Next Page: 10000

          The FBI Warns of IoT Security Issues Once Again      Cache   Translate Page   Web Page Cache   

The US Federal Bureau of Investigation has issued a warning about Internet of Things device security issues, the latest in a continuing string of IoT attack and security vulnerability warnings from the US’s top law enforcement agency.

Attackers are using compromised IoT devices as proxies to mask various illicit activities, the FBI said, citing spamming, click-fraud, illegal trade, botnets for hire, and other crimes being committed using IoT devices.

The Bureau said IoT device vulnerabilities are being exploited by these attackers, naming routers, media streaming devices, Raspberry Pis, IP cameras, ...
 


          LA PROPAGANDA DI SALVINI      Cache   Translate Page   Web Page Cache   

“La bestia”, ovvero del come funziona la propaganda di Salvini

DI STEVEN FORTI
rollingstone.it
Intervista a Alessandro Orlowski, ex hacker e spin doctor digitale, che ci parla della strategia comunicativa della Lega, dell’affaire Cambridge Analytica, del business dei falsi profili twitter, del Gdpr, Facebook e molto altro
Alessandro Orlowski è seduto a un tavolino di un bar di Barcellona. Nato a Parma nel 1967, vive in Spagna da 20 anni. Ex regista di spot e videoclip negli anni ’90 e grande appassionato di informatica, è stato uno dei primi e più influenti hacker italiani. Fin da prima dell’arrivo dei social network, ha lavorato sulle connessioni digitali tra gli individui, per sviluppare campagne virali. Negli anni ha condotto numerose campagne in Rete, come quella per denunciare l’evasione scale del Vaticano o i gruppi estremisti negli Stati Uniti e in Europa. Oggi fa lo spin doctor digitale: ha creato Water on Mars, startup di comunicazione digitale tra le più innovative, e guidato il team social risultato fondamentale per condurre il liberale Kuczynski alla presidenza del Perù. Ci accomodiamo, e cominciamo a parlare con lui di politica nel mondo digitale, per arrivare presto a Matteo Salvini e allo straordinario (e inquietante) lavoro che sta realizzando online.
Che evoluzione ha avuto negli anni il concetto di “rete social”?
Nasce nei primi anni ’80 con le BBS, le Bulletin Boards System, antesignane dei blog e delle chat. La prima rete sociale, però, è stata Friendster nel 2002, che raggiunse circa 3 milioni di utenti. A seguire l’amatissima (da parte mia) MySpace: narra una leggenda nerd che fu creata in 10 giorni di programmazione. Il primo a usare le reti social per fini elettorali è stato Barack Obama nel 2008.
Oggi in Italia chi è il politico che maneggia meglio questi strumenti?
In tal senso la Lega ha lavorato molto bene, durante l’ultima campagna elettorale. Ha creato un sistema che controlla le reti social di Salvini e analizza quali sono i post e i tweet che ottengono i migliori risultati, e che tipo di persone hanno interagito. In questo modo possono modi care la loro strategia attraverso la propaganda. Un esempio: pubblicano un post su Facebook in cui si parla di immigrazione, e il maggior numero di commenti è “i migranti ci tolgono il lavoro”? Il successivo post rafforzerà questa paura. I dirigenti leghisti hanno chiamato questo software La Bestia.
Quando nasce La Bestia?
Dalle mie informazioni nasce dal team di SistemaIntranet di Mantova, ossia dalla mente di Luca Morisi, socio di maggioranza dell’azienda, e Andrea Paganella. Morisi è lo spin doctor digital della Lega, di fatto il responsabile della comunicazione di Salvini. La Bestia è stata ideata a fine 2014, e finalizzata nel 2016. All’inizio si trattava di un semplice tool di monitoraggio e sentiment. Poi si è raffinato, con l’analisi dei post di Facebook e Twitter e la sinergia con la mailing list.
Come funziona l’analisi dei dati, su cui si basa la strategia?
Diciamo che a livello di dati non buttano via nulla: tutto viene analizzato per stabilire la strategia futura, assieme alla società di sondaggi SWG e a Voices From the Blogs (azienda di Big Data Analysis, ndr). I loro report, su tutti quelli del professore Enzo Risso, sono analizzati attentamente dal team della Lega, composto da Iva Garibaldi, Alessandro Panza, Giancarlo Giorgetti, Alessio Colzani, Armando Siri e altri.
La Bestia differenzia il suo operato a seconda dei social, per rendere immutata l’efficacia di Salvini in base allo strumento?
