NordPass ha publicado su sexto estudio anual sobre las 200 contraseñas más comunes del mundo. Desgraciadamente, parece que la sexta vez todavía no es la vencida, ya que varios sospechosos porosos siguen encabezando la lista, como por ejemplo el año pasado.
“Después de analizar los datos durante 6 años, podemos decir que no ha habido una mejora significativa en los hábitos de contraseña de las personas”, escribió NordPass. Es fácil imaginar un aire de resignación en torno a esta declaración.
este año Estudiar NordPass Se llevó a cabo en colaboración con NordStellar y utilizó una base de datos de 2,5 terabytes de información recopilada de recursos disponibles públicamente, incluidos algunos de la web oscura. Se revelaron contraseñas utilizadas mediante malware o en filtraciones de datos, y el estudio completo utilizó información de personas de 44 países.
Según una investigación de NordPass, las 10 contraseñas más utilizadas a nivel mundial para 2024 son:
123456
123456789
12345678
contraseña
qwerty123
qwerty1
111111
12345
secreto
123123
NordPass estima que a un hacker le tomaría menos de un segundo descifrar cada una de estas contraseñas. Este es el quinto año que “123456” encabeza la lista, habiendo sido superado solo una vez desde que NordPass comenzó su estudio anual.
La lista se ve un poco diferente cuando se analizan de cerca las contraseñas de las cuentas de EE. UU., aunque todavía hay mucha superposición. Si bien la lista global favorece las contraseñas basadas en números, probablemente porque se usan en diferentes idiomas, las 10 contraseñas más comunes de 2024 en los EE. UU. tienen más entradas basadas en inglés:
Velocidad de la luz triturable
secreto
123456
contraseña
qwerty123
qwerty1
123456789
Contraseña1
12345678
12345
abc123
Estos también tardarán menos de un segundo en descifrarse.
La contraseña más común para las empresas americanas es “contraseña”
Este año, NordPass también creó una lista separada de contraseñas utilizadas para cuentas corporativas. La mayoría de las contraseñas utilizadas en el estudio se filtraron junto con la dirección de correo electrónico correspondiente, lo que permitió a NordPass distinguir entre cuentas personales y laborales al observar el nombre de dominio.
Desafortunadamente, parece que esas horas de capacitación corporativa obligatoria sobre privacidad por la que todos hemos pasado han dado pocos frutos, ya que las personas todavía usan las mismas contraseñas o contraseñas igualmente débiles que usan en su vida privada.
Las 10 contraseñas más comunes que utilizarán las personas en el trabajo en 2024 son:
123456
123456789
12345678
secreto
contraseña
qwerty123
qwerty1
111111
123123
1234567890
Específicamente en EE. UU., las contraseñas corporativas más populares de 2024 son:
contraseña
123456
qwerty123
qwerty1
aaron431
Contraseña1
Bienvenido
12345678
Contraseña1
abc123
“aaron431” es algo así como un extraño inusual en comparación con sus compatriotas, sin rima o razón descaradamente obvia. Sin embargo, ha sido reconocida como una contraseña común en numerosoIndustriasaAños. algunos tienen pronóstico Esa “aaron431” es la contraseña predeterminada para un programa ampliamente utilizado y la gente no se ha molestado en cambiarla. NordPass estima que un pirata informático tardará unos cinco minutos en acceder.
Si eres culpable de utilizar alguna de estas contraseñas comunes, ahora es un buen momento para considerar cambiarlas. Consigue un administrador de contraseñas. Incluso si no utiliza ninguna de las entradas de estas listas, un administrador de contraseñas será de gran ayuda para ayudarle a mantener sus contraseñas seguras y sus datos seguros.
La empresa Starlink de Elon Musk está buscando una autorización de seguridad para obtener una licencia para proporcionar servicios de banda ancha vía satélite en la India, y obtendrá un permiso si cumple todas las condiciones, dijo el martes el Ministro de Comunicaciones de la India.
Enlace estelar Ha estado buscando ingresar a India durante años, y sus planes recibieron un gran impulso el mes pasado cuando Nueva Delhi dijo que no subastaría espectro de banda ancha satelital, sino que lo adjudicaría administrativamente, tal como lo hizo en India. Almizcle requerido. El multimillonario indio rival de las telecomunicaciones, Mukesh Ambani, quería realizar una subasta.
El ministro de Comunicaciones de la India, Jyotiraditya Scindia, dijo el martes que Starlink estaba en proceso de obtener una autorización de seguridad, lo que le exigiría convencer a Nueva Delhi de que la empresa procesa y almacena datos localmente y que sus señales satelitales son seguras.
“Cuando marcas todas las casillas, obtienes la licencia. Si ellos (Starlink) hacen eso, estaremos muy contentos”, dijo Scindia durante un evento en Nueva Delhi.
