When the app tries to make you robo-scab

When we talk about the abusive nature of gig work, there’s some obvious targets, like algorithmic wage discrimination, where two workers are paid different rates for the same job, in order to trick occasional gig-workers to give up their other sources of income and become entirely dependent on the app:

https://pluralistic.net/2023/04/12/algorithmic-wage-discrimination/#fishers-of-men

Then there’s the opacity — imagine if your boss refused to tell you how much you’ll get paid for a job until after you’ve completed it, claimed that this was done in order to “protect privacy” — and then threatened anyone who helped you figure out the true wage on offer:

https://pluralistic.net/2021/08/07/hr-4193/#boss-app

Opacity is wage theft’s handmaiden: every gig worker producing content for a social media algorithm is subject to having their reach — and hence their pay — cut based on the unaccountable, inscrutable decisions of a content moderation system:

https://pluralistic.net/2022/12/10/e2e/#the-censors-pen

Making content for an algorithm is like having a boss that docks every paycheck because you broke rules that you are not allowed to know, because if you knew the rules, you’d figure out how to cheat without your boss catching you. Content moderation is the last place where security through obscurity is considered good practice:

https://doctorow.medium.com/como-is-infosec-307f87004563

When workers seize the means of computation, amazing things happen. In Indonesia, gig workers create and trade tuyul apps that let them unilaterally modify the way that their bosses’ systems see them — everything from GPS spoofing to accessibility mods:

https://pluralistic.net/2021/07/08/tuyul-apps/#gojek

So the tech and labor story isn’t wholly grim: there are lots of ways that tech can enhance labor struggles, letting workers collaborate and coordinate. Without digital systems, we wouldn’t have the Hot Strike Summer:

https://pluralistic.net/2022/12/02/not-what-it-does/#who-it-does-it-to

As the historic writer/actor strike shows us, the resurgent labor movement and the senescent forces of crapulent capitalism are locked in a death-struggle over not just what digital tools do, but who they do it for and who they do it to:

https://locusmag.com/2022/01/cory-doctorow-science-fiction-is-a-luddite-literature/

When it comes to the epic fight over who technology acts for and against, we need a diversity of tactics, backstopped by tech operated by and for its users — and by laws that protect workers and the public. That dynamic is in sharp focus in UNITE Here Local 11’s strike against Orange County’s Laguna Cliffs Marriott Resort & Spa.

The UNITE Here strike turns on the usual issues like a living wage (hotel staff are paid so little they have to rent rooming-house beds by the shift, paying for the right to sleep in a room for a few hours at a time, without any permanent accommodation). They’re also seeking health-care and pensions, so they can be healthy at work and retire after long service. Finally, they’re seeking their employer’s support for LA’s Responsible Hotels Ordinance, which would levy a tax on hotel rooms to help pay for hotel workers’ housing costs (a hotel worker who can’t afford a bed is the equivalent of a fast food worker who has to apply for food stamps):

https://www.unitehere11.org/responsible-hotels-ordinance/

But the Marriott — which is owned by the University of California and managed by Aimbridge Hospitality — has refused to bargain, walking out negotiations.

But the employer didn’t walk out over wages, benefits or support for a housing subsidy. They walked out when workers demanded that the scabs that the company was trying to hire to break the strike be given full time, union jobs.

These aren’t just any scabs, either. They’re predominantly Black workers who rely on the $700m Instawork app for gigs. These workers are being dispatched to cross the picket line without any warning that they’re being contracted as strikebreakers. When workers refuse the cross the picket and join the strike, Instawork cancels all their shifts and permanently blocks them from new jobs.

This is a new, technologically supercharged form of illegal strikebreaking. It’s one thing for a single boss to punish a worker who refuses to scab, but Instawork acts as a plausible-deniability filter for all the major employers in the region. Like the landlord apps that allow landlords to illegally fix rents by coordinating hikes, Instawork lets bosses illegally collude to rig wages by coordinating a blocklist of workers who refuse to scab:

https://arstechnica.com/tech-policy/2022/10/company-that-makes-rent-setting-software-for-landlords-sued-for-collusion/?comments=1

The racial dimension is really important here: the Marriott has a longstanding de facto policy of refusing to hire Black workers, and whenever they are confronted with this, they insist that there are no qualified Black workers in the labor pool. But as soon as the predominantly Latino workforce struck, Marriott discovered a vast Black workforce that it could coerce into scabbing, in collusion with Instawork.