Per chi si occupa di marketing e propaganda online, è normale adattare la comunicazione ai differenti social. Twitter è l’ufficio stampa, e influenza maggiormente i giornalisti. Su Facebook ti puoi permettere un maggiore storytelling. È interessante vedere come, inserendo nelle mailing list i video di Facebook, la Lega crei una sinergia con la base poco attiva sui social: la raggiunge via mail, e aumenta così visualizzazioni e condivisioni.
Operano legalmente?
Camminano su un lo molto sottile. Il problema riguarda la gestione dei dati. Hanno creato, per esempio, un concorso che si chiama “Vinci Salvini” (poche settimane prima del voto, ndr). Ti dovevi registrare al gioco online e quanti più contenuti pubblicavi a tema Lega, maggiori erano le possibilità di incontrare Salvini. È stato un successo. Il problema è che non sappiamo come siano stati gestiti i dati. A chi venivano affidati? A Salvini? Alla Lega? A una società privata?
C’è qualche legame con lo scandalo Cambridge Analytica in questo utilizzo “disinvolto” dei dati personali?
Difficile rispondere. Circolano voci in merito all’apertura di una sede di Cambridge Analytica a Roma poco prima delle elezioni italiane, progetto abortito in seguito allo scandalo che ha coinvolto la società britannica. Un partito italiano, non si sa quale, avrebbe richiesto i suoi servizi. È noto che la Lega volesse parlare con Steve Bannon (figura chiave dell’alt-right americana, fondamentale nell’elezione di Donald Trump, ndr) in quel periodo, incontro poi avvenuto in seguito.
La destra – più o meno estrema – sta vincendo la battaglia della comunicazione digital? 
Si muovono meglio dei partiti tradizionali, che non sono riusciti a evolversi. Lo dimostra Bannon, e pure Salvini, che a 45 anni è un super millennial: ha vissuto il calcio balilla, la televisione, Space Invaders e le reti social.
Vedi analogie tra la strategia social di Donald Trump e quella di Salvini?
Salvini ha sempre guardato con attenzione a Trump. Entrambi fanno la cosa più semplice: trovare un nemico comune. E gli sta funzionando molto bene. Nel nuovo governo si sono suddivisi le responsabilità: al M5S è toccato il lavoro, con la forte macchina propagandistica gestita dalla Casaleggio Associati, alla Lega la sicurezza e l’orgoglio nazionale, gestiti da Morisi e amici.
Sta pagando, non c’è che dire.
La totale disinformazione e frotte di like su post propagandistici e falsi – per esempio l’annuncio della consegna di 12 motovedette alla Guardia costiera libica (a fine giugno, ndr) – portano a quello che si definisce vanity KPI: l’elettore rimane soddisfatto nel condividere post che hanno migliaia di like, e quindi affermano le loro convinzioni. Consiglio la lettura di The Thrill of Political Hating di Arthur Brooks.
Esiste una sorta di meme war all’italiana? 
Le meme war non esistono. Ci possono essere contenuti in forma di meme per denigrare i competitor e inquinare i motori di ricerca. Ricordiamoci anni fa, quando su Google scrivevi il cognome “Berlusconi” e il motore di ricerca ti suggeriva “mafioso”: fu un esempio di manipolazione dell’algoritmo di Google. Lo stesso sta succedendo in questi giorni: se scrivete la parola “idiot” e fate “ricerca immagini”, compaiono solo foto di Trump.
Come è stata finanziata l’attività delle reti social della Lega?
La Lega voleva creare una fondazione solo per ricevere i soldi delle donazioni, al fine di poter tenere in piedi le reti social senza passare per i conti in rosso del partito. Il partito è gravato da debiti e scandali finanziari (a luglio il tribunale di Genova ha confermato la richiesta di confisca di 49 milioni di euro dalle casse del partito, ndr). Le leggi italiane lasciano ampio margine: permettono di ricevere micro- donazioni, senza doverle rendere pubbliche. È una forma completamente legale. In ogni caso, potresti chiederlo direttamente a Luca Morisi (Morisi non ha risposto ai tentativi di contatto da parte di Rolling Stone, ndr)
Hanno ricevuto finanziamenti dall’estero? 
Recentemente l’Espresso ha raccontato che alcune donazioni al partito provengono da associazioni come Italia-Russia e Lombardia- Russia, vicine alla Lega. D’altra parte, sono stati i russi a inventare il concetto di hybrid war. Il generale Gerasimov ha teorizzato che le guerre moderne non si devono combattere con le armi, ma con la propaganda e l’hacking.
Un sistema come La Bestia alimenta la creazione di notizie false?
Non direi che ci sia un rapporto diretto tra le due cose, ma sicuramente c’è un rapporto tra La Bestia e il bias dei post che pubblicano. Come ha spiegato lo psicologo e premio Nobel Daniel Kahneman, di fronte a una notizia online la nostra mente si avvale di metodi di giudizio molto rapidi che, grazie alla soddisfazione che dà trovare conferma nei nostri pregiudizi, spesso porta a risposte sbagliate e illogiche, ossia biased.