La autorización de seguridad acercaría a Starlink un paso más a los planes de Musk de ofrecer banda ancha a los indios, un mercado actualmente dominado por Reliance Jio de Ambani con 14 millones de suscriptores por cable.
Ambani, el hombre más rico de Asia, también tiene más de 479 millones de usuarios de telecomunicaciones indios, pero le preocupa que después de gastar 19.000 millones de dólares (alrededor de 1.60.324 millones de rupias) en subastas de ondas de radio, ahora corre el riesgo de perder clientes de banda ancha y posiblemente de datos y votar a favor. a ellos. Musk a medida que avanza la tecnología, informó anteriormente Reuters.
Reliance ya tiene autorización de seguridad para lanzar servicios de banda ancha satelital, según una fuente con conocimiento directo.
Otra fuente familiarizada con el asunto dijo que Starlink había informado al gobierno indio que estaba dispuesto a cumplir con todos los requisitos de seguridad de Nueva Delhi.
Después de recibir la aprobación de seguridad, las empresas aún necesitan obtener espectro para comenzar a ofrecer servicios de banda ancha satelital.
Ambani alguna vez ofreció datos gratis en sus planes móviles y Musk ha adoptado tácticas igualmente agresivas. En Kenia, Musk fijó el precio de Starlink en 10 dólares (alrededor de 843 rupias) por mes, en comparación con 120 dólares (alrededor de 10,125 rupias) en los EE. UU., alarmando a las empresas de telecomunicaciones locales.
Los totales de objetivos y toques son importantes, pero no tanto como la participación de mercado. Los “goles” son en su mayoría estadísticas del receptor (aunque hay algunas excepciones tempranas notables). Los toques son la moneda de cambio de un corredor.
Lo que hacemos es realmente sencillo. Para los jugadores de pase, la cuota de mercado son los goles divididos por los intentos de pase del equipo. Para los corredores, son toques divididos en el juego del equipo desde la línea de golpeo (no toques de equipo, para ser claros).
El número de tiros, la profundidad del objetivo y el tipo de toque (las recepciones en carrera son mucho más valiosas que los acarreos) también son importantes, pero no se discutirán aquí en general. Esto es pura cuota de mercado. Considere esto como una herramienta esencial para evaluar concesiones y acuerdos.
Aquí está la lista. Sin embargo, asegúrese de seleccionar la semana actual, ya que todas las semanas de la temporada se archivarán, por lo que puede obtener una muestra del jugador de varias semanas si lo desea. También tenga en cuenta que pensé detenidamente en presentar estas estadísticas semanalmente. El objetivo aquí es responder rápidamente a las tendencias actuales. Las estadísticas anuales suavizan todo hasta llegar a una media un tanto carente de significado. como tenemos Jane McCaffrey Por eso dice sabiamente: “Para tener toda la razón, hay que estar preparado para estar muy equivocado”.
Debería empezar con el tipo al que deberías apuntar en las exenciones. El agradecimiento de Audric. Se le considera un cero en el juego aéreo, pero atrapó 17 pases el año pasado en Notre Dame y tenía habilidad para recibir. Como fuerza en el informe de exploración de la NFL. Promedió más de 10 yardas por recepción en la universidad y lideró su conferencia con 6,4 yardas por intento terrestre. Promedió 5.1 por acarreo para Denver este año, superando a Javonte Williams y Jalil McLaughlin; sí, sé que es una muestra muy pequeña. No hay noticias sobre el regreso de Tyler Buddy. Estime obtuvo el 45 por ciento de las jugadas, pero Sean Payton dijo después del partido contra Kansas City que estaba impresionado. Obtendrás más trabajo. Estoy entre el 50 y el 100 por ciento del FAAB restante, dependiendo de sus necesidades y de si puede hacer cero ofertas (si su FAAB está agotado).
Dos laterales más dignos de ser elegidos. Gus Edwards Ampliamente disponible y el número 2 vuelve a ser claro para un Cargadores Un equipo que quiere correr al 60 por ciento. y Cam Akers También es un claro número 2 en vikingos. Los Ángeles y Minnesota no quieren estresar a sus titulares, a menudo lesionados, hasta convertirlos en algo parecido al estatus de vacas camperas.
Chuba Hubbard El primer puesto lo ocupa un increíble 55,2 por ciento de toques/tiros. Más del 60 por ciento de Jonathan Brooks Los directores se han quedado con él y estamos en la semana 11. Hablemos de comprometernos con el papel. Hubbard es demasiado bueno para que Brooks sea un papel desempeñable. Al principio fue: “Volverá en cuatro semanas”. Luego, “Está bien, semana ocho, puedo esperar”. Luego la décima semana. Y ahora llega el turno de “Volverá después de decir adiós”.