Now, all of this isn’t just sleazy, it’s illegal, a violation of Section 7 of the NLRB Act. Historically, that wouldn’t have mattered, because a string of presidents, R and D, have appointed useless do-nothing ghouls to run the NLRB. But the Biden admin, pushed by the party’s left wing, made a string of historic, excellent appointments, including NLRB General Counsel Jennifer Abruzzo, who has set her sights on punishing gig work companies for flouting labor law:

https://pluralistic.net/2022/01/10/see-you-in-the-funny-papers/#bidens-legacy

UNITE HERE 11 has brought a case to the NLRB, charging the Instawork, the UC system, Marriott, and Aimbridge with violating labor law by blackmailing gig workers into crossing the picket line. The union is also asking the NLRB to punish the companies for failing to protect workers from violent retaliation from the wealthy hotel guests who have punched them and screamed epithets at them. The hotel has refused to identify these thug guests so that the workers they assaulted can swear out complaints against them.

Writing about the strike for Jacobin, Alex N Press tells the story of Thomas Bradley, a Black worker who was struck off all Instawork shifts for refusing to cross the picket line and joining it instead:

https://jacobin.com/2023/07/southern-california-hotel-workers-strike-automated-management-unite-here

Bradley’s case is exhibit A in the UNITE HERE 11 case before the NLRB. He has a degree in culinary arts, but racial discrimination in the industry has kept him stuck in gig and temp jobs ever since he graduated, nearly a quarter century ago. Bradley lived out of his car, but that was repossessed while he slept in a hotel room that UNITE HERE 11 fundraised for him, leaving him homeless and bereft of all his worldly possessions.

With UNITE HERE 11’s help, Bradley’s secured a job at the downtown LA Westin Bonaventure Hotel & Suites, a hotel that has bargained with the workers. Bradley is using his newfound secure position to campaign among other Instawork workers to convince them not to cross picket lines. In these group chats, Jacobin saw workers worrying “that joining the strike would jeopardize their standing on the app.”

Today (July 30) at 1530h, I’m appearing on a panel at Midsummer Scream in Long Beach, CA, to discuss the wonderful, award-winning “Ghost Post” Haunted Mansion project I worked on for Disney Imagineering.

If you'd like an essay-formatted version of this thread to read or share, here's a link to it on pluralistic.net, my surveillance-free, ad-free, tracker-free blog:

https://pluralistic.net/2023/07/30/computer-says-scab/#instawork

[Image ID: An old photo of strikers before a struck factory, with tear-gas plumes rising above them. The image has been modified to add a Marriott sign to the factory, and the menacing red eye of HAL9000 from Stanley Kubrick's '2001: A Space Odyssey' to the sky over the factory. The workers have been colorized to a yellow-green shade and the factory has been colorized to a sepia tone.]

Image: Cryteria (modified) https://commons.wikimedia.org/wiki/File:HAL9000.svg

CC BY 3.0 https://creativecommons.org/licenses/by/3.0/deed.en

Ups 🙊 como cuando estás buscando algo y aparece un SQLi y no te puedes resistir.... solo como planteamiento de práctica y educación 😉.... jajaja 🤣 . _/﹋\_ (҂`_´) -''Let's Hacking'' <,︻╦╤─ ҉ - - - - _/\_ . . . #pentester #vulnerabilityassessment #HackingTools #Pentest #Pentesting #VulnerabilityAssessment #EthicalHacking #InfoSec #CyberSecurity #EthicalHacker #ceh #diabetichacker #darkdevil #hacker #hacking #whitehat #greyhat #blackhat #owasp #osstmm #issaf #ptes https://www.instagram.com/p/B0mCTG8Apwd/?igshid=q2bmxkxu6tmo

Lo que los profesionales de InfoSec pueden enseñar a la organización sobre ESG

Lo que los profesionales de InfoSec pueden enseñar a la organización sobre ESG

Con los nuevos requisitos de generación de informes que se avecinan, la experiencia de los líderes en seguridad de la información los posiciona como colaboradores clave para mejorar la gestión de sus empresas. ambientales, sociales y de gobernanza (ESG) postura. El principio fundamental detrás de ESG es que se requiere transparencia para comprender si los socios comerciales son éticos y tienen un…