Salvini lavora su questo bias?
Lo fa il suo team, e anche quello del M5S: amplificare notizie semi-veritiere, viralizzandole e facendole diventare cultura condivisa, che viene confermata sia dalla fonte considerata carismaticamente onesta e affidabile, sia dal numero di condivisioni che la rendono in quel modo difficilmente contestabile. Vai tu a convincere del contrario 18mila utenti che hanno condiviso un post di dubbia veridicità! Una delle figure chiave delle fake news della Lega è stato e forse ancora è il napoletano Marco Mignogna, che gestiva il sito di Noi con Salvini, oltre a una ventina di portali pro-Salvini, pro-M5S e pro-Putin (nel novembre 2017 si è occupato del caso il NYT, ndr).
Quanto di ciò che hai detto fin qui vale anche per il Movimento 5 Stelle?
Non c’è dubbio che dietro al M5S ci sia una buona azienda di marketing politico. La loro propaganda è più decentralizzata rispetto a quella della Lega, tutta controllata da Morisi. Creano piccole reti, appoggiandosi agli attivisti “grillini” e risparmiando così denaro. Non
pagano per rendere virali i post di Grillo o di Di Battista. Anche se oggi, con il M5S al governo, la strategia è in parte cambiata.
Quanto influisce l’attività di trolling sul dibattito politico?
Dipende dal contesto politico e dal Paese, in alcuni casi può essere molto violenta. Per creare account su Twitter esiste un software acquistabile online, che ti permette di generarne mille in tre ore, ognuno con foto e nome distinto. Parliamo di account verificati con un numero di cellulare: c’è un servizio russo che, per 10 centesimi, te ne fornisce uno appositamente. Con 300 o 400 euro puoi crearti in un pomeriggio un migliaio di account Twitter verificati. A quel punto puoi avviare un tweet bombing, cambiando la percezione di una notizia. È semplice e costa poco.
Ci sono conferme sull’esistenza di una rete di troll leghisti?
Non è facile rispondere, perché ci sono diverse tipologie di reti troll, organiche o artificiali. A volte distinguere le due senza tool specializzati è quasi impossibile. Per esempio, le reti di troll formate da persone reali spesso si auto-organizzano, sapendo benissimo che un utente singolo può avere due o più account social sullo stesso network. È normale vedere un utente pro-Lega o pro-M5S gestire anche cinque account con nomi diversi: cento persone in un gruppo segreto di Facebook o su un canale Telegram, con cinque account ciascuno, fanno 500 troll pronti ad attaccare, e scoraggiare utenti standard a un confronto politico.
Esistono quindi reti costruite ad hoc? 
Una di queste botnet è stata smantellata da un gruppo di hacker italiani sei mesi fa: era collegata a una società romana che gestiva una rete di 3mila account Twitter, collegati a un migliaio di account Facebook. Non mi stupirei se un team gestito da Morisi avesse automatizzato e controllasse qualche centinaio o migliaio di account. Qualcosa di simile era già nelle loro mani, con un sistema di tweet automatici su diversi account (documentato da diverse fonti giornalistiche lo scorso gennaio, ndr). L’unica pecca del loro team è la sicurezza informatica, come si è potuto notare dal leak delle informazioni del loro server, avvenuto all’inizio di quest’anno.
Cosa sappiamo sul “gonfiamento” dei numeri social di Salvini?
Abbiamo notato alcune discrepanze, ma in questo momento di grande successo mediatico di Salvini non sono più rilevanti. Abbiamo scoperto alcune botnet di Twitter nate contemporaneamente che, dopo pochi giorni e nello stesso momento, hanno seguito tutte l’account ufficiale di Salvini. La relazione con il suo account era il fatto che supportavano account di estrema destra in Europa, quindi attribuibili a persone vicine a Voice of Europe e gruppi simili, legati a Steve Bannon, come #Altright o #DefendEurope. La pratica di creare fake account è comune: solo pochi giorni fa Twitter ne ha cancellati alcuni milioni.
C’è un modo per riparare simili storture?
C’è poco da fare. In seguito allo scandalo Cambridge Analytica, Facebook ha colpito tutti, impedendo ai ricercatori di studiare questi fenomeni. Le cose non sono cambiate, anzi. Anche a seguito dell’adozione del GDPR (il regolamento sulla protezione dei dati personali, ndr) nei prossimi anni vedremo come si raffineranno le campagne politiche online: sarebbe utile avere leggi che impongano maggior trasparenza su come funzionano le reti social e, naturalmente, maggiore tutela per i cittadini, in particolare per quanto riguarda i propri big data.