Para que conste, debo señalar que Christian McCaffrey Era el numero 11 Lo que significa que sólo los managers de McCaffrey deberían incluir a los suplentes de los 49ers… Jordan MasonIsaac Gerindo. Si tienes a esos muchachos sin McCaffrey, aceptaré todo lo que pueda obtener del manager de McCaffrey en un intercambio, dado que Varias fechas límite comerciales esta semana.
Había una bonita dicotomía entre Rashad Blanco y Bucky Irving, Aunque, como siempre, Irving estuvo claramente mejor. Los Bucs están libres esta semana.
el vaqueros Es un desastre, sin embargo. garabato rico Está disponible en muchas ligas y es titular en un 27 por ciento, justo por debajo de la marca del 30 por ciento que se considera titular automático. Tengo mucha menos confianza en mi creencia de que los Cowboys serán titulares Lance Treylo que debe ser terrible en la práctica.
Sala de prensa y Sésamo Robinson Ella era vista como intercambiable de cara a la temporada del draft, pero Robinson ahora está muy por delante de Hall, dado que Hall aparentemente ha perdido trabajo en la línea de gol. Definitivamente ya no le faltan yardas.
Metas del destinatario
Noé Brown Vuelve a ser el principal objetivo a gran escala. Lo mencioné antes, pero todavía aparece en sólo el 13 por ciento de las revistas de Yahoo.
Kayshun Puti Merece consideración en el puesto 26 y tiene buena calidad. Su tasa de captura en la Semana 10 fue del 97 por ciento. Fue el 96 por ciento en la novena semana. Tiene un promedio de casi nueve yardas por objetivo esta temporada.
A pesar de Jalen Coker Es una fantasía favorita entre los punzantes, tendría cuidado porque Adam Thielen Se espera el regreso carolinaPróximo partido.
No puedes llevártelo, sin embargo. Calvin Ridley Fue el número uno en participación de mercado la semana pasada. Por esa razón, debería comenzar en todos lados, no en TD en la Semana 10.
Will Disley Era el número 2 como ala cerrada y tenía una excelente participación de mercado (uno de los 10 objetivos principales en esa posición durante las últimas cinco semanas). Hayden Hurst Tuvo un descenso significativo y Justin Herbert Ignóralo por el resto del partido.
en esto Gigantes delito,Malik Nabars No puede quedarse en el puesto 17 de nuestro modelo. Debería estar unos 10 puntos más arriba, como sabíamos cuando lo seleccionamos. Eso es el 37% de los intentos, no el 27%.
La semana pasada me di cuenta de que era una broma. Courtland Sutton Ocupó el puesto 42 en el ranking de consenso de la industria el resto de la temporada, y ahora ha subido al… puesto 38. Suspiro. Ocupa el puesto 20 o mejor en la barra cada semana, y ¿cuál es el argumento de que tendrá un desempeño inferior en participación de mercado? Siempre ha sido un buen anotador de TD. bo nicks Fue impresionante. Si esta es su última operación semanal, probablemente obtendrá un gran descuento en Sutton.
flores g, Terry McLaurin, Garrett Wilson y Samuel Debo Todos recibieron calificaciones sorprendentemente bajas en el modelo. puedo decir lo mismo de el DeAndre Hopkins (69), pero eso fue gracias a Patrick Surtain II. No me preocuparía en absoluto por los objetivos de Hopkins.
(Imagen superior de Audric Estim, Courtland Sutton: Jay Biggerstaff-Imagine Images)
Los responsables de TI siempre se enfrentan a la difícil tarea de garantizar su eficiencia ciberseguridad Las inversiones maximizan los retornos. Con presupuestos limitados, un nuevo flujo protección Con herramientas complejas, relaciones con terceros y requisitos regulatorios en constante cambio, es esencial adoptar mejores prácticas que optimicen el gasto en seguridad y al mismo tiempo mitiguen los riesgos de manera efectiva.
Para ayudar a los CISO a aprovechar al máximo sus inversiones en ciberseguridad, es esencial que puedan centrarse en maximizar el gasto inicial, priorizar los riesgos y establecer una comunicación clara con la junta directiva. Tener las capacidades de seguridad adecuadas puede facilitar este proceso. Al poner la ciberseguridad en el centro de las operaciones comerciales, los CISO pueden servir como punto de contacto entre ambos.
Karthik Swarnam
Director de seguridad y confianza de ArmorCode.
Maximice las inversiones iniciales en seguridad
Un paso clave para maximizar el retorno de la inversión en ciberseguridad es aprovechar un enfoque de seguridad de extremo a extremo mediante la integración de múltiples herramientas de seguridad en un marco integrado. Esto no sólo reduce la complejidad de gestionar herramientas dispares, sino que también mejora la eficiencia de las operaciones de seguridad. Por ejemplo, adoptar una plataforma de seguridad integrada puede simplificar las cosas. MirandoOperaciones de detección y respuesta, que brindan una visión integral del panorama de amenazas y respaldan una mitigación y resolución de incidentes más rápidas.