View On WordPress

Nesse retorno pós-pandemia nosso especialista que irá conduzir é nada mais na menos que: Marcus Fábio Fontenelle - Mestre em Informática Aplicada, Especializações em "Computação Forense e Perícia Digital", "Direito Digital" e "Sistemas de Telecomunicações" . Cursos de extensão no Massachusetts Institute of Technology (MIT) em Cambridge/EUA: "Cybersecurity - Technology, Application and Policy" e "Applied Cybersecurity". Perito Criminal na Seção de Computação Forense da Polícia Científica do Paraná (PCP-PR). Atuou como Perito Judicial em Computação Forense tendo realizado perícias em diversas varas da justiça estadual na cidade de Fortaleza e região metropolitana, além de ter atuado como assistente técnico em outros Estados da Federação e realizado perícias com foco em resposta a incidentes de segurança para corporações de diversos seguimentos. Nomeado Infosec Competence Leader (2018/2019) nas seguintes categorias: "Segurança Defensiva" e "Tratamento e Análise de Incidentes". Professor universitário desde 2005. Instrutor de treinamentos na área de segurança da informação tendo ministrado treinamento para profissionais de empresas de destaque nacional, tais como: Bradesco(SP), FIEC (Federação das Indústrias do Estado do Ceará), ITAÚ(SP), SABESP(SP), DETRAN(RO), TRE(CE), TRE(PR), Receita Federal(CE), dentre outras. Detentor de certificações de diversas entidades internacionais, destacando-se: Ethical Hacking (CEH), Computer Hacking Forensic Investigator (CHFI), Cloud Essentials+, Network+, Security+ e ISO/IEC 27002. Acesse agora www.clubedohacker.org e garanta sua vaga! https://www.instagram.com/p/CU_dbPBN2yS/?utm_medium=tumblr

#TIPS de seguridad y #CIBERSEGURIDAD Amigos míos, amigos todos, saludos cordiales respetados Colegas: Los gobiernos han convertido la ciberseguridad en una de sus prioridades estratégicas, debido a su impacto directo en la seguridad nacional y la competitividad de las empresas. El término ciberseguridad se define como la habilidad de proteger y defender las redes o sistemas de los ciberataques. No obstante, este concepto ha tenido una evolución significativa en los últimos 30 años. Los conceptos iniciales asociados a la ciberseguridad datan de finales del siglo pasado. A partir de 1990, la OTAN aglutina las definiciones de seguridad de transmisión (TRANSEC), seguridad de redes (NETSEC) y seguridad de ordenadores (COMPUSEC) en un concepto único denominado seguridad de la Información (INFOSEC) que debe proteger la información en sus tres dimensiones de confidencialidad, integridad y disponibilidad. Posteriormente, en 2002, Estados Unidos propone enriquecer este concepto con el de aseguramiento de la información (Information assurance) e introduce dos nociones más: autenticidad y no repudio (traducido como trazabilidad). Estos se incorporan a la Seguridad de las Tecnologías de Información y Comunicaciones (STIC) debiendo proteger la información y los sistemas que la manejan en las cinco dimensiones: 1. Confidencialidad 2. Integridad 3. Disponibilidad 4. Autenticidad 5. Trazabilidad @ccibague @colCERT @CaiVirtual Alcaldía Roncesvalles Tolima Alcaldía Mayor de Bogotá Alcaldía de Medellín Alcaldía de Ibagué Alcaldía Distrital de Barranquilla Alcaldía de Cali Alcaldia Municipal de Alpujarra Tolima Cámara de Comercio Ibagué https://documentcloud.adobe.com/link/review?uri=urn:aaid:scds:US:d4b20382-18c1-4177-89b3-d9dcc33f55b4 https://www.instagram.com/p/CU-CBSiL9IJ/?utm_medium=tumblr

CSRF -Summary-

CSRF -Summary- @hacking @pentesting @bugbounty @infosec @hackers @CSRF

Hola a todos, después de haber realizado todos los ejercicios del CourseWork de HackerOne, iremos haciendo un breve resumen de las vulnerabilidades encontradas y de como facilitar la localización y explotación.

CSRF

En estos ataques, el atacante crea un código HTML que obliga al navegador del usuario a realizar una acción directa a la aplicación vulnerable, pudiendo ser agregar, eliminar…

View On WordPress

Cómo dominar trazabilidad hacia atras- ceaordenadores.com en 6 pasos simples

Las actividades de seguridad cibernética y seguridad de la información (InfoSec) se llevan a cabo para proteger los datos, la información, los sistemas y los usuarios.

Las partes interesadas en la seguridad, ceaordenadores.com/almacen/software-trazabilidad los programas y los sistemas trabajan conjuntamente para asegurar que se cumplan los objetivos comerciales y, al mismo tiempo, reducir al mínimo el riesgo de amenazas suponiendo que se pierdan los datos o el control de los sistemas.

Esta pérdida puede deberse a robos, desastres naturales, mal funcionamiento de PCs o servidores, operaciones no autorizadas o riesgosas, o a algún otra amenaza. Los enfoques de administración de programas y seguridad se combinan para maximizar las funcionalidades y habilidades comerciales y, al mismo tiempo, proteger a una organización.

Estos enfoques incluyen gestión de Requisitos, administración de riesgos, Escaneo de puerta de inseguridad a las Amenazas, monitoreo Continuo, y Respaldos de Sistemas e Información.

Todos estos enfoques de gestión requieren una vivencia importante para maximizar los resultados y evadir problemas que de otro modo podrían haberse evitado. Los directores de programas, como representantes de sus empresas y clientes, requieren la entrega oportuna de productos y servicios de calidad a las operaciones.