          Report: 15,000 Twitter Crypto Scam Giveaway Bots      Cache   Translate Page   Web Page Cache   

15,000 Twitter Crypto Scam Giveaway Bots: Duo Security

This week, researchers uncovered empirical data confirming what most in the crypto Twittersphere already know – the space if flooded with scam bots: 15,000 of them to be exact, according to Duo Security.

Also read: Queensland, Australia Invests Portion of its $6.1Mil Ignite Ideas Fund in Crypto Startup

Researchers Find 15K Twitter Crypto Scam Giveaway Bots

Don’t @ Me: Hunting Twitter Bots at Scale by Duo Security’s Jordan Wright and Olabode Anise is 46 pages of intense fine-tooth combing of data related to the phenomenon of Twitter bots. “Social networks allow people to connect with one another, share ideas, and have healthy conversations. Recently, automated Twitter accounts, or ‘bots,’ have been making headlines for their effectiveness at spreading spam and malware, as well as influencing this online discussion,” the authors began.

Over three months on their way to present findings at Black Hat USA 2018, researchers detail how they “identified botnets, including a spam-spreading botnet case study,” Mr. Wright and Mr. Anise explain, though they “specifically looked for automated accounts, not necessarily malicious automated accounts.”

...


          LEAD INFORMATION SECURITY ANALYST - VeriSign - Reston, VA      Cache   Translate Page   Web Page Cache   
Recognizing common attack vectors such as, recon scans, botnet, malware, command and control activity (C2), worms, trojans, and viruses....
From VeriSign - Sat, 21 Apr 2018 15:19:02 GMT - View all Reston, VA jobs
          Norton Core Validates Need for Home Wi-Fi Network Security: More Than 90 Million ...      Cache   Translate Page   Web Page Cache   

Routers remain the most targeted and exploited device in the home 1

MOUNTAIN VIEW, Calif. (BUSINESS WIRE) Since launching in August 2017, Symantec’s Norton Core secure Wi-Fi

router for the connected home has blocked more than 90 million threats

at the network level. Powered by Symantec’s global Threat Intelligence

Network, the world’s largest civilian cyber intelligence network, Norton

Core is helping defend consumers’ home networks from hackers, botnets

and other sophisticated and aggressive malicious attacks.

Last year, a staggering 143 million Americans experienced cybercrime or

know someone who has more than half the U.S. adult online population 2 .

Further, Symantec research 1

found there was a 600 percent increase in overall IoT attacks since

2017, with routers identified as the most attacked device in the home.

As the world becomes more connected analyst firm Gartner 3

estimated 8.4 billion IoT devices would be in use by the end of 2017.

“Norton Core was developed to address the alarming trend of IoT attacks,

such as VPNFilter, the malware that recently infected more than half a

million routers in more than 50 countries,” said Ameer Karim, vice

president and general manager of Consumer IoT Security at Norton by

Symantec. “It’s mission-critical we continue to provide consumers with

great Wi-Fi performance and peace of mind even while on-the-go by

designing secure products with capabilities that help protect users’

privacy and personal information.”

Drawing on Symantec’s vast security expertise, Norton Core helps protect

consumers’ personal data and information from a variety of different

attacks, including: malware; software specifically designed to gain

access or damage to a computer; phishing and infected websites; botnets;

potentially unwanted programs (PUPs); and other emerging scams that

target consumers.

Since the product’s general availability in August 2017, Norton Core has

blocked more than:

51 million malware attacks 20 million botnets 13 million spam and phishing emails 3 million Potentially Unwanted Programs (PUPs, which are programs that
come bundled and add functions the user didn’t want or that may slow
down systems) 3 million potential scams, which include blocking sites that promote
scams such as work-from-home and pay-to-surf, as well as Ponzi schemes
and sites that provide or sell legally questionable content or services

Norton Core is available for purchase online for $199.99 at Norton.com,

BestBuy.com and Amazon.com, as well as Best Buy stores nationwide.

Purchase of Norton Core, available in Titanium Gold and Granite Gray,

comes bundled with a one-year complimentary subscription to Norton Core

Security Plus, which includes protection for an unlimited number of

connected devices, including computers, smartphones, tablets and smart

connected devices. After the first year, a subscription renewal is

available for $9.99/month. Subscription is required for security and

parental control features. To learn more, visit us.norton.com/core.

About Symantec

Symantec Corporation (NASDAQ: SYMC), the world’s leading cyber security

company, helps organizations, governments and people secure their most

important data wherever it lives. Organizations across the world look to

Symantec for strategic, integrated solutions to defend against

sophisticated attacks across endpoints, cloud and infrastructure.

Likewise, a global community of more than 50 million people and families

rely on Symantec’s Norton and LifeLock product suites to protect their

digital lives at home and across their devices. Symantec operates one of

the world’s largest civilian cyber intelligence networks, allowing it to

see and protect against the most advanced threats. For additional

information, please visit www.symantec.com

or connect with us on Facebook ,

Twitter ,

and LinkedIn .

NOTE TO U.S. EDITORS: If you would like additional information on

Symantec Corporation and its products, please visit the Symantec News

Room at http://www.symantec.com/news .

All prices noted are in U.S. dollars and are valid only in the United

States.

Symantec and the Symantec logo are trademarks or registered trademarks

of Symantec Corporation or its affiliates in the U.S. and other

countries.Other names may be trademarks of their respective owners.

FORWARD-LOOKING STATEMENTS: Any forward-looking indication of

plans for products is preliminary and all future release dates are

tentative and are subject to change. Any future release of the product

or planned modifications to product capability, functionality, or

feature are subject to ongoing evaluation by Symantec, and may or may

not be implemented and should not be considered firm commitments by

Symantec and should not be relied upon in making purchasing decisions.

1

2018

Symantec Internet Security Threat Report

, Symantec, 2018 2
          The Internet of Things Needs Food Safety-Style Ratings for Privacy and Security      Cache   Translate Page   Web Page Cache   

By now, we’re all intimately-familiar with the comically-bad security and privacy standards that plague most modern, internet-connected devices in the internet of things era.

Thanks to companies and evangelists that prioritize profits over privacy and security, your refrigerator can now leak your gmail credentials , your kids' Barbie doll can now be used as a surveillance tool , and your Wi-Fi-enabled tea kettle can open your wireless network to attack .

The paper-mache grade security on many of these devices also makes it trivial to quickly compromise and integrate them into botnets, resulting in the rise in historically-unprecedented DDoS attacks over the last few years. Security is so lacking, many devices can be hacked and integrated into botnets in a matter of just minutes once connected to the internet.

Security researchers like Bruce Schneier have dubbed this a sort of “ invisible pollution .” Pollution, he notes, nobody wants to address because neither the buyer or seller in this chain of dysfunction tends to give much of a damn.

