable de la gestión y el desarrollo de la Fundación Gnome como organización, así como de la interacción con la Junta Directiva, el Consejo Asesor y los miembros de la organización.

Se menciona que Holly Million tiene una amplia experiencia en la gestión de organizaciones sin fines de lucro y es una persona diversa y apasionada que se ha distinguido como productora de documentales, escritora, herbolaria, artista y educadora.

Holly ha pasado de consultora de una organización sin fines de lucro a directora de desarrollo, miembro de juntas directivas de varias organizaciones, directora ejecutiva de la Fundación BioBricks, que desarrolla proyectos abiertos en el campo de las biotecnologías, y fundadora de Artists United, que une artistas y amantes del arte, promoviendo la idea de que a través de Aprender a apreciar el arte se pueden resolver muchos problemas sociales.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/OfCVlN4
via IFTTT