La experiencia significativa maximiza la calidad y el desempeño de los productos y, de forma simultanea, minimiza los peligros.

La experiencia facilita la supervisión, la colaboración abierta y la toma de elecciones para maximizar la innovación, la fiabilidad, la sostenibilidad y la sincronización de activos y elementos.

Una importante preocupación de la gestión de programas hoy en dia es que cada entidad recopila, trata y almacena una gran cantidad de información confidencial y la comparte por medio de distintas redes privadas y públicas con otras PCs.

Esta preocupación se ve agravada por el ágil ritmo de la tecnología, el software, las normas y otros cambios de los que la industria debe ser consciente. Es esencial que esta información se gestione cuidadosamente dentro de las compañias y se proteja para evitar que tanto la compañía como sus clientes sufran pérdidas financieras generalizadas e irreparables, por no hablar de los daños a la valoración de su compañía.

La custodia de nuestros datos e información es un requisito ético y legal para cada proyecto y necesita un deber proactivo para ser eficiente.

Se utilizan múltiples utilidades y técnicas de ciberseguridad para administrar eficazmente el compromiso en el avance de sistemas y operaciones comerciales.

Por necesidad, las ocupaciones de administración, ingeniería y ciberseguridad deben trabajar de forma proactiva dentro de la ejecución de los requisitos para maximizar las funcionalidades y capacidades del sistema y, simultáneamente, minimizar los peligros.

No se equivoquen; las amenazas a nuestros negocios, sistemas y individuos existen. mientras los requisitos se documentan suficientemente, también lo tienen que hacer los controles de seguridad que tienen por objeto ayudar a mitigar los riesgos conocidos de nuestros sistemas.

Los requisitos y las amenazas se documentan de forma muy semejante a la de la trazabilidad y la repetibilidad.

Se requiere una administración proactiva para llevar a cabo, realizar, controlar, probar, verificar y validar que se han cumplido los requisitos y se han mitigado las amenazas ajustables.

La distingue en la gestión es que mientras que los requisitos tienen que cumplirse en última instancia, las amenazas se gestionan y se mitigan en función de la posibilidad y la gravedad de la amenaza para nuestros individuos, empresas y sistemas. Los riesgos se documentan para exhibir la gestión y la mitigación.

La documentación de estos requisitos y amenazas y sus datos de acompañamiento es la clave del esfuerzo proactivo y repetible que se necesita. creemos que el mejor enfoque para llevar a cabo esto es mantener esta gestión tan directa como sea posible y tan detallada como sea necesario para planificar, ejecutar y vigilar el programa o negocio.

Los procesos del Marco de gestión de riesgos (RMF) se aplican a los Controles de Seguridad que están en las referencias de Ciberseguridad y Seguridad de la Información.

Estas actividades del RMF están bien documentadas y se superponen a las mejores prácticas de gestión e ingeniería. comunmente, se va a encontrar que las actividades recomendadas del RMF son actividades que ya debería estar realizando con una rivalidad importante.

La trazabilidad de estas ocupaciones de programa y seguridad necesita la aptitud de comprobar la historia y el estado de cada control de seguridad, independientemente de si el sistema está desarrollandose o en funcionamiento.

La documentación por necesidad es descriptiva. La trazabilidad tiene dentro la identificación entre los requisitos, el control de seguridad y la información que se requiere para rastrear entre los requisitos, los controles de seguridad, las estrategias, las reglas, los proyectos, los procesos, los procedimientos, los ajustes de control y otra información que se requiere para garantizar el avance del período de vida y la repetibilidad operacional.

La experiencia en la gestión de https://www.ceaordenadores.com/almacen/trazabilidad-web programas y la gestión de peligros es de consideración escencial para la administración de los requisitos y los peligros. Una ayuda tremenda y primordial de los expertos es la Matriz de Trazabilidad de Requisitos (RTM) y la Matriz de Trazabilidad de Control de Seguridad (SCTM).

La RTM y la SCTM son principalmente directas en su propósito y alcance, lo que facilita la trazabilidad y la repetibilidad del programa. Las variables de una RTM y SCTM tienen la posibilidad de ejemplos de trazabilidad en alimentos ser muy similares y se adaptan a las necesidades del programa y del cliente. Hay muchos ejemplos de los datos del contenido de la RTM o del SCTM

http://query.nytimes.com/search/sitesearch/?action=click&contentCollection&region=TopBar&WT.nav=searchWidget&module=SearchSubmit&pgtype=Homepage#/trazabilidad