“The owners of those devices don't care,” notes Schneier. “Their devices were cheap to buy, they still work, and they don't even know (the victims of DDoS attacks). The sellers of those devices don't care: they're now selling newer and better models, and the original buyers only cared about price and features.”

In short the market has failed, creating millions of new potential attack vectors annually as an ocean of such devices are mindlessly connected to the internet.

One potential solution? To incorporate security and privacy grades in all product and service reviews moving forward.

“Until now, reviewers have primarily focused on how smart gadgets work, but not how they fail: it's like reviewing cars but only by testing the accelerator, and not the brakes,” activist and author Cory Doctorow told Motherboard.

“The problem is that it's hard to tell how a device fails,” Doctorow said. “‘The absence of evidence isn't the evidence of absence,’ so just because you don't spot any glaring security problems, it doesn't mean there aren't any.”

Countless hardware vendors field products with absolutely zero transparency into what data is being collected or transmitted. As a result, consumers can often find their smart cameras and DVRs participating in DDOS attacks, or their televisions happily hoovering up an ocean of viewing data , which is then bounced around the internet sans encryption .

Product reviews that highlight these problems at the point of sale could go a long way toward discouraging such cavalier behavior toward consumer welfare and a healthy internet, pressuring companies to at least spend a few fleeting moments pretending to care about privacy and security if they value their brand reputation.

To that end, Consumer Reports announced last year it would begin working with non-profit privacy research firm Ranking Digital Rights (RDR) and nonprofit software security-testing organization Cyber Independent Testing Lab (CITL) on a new open source standard intended to help make internet-connected hardware safer.

“If Consumer Reports and other public-interest organizations create a reasonable standard and let people know which products do the best job of meeting it, consumer pressure and choices can change the marketplace. We’ve seen this repeatedly over our 80-year history,” the group argued.

This week, those efforts began taking shape.

Consumer Reports’ latest rankings of mobile payment platforms is the first time security and privacy have factored into the organization’s ratings for any product or service. It’s a practice Geoffrey MacDougall, Consumer Reports' head of partnership and strategy, says will soon be expanded to the organization’s reviews of internet-connected products.


The Internet of Things Needs Food Safety-Style Ratings for Privacy and Security

Such a practice being standardized in service and hardware reviews could go a long way in addressing things like “smart” televisions that spend as much time watching you as you do watching them, or internet-connected door locks that leave you less secure than the dumb alternatives they were supposed to supplant.

Doctorow calls the Consumer Reports’ effort both “welcome and long overdue,” but notes it needs to be the first step in a broader reform campaign.

Passing meaningful consumer privacy rules, like the FCC broadband protections killed by Congress last year , will also play a role. As will efforts to improve transparency, like the Princeton computer science department’s IOT Inspector , which provides the end user with more insight into what IoT devices are actually up to online.

Thwarting efforts by numerous companies to punish and intimidate security researchers also needs to be addressed, notes Doctorow.

“I think the next logical step is to start explicitly calling out companies that reserve the right to sue security researchers through laws like Section 1201 of the DMCA and the Computer Fraud and Abuse Act,” he said. “We know from long experience that just the possibility of retaliation

for criticizing products by pointing out their defects is enough to chill the speech of security researchers.”

For years the internet of things space has been the butt of justified jokes , as we collectively laugh at how we need to approve an overlong TOS just to use our shiny new oven , or the fact we can’t use our thermostat or TV because they were infected by ransomware.

But researchers like Schneier have warned that with millions of new attack vectors being introduced annually thanks to apathetic companies and oblivious consumers, it’s only a matter of time before this systemic dysfunction results in some massive, potentially fatal attacks on essential infrastructure .

With that understood, helping consumers better understand which companies couldn’t care less about privacy and security seems like the very least we can do.


          Bughunting, la economía alrededor de los errores      Cache   Translate Page   Web Page Cache   
Encontrar un fallo de seguridad en una aplicación o servicio conocido puede llegar a ser lucrativo...o meterte en graves problemas legales. Vamos a dar un repaso al arte de reportar vulnerabilidades.

Sabes que está ahí, lo puedes sentir, es ese olor ocre y salino de la sustancia que emana de la presa herida. El cazador lo percibe, agudiza sus sentidos y acecha en silencio; esperando pacientemente al momento adecuado. Un segundo más, abres el editor de texto (Vim, naturalmente) y cambias dos lineas de tu script. Zas!: ejecución remota de código arbitrario conseguida. Premio. ¿Ahora qué hacemos con el trofeo?



Hace poco, leía en una viñeta de esas que aparecen, brillan y se extinguen en un par de milésimas de red social, que los Ingenieros Mecánicos y Aeronáuticos confían plenamente en aquello que diseñan y construyen. Es decir, es seguro y transmiten esa seguridad. Soluciones contrastadas, experimentadas. No dejan espacio al error, lo arrinconan, le temen, lo respetan, pero lo desafían y controlan hasta reducirlo a probabilidades muy reducidas. Ahora pregunta lo mismo a un Ingeniero Informático...

