- Un empresa de telefonía suiza, no sólo ofrecía los servicios que listaba públicamente en su Web, sino también servicios de espionaje global de manera encubierta.
- El grupo de cibercriminales BlueNoroff, relacionado con el grupo Lazarus de Corea del Norte, lanzó la campaña SnatchCrypto, que utilizó durante varios meses para robar millones de dólares en criptomonedas a startups por todo el mundo.
- Log4j, el origen de una de las vulnerabilidades más críticas de los últimos tiempos.
- NoReboot, el ataque ilusionista que hace creer a un usuario de iPhone que su teléfono está apagado, cuando no lo está, lo que permite al atacante seguir grabando vídeo y escuchando lo que dice la víctima sin levantar sospechas.
Pregunta del episodio
¿Cómo solucionarías el problema del uso masivo de software desarrollado por voluntarios que tiene más riesgo de contener vulnerabilidades debido a la falta de recursos económicos?
- Hacer donaciones
- Evitar su uso
- Revisión del código propia
- Está complicado solucionarlo…
Notas y referencias
Artículo de Bloomberg sobre Mitto AG.
Informe de la campaña SnatchCrypto para el robo de criptomonedas a nivel mundial, lanzada por el grupo de cibercriminales norcoreanos BlueNoroff, relacionados con el grupo Lazarus.
Video explicativo de Log4j.
Charla de 2016 de Álvaro Muñoz y Oleksandr Mirosh que cubre el vector de ataque que afecta a Log4j
Tweet con capturas de pantallas de sistemas vulnerables a Log4j.
Tweet the uno de los voluntarios que desarrollan Log4j quejándose de la presión mediática.
Informe del ataque NoReboot contra iPhones que utiliza una ilusión que emula la persistencia en el teléfono sin realmente ser persistente a un reinicio real o forzado.
Vídeo con la demostración del ataque NoReboot y cómo los atacantes podrían seguir grabando vídeo y audio remotamente mientras el iPhone parece estar apagado, cuando realmente sigue encendido.