Arkavia News 14 de octubre de 2019 Info. Otros HACE UNA HORA CONOCE LA LISTA DE PAÍSES DE LATINOAMÉRICA AFECTADOS POR LA FALLA SIMJACKER Hace exactamente un mes, publicamos un artículo sobre Simjacker, la vulnerabilidad crítica presente en tarjetas SIM que podría ser explotada por atacantes de forma remota para comprometer teléfonos móviles objetivo y espiar a las víctimas simplemente enviando un SMS. La vulnerabilidad reside en el kit de herramientas SIM dinámico del navegador (SIMalliance Toolbox, abreviado como S@T), el cual viene integrado en la mayoría de las tarjetas SIM utilizadas por los operadores móviles. Los expertos descubrieron que la explotación de esta vulnerabilidad es independiente del modelo de teléfono utilizado por la víctima. Ahora, los responsables de la investigación, publicaron la lista de países donde los operadores móviles están utilizando tarjetas SIM afectadas por esta falla crítica, de todos modos la compañía no entregó nombres de operadoras afectadas. Debajo de la lista completa de países publicada por los expertos: Centroamérica: México, Guatemala, Belice, República Dominicana, El Salvador, Honduras, Panamá, Nicaragua, Costa Rica. Suramérica: Brasil, Perú, Colombia, Ecuador, Chile, Argentina, Uruguay, Paraguay. África: Costa de Marfil, Ghana, Benin, Nigeria, Camerún Europa: Italia, Bulgaria, Chipre Asia: Arabia Saudita, Iraq, Líbano, Palestina La aplicación del navegador S@T se instala en varias tarjetas SIM, incluida eSIM, como parte del Kit de herramientas SIM (STK), permite que la tarjeta SIM inicie acciones que se pueden utilizar para diversos servicios del teléfono víctima. Dado que S@T implementa una serie de instrucciones STK (es decir, enviar, llamar, iniciar el navegador, proporcionar datos locales, ejecutar comandos, etc) que se pueden desencadenar enviando un SMS al teléfono. En conclusión, el ataque Simjacker involucra un SMS que contiene comandos que le indican a la tarjeta SIM en el teléfono que "se haga cargo" del teléfono. Los expertos explicaron que el ataque es prácticamente invisible para todos los usuarios, las víctimas no notarán ninguna anomalía. #infosec#telefonia#cibersegurida #smartphones#simcard COMPART https://www.instagram.com/p/B3mluDpFqI3/?igshid=akd620re86md

Em dias atuais, novas tecnologias surgem em um menor espaço de tempo. Para acompanhar essa evolução, a NetDom está sempre antenada no mundo high-tech. Com a Internet das Coisas (IoT) mudamos não só a forma como vivemos, mas também como trabalhamos. A extensão da internet atual possibilita que objetos do dia-a-dia, quaisquer que sejam, tenham capacidade computacional e de comunicação entre si. Na foto, uma máquina chinesa de corte a laser conectada a internet e operacionalizada via rede. Nowadays, new technologies emerge in a shorter space of time. To keep up with this evolution, NetDom is always attuned to the high-tech world. With the Internet of Things (IoT) we change not only the way we live but also how we work. The extension of the current internet enables everyday objects, whatever they may be, to have computational and communication capabilities among themselves. Pictured is a Chinese Internet-connected, network-operated laser cutting machine. #netdom #iot #internetdascoisas #redesdecomputadores #computerscience #infosec #cisco #networkengineer #networking #informationtechnology #ccna #ccnet #google #tech #bigdata #IT #protocols #dhcp #arduino #sonoff https://www.instagram.com/p/B1-ZKrtAYHb/?igshid=1fngv3jjyboef

RT @Brasp_: Como aproveitar ao máximo seu orçamento de segurança #infosec #blockchain: https://t.co/4WNVZxapKl https://t.co/ZfwkKkk7KH

Como aproveitar ao máximo seu orçamento de segurança #infosec #blockchain: https://t.co/4WNVZxapKl pic.twitter.com/ZfwkKkk7KH

— Brasp (@Brasp_) June 30, 2020

from Twitter https://twitter.com/nickvit June 30, 2020 at 05:02PM via IFTTT via Blogger https://ift.tt/2BTx6yl

Todo sobre Descubren un segundo fallo de Steam sin parchear que permite hackear tu PC

Información sobre Descubren un segundo desacierto de Steam sin parchear que permite hackear tu PC / Seguridad|Software|Virus / de|descubren|desacierto|hackear|parchear|PC|permite|segundo|SIN|Steam|tu

Valve no sólo no ha parcheado la primera vulnerabilidad de Steam, sino que ahora hay una segunda igual de dificultoso

La primera vulnerabilidad fue descubierta por Vasily Kravets, que contactó con Valve para que la arreglaran. Sin retención, Valve hizo caso omiso, y cuando Kravets insistió a la compañía, le expulsaron de la plataforma HackerOne a través de la cual Valve paga a los usuarios que encuentran fallos en sus productos.