En el software las probabilidades son las mismas, pero en sentido contrario. Es decir, es ridículamente improbable que encuentres un programa que esté libre de errores. Irónicamente...no falla. Hay algo en el proceso de construcción de nuestros ingenios que impide que estén libres de errores. Esto no es nuevo, ya lo dijo el grandísimo Fred Brooks: No hay balas de plata. El software es complejo, mucho y está lejos de ser perfecto.


No hay dos errores iguales

Bien, creo que lo hemos dejado claro o al menos lo hemos intentado. El software está lleno de errores. El problema añadido es que los errores no son idénticos, poseen una jerarquía, gravedad y especializaciones propias. De entre ellos podemos destacar los errores de seguridad, que al fin y al cabo son los que nos interesan. Estos son especialmente graves de por sí, puesto que conllevan un impacto asociado a una necesidad humana: la de sentirnos seguros. 

No es lo mismo un error funcional, por ejemplo: Cuando pulso esta opción de menú aparece una molesta ventana de error, pero el proceso sigue su curso, que uno de seguridad: Cuando pulso sobre esta opción de menú, aparece una molesta ventana de error, le doy al cuadro de ayuda, mostrar propiedades, abrir consola, pum, eres administrador. Evidentemente, las consecuencias no son las mismas.

Además -para mejorar la cosa- está el primo hermano del error: el contexto. Puedes tener un error, poco grave a primera vista y que, por ejemplo, solo afecta al redondeo de unos pocos decimales. ¿Nada grave, verdad? Escala eso a millones de entradas en un software científico y tendrás un error de magnitudes incalculables. La diferencia suficiente entre hallar la vacuna del ébola a encontrar un nuevo colorante industrial para la gaseosa. Uy, por cuatro péptidos de nada.


Economía de mercado

Vale, ya sabemos que el software es un saco de bichos, que estos pueden ser más o menos graves y que las consecuencias de un fallo de seguridad pueden ser desastrosas según el contexto. ¡Anda!, ¿Y qué pasaría si descubres un error por el cual un tercero le podría sacar una rentabilidad económica o mediática? Pues que acabas de encontrar un billete de lotería premiado. Descubres algo, lo trasladas a un interesado a cambio de unos doblones y este usa esa información para su propio beneficio. Eso, amigos, nos lleva a construir una auténtica economía de mercado (con su equivalente paralelo mercado negro) basada en los errores de seguridad.

Servicios de inteligencia, contrainteligencia, brokers de exploits, productores de software de control remoto, unidades militares que participan en operaciones de ciberguerra, robo de propiedad intelectual, etc. Hay intereses de todo tipo y ejemplos que vemos casi a diario de demanda de nuevos zero-days para mantener el frente abierto. Una vez sale el parche, se acabaron las nuevas operaciones...hasta que el siguiente exploit devuelva la pelota al campo. 

Y aun no hemos mencionado las botnets, el cryptojacking y el ransomware. Muchas de ellas se apoyan en la mera ingeniería social e ir probando suerte con campañas de phishing para ir infectando equipos. Sin embargo, esta técnica suele tener un porcentaje sorprendentemente bajo de éxito. No obstante, cuando estas campañas van acompañadas de un exploit fresco, la rentabilidad en los primeros días se dispara exponencialmente. 

Que nadie crea que vender un exploit es algo exclusivo del mercado negro. Existen compañías dispuestas a pagar una suma importante de dineros a cambio de esa secuencia única de ceros y unos. 


Bug hunting, cuando la necesidad crea el producto

Hastiadas por ver como sus productos se convertían en un continuo mercadeo que afecta a sus usuarios, las empresas comenzaron a dar un paso en un peculiar sentido: No lo vendas a ellos, compártelo con nosotros. Ahora son las propias empresas, afectadas por los errores de seguridad en sus productos, las que compran los fallos de seguridad a sus descubridores.

Uno de los primeros programas de este tipo es el de Google. Allá por el 2013 anunció que pagaría por los errores de seguridad en sus productos; ahora incluso por ciertos proyectos de fuente abierta, cuyas librerías son usadas por ellos. Este paso llevó a otras compañías a anunciar el emprendimiento de programas de este tipo con pequeñas variaciones en cuanto a reglas y premios.

Tras ellos, otros con buen olfato vieron claro que aquí había negocio. ¿Por qué no abrir el negocio del reporte de fallos de seguridad? Estaba claro que había una necesidad y, por otro lado, un batallón de personas interesadas en investigar y descubrir fallos. Así que si hay una demanda y por otro una oferta...unámoslos con el pegamento universal que todo el mundo entiende y usa: el dinero.

Este tipo de esquema asume que la gente va a seguir investigando, sean cuales sean sus motivaciones y que los servicios y productos desarrollados por empresas son demasiado grandes como para ser controlados por un departamento. Win-win. Todos ganan, todos contentos.

En algunos casos, el investigador ni tan siquiera es premiado económicamente. Existen programas de recompensas que solo premian con una mención o con merchandising, dependiendo de la gravedad del hallazgo. Esperad, esperad, no os riáis. Una mención puede parecer ridícula, pero en el curriculum de un investigador puede ser la diferencia con el resto de candidatos. Por otro lado, las vulnerabilidades especialmente graves pueden llegar a reportar beneficios de cientos de miles de dólares. Como vemos el abanico de premios es surtido.



¿Cómo reportar una vulnerabilidad que no posee un programa de recompensas?

Es complicado. Muchas empresas no se toman bien este tipo de acciones. Quizás porque derivan a departamentos legales donde no saben maniobrar de otra forma que no sea abriendo fuego contra el supuesto enemigo o porque se toman como una ofensa el que alguien haya estado husmeando en sus servidores. Sea como fuere, si una empresa no indica explícitamente la manera de reportar fallos de seguridad, no se los reportes directamente.

Desde luego no reportar no implica que no des conocimiento. Existen muchísimas posibilidades de hacerlo sin meterte en un lío legal. Por un lado has descubierto algo, sabes que es ético que dicho fallo se conozca y sea reparado, pero por otro tienes miedo de que tu buena intención acabe trayéndote quebraderos de cabeza y arrastres tu alma y tus ahorros por los juzgados del país durante unos cuantos años. 

En España puedes probar con el CERTSI, donde te ofrecen anonimato y si en un plazo de tiempo prudencial no se ha encontrado solución por parte del fabricante, se publicarían los detalles de tu hallazgo con tu nombre si lo deseas.

Francamente, si te gusta encontrar fallos y ganarte un dinero y renombre, las opciones anteriores, del tipo Bugcrowd o Hackerone poseen un buen equilibrio. Busca un programa de recompensas que te interese, léete las condiciones y a cazar!





David García
@dgn1729







          The Kremlin Is Quaking as New Sanctions Multiply      Cache   Translate Page   Web Page Cache   
Pavel Golovkin/Reuters

MOSCOW—Grim predictions for the future of Russia’s economy swept over Moscow this week like shock waves.

The announcement by the U.S. State Department on Wednesday that it would impose new sanctions because of Moscow’s alleged attempt to murder an ex-spy in Britain with the chemical weapon novichok is only the latest trauma.

Russian papers, talk shows, and officials already were obsessing over the “Defending American Security from Kremlin Aggression Act” proposed in the U.S. Senate by Republicans as well as Democrats. Aiming to punish Russia for alleged meddling in U.S. elections and deter it in the future, the bill promised to ban major Russian banks, freeze operations by Russian gas and oil companies, shut down Russian botnets, and investigate President Vladimir Putin’s personal wealth, among other measures.

Read more at The Daily Beast.


          Etude Kaspersky Lab: Imprimantes, e-Sport et crypto monnaies, le dernier rapport d’intelligence de Kaspersky sur les attaques DDoS les combine tous      Cache   Translate Page   Web Page Cache   

Pour son 2ème rapport trimestriel de 2018, Kaspersky Lab s’est intéressé aux attaques DDoS assistées par des botnets. La société de cybersécurité a constaté lors de ces 3 derniers mois que les cybercriminels se sont de nouveau penchés sur d’anciennes vulnérabilités, mais qu’ils se sont également particulièrement servis des imprimantes et caméras pour leurs attaques […]

L’article Etude Kaspersky Lab: Imprimantes, e-Sport et crypto monnaies, le dernier rapport d’intelligence de Kaspersky sur les attaques DDoS les combine tous est apparu en premier sur DOCaufutur --.


          LEAD INFORMATION SECURITY ANALYST - VeriSign - Reston, VA      Cache   Translate Page   Web Page Cache   
Recognizing common attack vectors such as, recon scans, botnet, malware, command and control activity (C2), worms, trojans, and viruses....
From VeriSign - Sat, 21 Apr 2018 15:19:02 GMT - View all Reston, VA jobs
          Piping Botnet – Turning Green Technology into a Water Disaster      Cache   Translate Page   Web Page Cache   
Comments
          LEAD INFORMATION SECURITY ANALYST - VeriSign - Reston, VA      Cache   Translate Page   Web Page Cache   
Recognizing common attack vectors such as, recon scans, botnet, malware, command and control activity (C2), worms, trojans, and viruses....
From VeriSign - Sat, 21 Apr 2018 15:19:02 GMT - View all Reston, VA jobs
          Researchers Identify 15,000-Strong Botnet Scamming Crypto Twitter      Cache   Translate Page   Web Page Cache   
via NewsBTC at August 10, 2018 at 09:10PM Ready Full Article: https://www.newsbtc.com/2018/08/10/res