Así, no sólo Valve no ha parcheado la primera, sino que siquiera tiene parcheada una segunda vulnerabilidad de día cero encontrada esta semana por el mismo investigador. La primera de ellas era una vulnerabilidad que permitía ascender privilegios para que un atacante pudiera ejecutar cualquier software con los máximos privilegios en los ordenadores que tengan Windows y Steam instalado. El investigador decidió publicarla cuando Valve le dijo que no tenía intención de arreglarlo. Valve lanzó incluso un parche que el investigador afirma que puede saltarse fácilmente.

I found a way to bypass the fix. The bypass requires dropping a file in a nonadmin-writable location, so I think it’s out-of-scope for Valve. Write-up: https://t.co/Lalum8LTvY cc @PsiDragon @enigma0x3 @steam_games #infosec #steam #bugbounty https://t.co/qIylEG7u2L

— Xiaoyin Liu (@general_nfs) August 15, 2019

Ahora, la nueva vulnerabilidad puede aprovecharse por un hacker por omisión de Valve, donde hay una combinación de permisos inseguros en las carpetas de Steam, en la sección del Registro de Steam, y comprobaciones insuficientes en el proceso de autoactualización de Steam.

Esta vulnerabilidad no requiere de privilegios ni requisitos específicos para que el atacante pueda tomar el control de Steam. La subida de privilegios es regional, aunque no es necesario tener ataque físico al dispositivo para aprovecharla. Cualquier usufructuario en el PC podría hacerlo, incluyendo uno que esté como Invitado.

Valve no ha arreglado ninguna de las dos todavía

Para usar el desacierto, es necesario obtener los archivos CreateMountPoint.exe y SetOpLock.exe, y modificar la estructura del software eliminando el archivo bin. Para ello, hay que renombrar o eliminar las carpetas de Steam, o eliminar la ruta de instalación (InstallPath) del registro yendo a HKLMSOFTWAREWow6432NodeValvesteam. A partir de ahí, es posible ejecutar un DLL en el interior del servicio de Steam oportuno a la partida de comprobaciones en el proceso de modernización cibernética, pudiendo obtener los privilegios que el usufructuario quiera. En el ulterior vídeo se ve el proceso.

Steam tiene ahora mismo más de 1.000 millones de usuarios registrados y casi 100 millones de usuarios activos, por lo que la cojín de usuarios que pueden ser hackeados es enorme. Cualquier persona que se vea afectada por la vulnerabilidad puede ver cómo un hacker instala un rootkit, desactiva el antivirus o el cortafuegos, roba datos, instala un hardware de minado, y un dispendioso etcétera. Por ello, esperemos que Valve recapacite y solucione el desacierto.

Esperamos que te haya gustado el articulo sobre, Seguridad|Software|Virus / Descubren un segundo desacierto de Steam sin parchear que permite hackear tu PC y si te complacencia el artículo que escribimos para ti compartirlo con tus amigos así cada vez somos más

La entrada Todo sobre Descubren un segundo fallo de Steam sin parchear que permite hackear tu PC se publicó primero en El rincon de diego.

Por El rincon de diego

Así es como trabajo desde casa 👩🏻‍💻 no me gusta la luz 💡 me gusta la penumbra jajaja 😝 😷 🦠 👨🏻‍💻😈🕵🏻‍♂️🚀🦠 😷 |￣￣￣￣￣￣￣￣￣￣￣|               Hackers       We’re awesome |＿＿＿＿＿＿＿＿＿＿＿|                 \ (•◡•) /                   \       /                     ---                     |   | #pentester #vulnerabilityassessment #HackingTools #Pentest #Pentesting #VulnerabilityAssessment #EthicalHacking #InfoSec #CyberSecurity #EthicalHacker #ceh #diabetichacker #darkdevil #hacker #hacking #whitehat #greyhat #blackhat #owasp #osstmm #issaf #ptes #redteam #blueteam #purpletiieam https://www.instagram.com/p/CQtWaYuDr0T/?utm_medium=tumblr

HYAS trae detección de amenazas de seguridad, respuesta a redes de producción

HYAS trae detección de amenazas de seguridad, respuesta a redes de producción

Al llevar las capacidades de detección y respuesta a amenazas a las redes de producción, la empresa de ciberseguridad HYAS Infosec está lista para lanzar una nueva solución de seguridad específicamente dirigida denominada HYAS Confront. Con el objetivo de abordar los problemas de seguridad en las redes de producción basadas en la nube, que la compañía define como la infraestructura detrás de las…

View On WordPress

Metasploit Lanza Exploit Y Módulo Para BlueKeep

Los desarrolladores Metasploit han lanzado un exploit para la vulnerabilidad de Windows BlueKeep. Mientras que otros investigadores de seguridad han lanzado sólo el código de la prueba de concepto, este exploit es lo suficientemente avanzado como para lograr la ejecución del código en sistemas remotos.

BlueKeep, también conocido como CVE-2019-0708, es una vulnerabilidad en el servicio de protocolo de escritorio remoto (RDP) en versiones "antiguas" del sistema operativo Windows: Windows XP, Windows 2003, Windows 7, Windows Server 2008 y Windows Server 2008 R2. 

Microsoft parcheó BlueKeep en mayo de 2019 y advirtió a los usuarios que apliquen los parches lo antes posible. La vulnerabilidad es descripta como "wormable", es decir que puede propagarse de manera similar a la forma en que el exploit EternalBlue ayudó a que el ransomware WannaCry se propagara a millones de computadoras en 2017. Desde que se hizo público, la comunidad de ciberseguridad ha estado conteniendo el aliento colectivo por el lanzamiento de un primer exploit BlueKeep "armado", temiendo que pueda ser abusado de la misma manera y ayudar a potenciar un brote global de malware.

Microsoft ha dicho repetidamente a los usuarios que apliquen parches, e incluso la Agencia de Seguridad Nacional de EE.UU. (NSA), el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética BSI de Alemania, el Centro de Seguridad Cibernética de Australia y el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas que instan a los usuarios y las empresas a parchear versiones anteriores de Windows.

Varias empresas de ciberseguridad e investigadores de seguridad han desarrollado exploits de BlueKeep, pero todos se negaron a publicar el código, temiendo sus consecuencias. En julio, la comunidad de infosec tuvo un primer susto cuando la compañía Immunity comenzó a vender unexploit privado de BlueKeep. Sin embargo, se mantuvo privado y nunca se filtró.

Nuevo módulo BlueKeep Metasploit

Ahora, Rapid7, la firma de ciberseguridad detrás de Metasploit, publicó un exploit de BlueKeep como un módulo más de Metasploit y disponible para todos.

A diferencia de las decenas de exploits de prueba de concepto de BlueKeep que se han cargado en GitHub en los últimos meses, este sí módulo puede lograr ejecución del código. Sin embargo, el módulo Metasploit ha sido un tanto "controlado". Actualmente solo funciona en modo "manual", lo que significa que necesita la interacción del usuario para ejecutarse correctamente.

Los operadores de Metasploit deben alimentarlo con un parámetro con información sobre el sistema al que desean apuntar. Esto significa que el exploit no se puede usar (aún) de manera automatizada como un gusano, pero funciona para ataques dirigidos.

Además, el módulo BlueKeep de Metasploit sólo funciona con versiones de 64 bits de Windows 7 y Windows 2008 R2, pero no con las otras versiones de Windows que también son vulnerables a BlueKeep. Este pequeño hecho también reduce su posible uso para actividades criminales, aunque no lo descarta.

700.000 sistemas aún vulnerables

A pesar de que hoy se lanzó un módulo, los expertos en seguridad no esperan ver campañas de malware o hacks aprovechados de inmediato. Sin embargo, para cuando los atacantes se acostumbren al nuevo módulo, todavía habrá muchos sistemas vulnerables. Esto se debe a que a pesar de haber tenido casi cuatro meses para parchear la vulnerabilidad de BlueKeep, la mayoría de los usuarios y compañías no pudieron aplicar los parches de Microsoft.

Según un análisis de BinaryEdge, todavía hay 700.000 sistemas vulnerables a BlueKeep expuestos en Internet, y posiblemente millones más dentro de las redes y detrás de los firewall.

Si bien las defensas específicas y la detección contra este exploit en particular son útiles, las nuevas vulnerabilidades RDP de la familia"DejaBlue" han subrayado este protocolo en general como un riesgo. La complejidad inherente del protocolo sugiere que los errores conocidos hoy en día no serán los últimos, particularmente porque los desarrolladores e investigadores de exploitsahora tienen una comprensión más matizada de RDP y sus debilidades. La explotación continua es probable, al igual que la mayor sofisticación de explotación. 

Pequenos erros em segurança que podem criar surpresas

Pequenos erros em segurança que podem criar surpresas

O especialista em Cibersecurity, Rangel Rodrigues, explica em seu artigo o papel dos profissionais de infosec, em que a melhor forma para combater os riscos cibernéticos é fazendo o básico, o simples, eliminando a procrastinação e a protelação

Sempre quando nos estabelecemos em uma empresa a nossa expectativa é que sejamos reconhecidos e façamos um excelente trabalho, pois nosso papel como um…

View On WordPress

Negociação avançada usando ferramentas de coaching

Por Lincoln Ando

Recentemente, a One World Identity (OWI) promoveu a Know Identity Conference. Trata-se de um dos maiores eventos globais de identidade digital, que reúne as organizações mais influentes do mundo e as mentes mais brilhantes do setor para moldar o futuro do segmento. Entre os presentes na conferência, estavam regtechs, birôs de crédito e empresas de tecnologia do mundo todo. A conferência aconteceu em Washington (EUA).