Next Page: 10000

Site Map 2018_01_14
Site Map 2018_01_15
Site Map 2018_01_16
Site Map 2018_01_17
Site Map 2018_01_18
Site Map 2018_01_19
Site Map 2018_01_20
Site Map 2018_01_21
Site Map 2018_01_22
Site Map 2018_01_23
Site Map 2018_01_24
Site Map 2018_01_25
Site Map 2018_01_26
Site Map 2018_01_27
Site Map 2018_01_28
Site Map 2018_01_29
Site Map 2018_01_30
Site Map 2018_01_31
Site Map 2018_02_01
Site Map 2018_02_02
Site Map 2018_02_03
Site Map 2018_02_04
Site Map 2018_02_05
Site Map 2018_02_06
Site Map 2018_02_07
Site Map 2018_02_08
Site Map 2018_02_09
Site Map 2018_02_10
Site Map 2018_02_11
Site Map 2018_02_12
Site Map 2018_02_13
Site Map 2018_02_14
Site Map 2018_02_15
Site Map 2018_02_15
Site Map 2018_02_16
Site Map 2018_02_17
Site Map 2018_02_18
Site Map 2018_02_19
Site Map 2018_02_20
Site Map 2018_02_21
Site Map 2018_02_22
Site Map 2018_02_23
Site Map 2018_02_24
Site Map 2018_02_25
Site Map 2018_02_26
Site Map 2018_02_27
Site Map 2018_02_28
Site Map 2018_03_01
Site Map 2018_03_02
Site Map 2018_03_03
Site Map 2018_03_04
Site Map 2018_03_05
Site Map 2018_03_06
Site Map 2018_03_07
Site Map 2018_03_08
Site Map 2018_03_09
Site Map 2018_03_10
Site Map 2018_03_11
Site Map 2018_03_12
Site Map 2018_03_13
Site Map 2018_03_14
Site Map 2018_03_15
Site Map 2018_03_16
Site Map 2018_03_17
Site Map 2018_03_18
Site Map 2018_03_19
Site Map 2018_03_20
Site Map 2018_03_21
Site Map 2018_03_22
Site Map 2018_03_23
Site Map 2018_03_24
Site Map 2018_03_25
Site Map 2018_03_26
Site Map 2018_03_27
Site Map 2018_03_28
Site Map 2018_03_29
Site Map 2018_03_30
Site Map 2018_03_31
Site Map 2018_04_01
Site Map 2018_04_02
Site Map 2018_04_03
Site Map 2018_04_04
Site Map 2018_04_05
Site Map 2018_04_06
Site Map 2018_04_07
Site Map 2018_04_08
Site Map 2018_04_09
Site Map 2018_04_10
Site Map 2018_04_11
Site Map 2018_04_12
Site Map 2018_04_13
Site Map 2018_04_14
Site Map 2018_04_15
Site Map 2018_04_16
Site Map 2018_04_17
Site Map 2018_04_18
Site Map 2018_04_19
Site Map 2018_04_20
Site Map 2018_04_21
Site Map 2018_04_22
Site Map 2018_04_23
Site Map 2018_04_24
Site Map 2018_04_25
Site Map 2018_04_26
Site Map 2018_04_27
Site Map 2018_04_28
Site Map 2018_04_29
Site Map 2018_04_30
Site Map 2018_05_01
Site Map 2018_05_02
Site Map 2018_05_03
Site Map 2018_05_04
Site Map 2018_05_05
Site Map 2018_05_06
Site Map 2018_05_07
Site Map 2018_05_08
Site Map 2018_05_09
Site Map 2018_05_15
Site Map 2018_05_16
Site Map 2018_05_17
Site Map 2018_05_18
Site Map 2018_05_19
Site Map 2018_05_20
Site Map 2018_05_21
Site Map 2018_05_22
Site Map 2018_05_23
Site Map 2018_05_24
Site Map 2018_05_25
Site Map 2018_05_26
Site Map 2018_05_27
Site Map 2018_05_28
Site Map 2018_05_29
Site Map 2018_05_30
Site Map 2018_05_31
Site Map 2018_06_01
Site Map 2018_06_02
Site Map 2018_06_03
Site Map 2018_06_04
Site Map 2018_06_05
Site Map 2018_06_06
Site Map 2018_06_07
Site Map 2018_06_08
Site Map 2018_06_09
Site Map 2018_06_10
Site Map 2018_06_11
Site Map 2018_06_12
Site Map 2018_06_13
Site Map 2018_06_14
Site Map 2018_06_15
Site Map 2018_06_16
Site Map 2018_06_17
Site Map 2018_06_18
Site Map 2018_06_19
Site Map 2018_06_20
Site Map 2018_06_21
Site Map 2018_06_22
Site Map 2018_06_23
Site Map 2018_06_24
Site Map 2018_06_25
Site Map 2018_06_26
Site Map 2018_06_27
Site Map 2018_06_28
Site Map 2018_06_29
Site Map 2018_06_30
Site Map 2018_07_01
Site Map 2018_07_02
Site Map 2018_07_03
Site Map 2018_07_04
Site Map 2018_07_05
Site Map 2018_07_06
Site Map 2018_07_07
Site Map 2018_07_08
Site Map 2018_07_09
Site Map 2018_07_10
Site Map 2018_07_11
Site Map 2018_07_12
Site Map 2018_07_13
Site Map 2018_07_14
Site Map 2018_07_15
Site Map 2018_07_16
Site Map 2018_07_17
Site Map 2018_07_18
Site Map 2018_07_19
Site Map 2018_07_20
Site Map 2018_07_21
Site Map 2018_07_22
Site Map 2018_07_23
Site Map 2018_07_24
Site Map 2018_07_25
Site Map 2018_07_26
Site Map 2018_07_27
Site Map 2018_07_28
Site Map 2018_07_29
Site Map 2018_07_30
Site Map 2018_07_31
Site Map 2018_08_01
Site Map 2018_08_02
Site Map 2018_08_03
Site Map 2018_08_04
Site Map 2018_08_05
Site Map 2018_08_06
Site Map 2018_08_07
Site Map 2018_08_08
Site Map 2018_08_09
Site Map 2018_08_10