A programação foi bastante interessante e dentre os temas abordados, oito deles chamaram muito nossa atenção. Confira: 

Biometria

Em muitos países, o diferencial de produtos de credenciamento é a validação biométrica. Durante o evento, diferentes empresas que usam o acelerômetro do celular para detectar o padrão de movimento de um usuário, uso de digitais, verificações de íris ocular e reconhecimento facial e de voz apresentaram diversas formas avançadas de autenticar usuários.

Novas regulamentações

Diretivas como o General Data Protection Regulation (GDPR) e o Payment Services Directive 2 (PSD2), novas propostas de diretrizes europeias para proteção de dados pessoais e serviços de pagamento, respectivamente, dominaram boa parte das discussões. As novas leis devem ser implementadas nos Estados Unidos e na União Europeia muito em breve. De certa forma, isso demonstra o quanto a tecnologia está à frente da legislação, mas também como esta tem avançado.

Data breach

Com os diversos vazamentos de dados em companhias americanas, em 2017, foi impossível deixar de mencionar esse assunto, já que parte da audiência foi afetada por isso. A discussão sobre os dados e como armazená-los foi muito recorrente. Isso também mostrou que existe um grande movimento em direção à retenção de dados de maneira descentralizada.

Privacidade

Tais vazamentos de dados também levaram a uma conversa sobre privacidade. A conclusão principal é que os usuários sempre deveriam saber exatamente quais dados serão liberados para validação em cada checagem. E, em um cenário ideal, documentos digitais ou aplicativos poderiam exibir apenas se o usuário está apto ou não para aquele contexto. Além disso, ficou claro que privacidade não é ter muitas regras e burocracia, mas, sim, transparência.

População desbancarizada

Imigrantes, pessoas isoladas geograficamente, refugiados e habitantes de países com governos instáveis acabam enfrentando problemas quanto à sua identificação. Muitas dessas pessoas não participam de programas do governo, não conseguem empregos formais e também não são incluídos financeiramente devido à falta de algo que comprove a identidade deles, além de informações para liberação de crédito, por exemplo. Birôs de crédito para estrangeiros, psicografia, identidades baseada em reconhecimento facial, aplicações de blockchain foram algumas das alternativas apresentadas para esses casos. Vale pontuar que essas situações não foram tratadas apenas como um problema social, mas como uma grande oportunidade para o mercado financeiro atender esse tipo de demanda.

Número de celular em substituição do RG/CPF

Com diversas tecnologias de autenticação via app, o número de celular tem ganhado muita importância no credenciamento e no acesso a serviços. Em alguns países asiáticos, o número de celular serve para fazer pagamentos e, ainda, liberar acesso a outros serviços, sem o uso de documentação do governo. As discussões apontaram para o fato de que o número do celular pode, sim, ser uma fonte de validação importante. Mas não será a identidade definitiva por si só, uma vez que muitas pessoas não têm acesso a smartphones. Além disso, a troca frequente do número e de operadoras também seria um impeditivo.

Identificação global

Em função das grandes e recentes correntes migratórias, muito se falou da necessidade e da possibilidade de uma identidade global. O mais próximo disso, hoje, são passaportes, que seguem, em alguma escala, um padrão internacional. Os mais novos, inclusive, usam chips de identificação – e isso foi uma inovação trazida e estabelecida por uma empresa privada.

Identidades digitais

Alguns formadores de opinião afirmam que os bancos poderiam ser os agentes capazes de criar algo como uma identidade digital, já que eles já têm os dados, o capital e a credibilidade. Porém, empresas de outros setores mais ligados à tecnologia, por exemplo, estão tentando atender esta demanda de alguma forma, com aplicativos que centralizam dados biométricos, informações cadastrais e documentos. A ideia, portanto, seria compor, com tudo isso, uma credencial robusta, segura e digital.

—

Lincoln Ando é formado em Análise e Desenvolvimento de Sistemas pela Unicamp Limeira e possui especialização em Segurança Ofensiva, pela Infosec, em Washington (EUA). Em 2016, fundou a IDwall, regtech com a proposta de tornar os processos de cadastro, verificação e validação de dados mais ágeis, transparentes e seguros por meio de tecnologias de reconhecimento facial, cruzamento de dados e background check.

Leia também

Lições de inovação do Vale do Silício

16 perguntas inteligentes para estimular a inovação e a diferenciação na sua empresa

Inovação e motivação para mais vendas

The post Técnicas: Os passos da venda appeared first on VendaMais.