Por ejemplo, las plataformas de gestión de la postura de seguridad de aplicaciones (ASPM) son una forma clave de aumentar el retorno de la inversión en ciberseguridad en la seguridad de productos y software, ya que agilizan las operaciones de seguridad y brindan visibilidad de extremo a extremo en todos los ámbitos. Aplicaciones Y vulnerabilidades de seguridad. Las plataformas ASPM ayudan a las organizaciones a romper con los silos de seguridad, facilitando un enfoque unificado para la detección de amenazas, la gestión de riesgos y el cumplimiento.
Además, las herramientas que ayudan con la automatización desempeñan un papel fundamental a la hora de maximizar el valor de las inversiones en seguridad. Los sistemas automatizados pueden proporcionar monitoreo continuo y detección de amenazas en tiempo real, capacidades que los equipos humanos por sí solos no pueden mantener. Al manejar tareas rutinarias como análisis de registros, informes de cumplimiento y clasificación inicial de amenazas, la automatización libera a los equipos de seguridad para centrarse en actividades estratégicas. Esto no sólo mejora la eficiencia operativa sino que también reduce el riesgo de error humano y fatiga. El nivel de automatización es crucial; Deben mejorar las operaciones sin introducir nueva complejidad o riesgos.
Abordar primero los mayores riesgos
Priorizar los riesgos es fundamental para lograr el mayor retorno de la inversión de las inversiones en seguridad. Dado el gran volumen de amenazas potenciales, las organizaciones deben centrarse primero en las vulnerabilidades de mayor impacto. avanzado Analítica y Amnistía Internacional Puede proporcionar información clara y procesable, lo que permite a los equipos de seguridad identificar y abordar los riesgos más altos primero.
Un enfoque práctico es utilizar información sobre amenazas para guiar las estrategias de gestión de riesgos. La inteligencia de amenazas implica recopilar y analizar datos sobre las amenazas existentes, incluidos indicadores de compromiso (IoC), tácticas, técnicas y procedimientos (TTP) de los actores de amenazas y perfiles de grupos cibercriminales. Esta información permite a las organizaciones anticipar y mitigar amenazas de forma proactiva, reduciendo la probabilidad de ataques exitosos y minimizando daños potenciales.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Al revisar el enfoque ideal para la seguridad de las aplicaciones y ASPM, es esencial adoptar una perspectiva tridimensional de la gestión de amenazas. En primer lugar, las organizaciones deben considerar la gravedad de las vulnerabilidades potenciales (CVE), garantizando que se prioricen aquellas que plantean el mayor riesgo. En segundo lugar, es fundamental evaluar si estas vulnerabilidades se están explotando activamente, lo que aumenta la urgencia de los esfuerzos de remediación. Finalmente, las respuestas de seguridad deben alinearse con el contexto comercial único de cada amenaza y sus posibles daños. Esta comprensión precisa ayuda a evaluar y priorizar los riesgos más críticos de cada organización y, al mismo tiempo, ahorra tiempo y recursos al evitar acciones innecesarias.
Como parte de este paso final, realizar auditorías de seguridad periódicas también puede ayudar a identificar y priorizar las vulnerabilidades. Las auditorías implican evaluaciones integrales de las políticas, procedimientos y sistemas de ciberseguridad de una organización para garantizar que sean efectivos y cumplan con los requisitos reglamentarios. Los elementos básicos de una auditoría de seguridad incluyen evaluaciones de riesgos, revisiones de políticas, pruebas de penetración y escaneo de vulnerabilidades. Estas actividades proporcionan una hoja de ruta para fortalecer la postura de seguridad de una organización y abordar los riesgos críticos.
Fortalecer la comunicación con el Consejo
La comunicación efectiva con la junta directiva es esencial para alinear las iniciativas de ciberseguridad con objetivos comerciales más amplios. Los CISO deben traducir datos de seguridad complejos en métricas y visualizaciones fáciles de entender que resalten el valor de una inversión en seguridad. Esto incluye la identificación de indicadores clave de desempeño (KPI) que resuenan entre los miembros de la junta directiva y demuestran cómo los esfuerzos de ciberseguridad contribuyen al éxito general de la organización y a la postura de gestión de riesgos.
Una estrategia es proporcionar métricas que reflejen el impacto financiero de las medidas de seguridad, como una implementación más fluida del producto. Experiencias de clientes de acceso sin fricciones, así como ahorros de costos por infracciones evitadas u otras eficiencias obtenidas a través de la automatización. Además, resaltar cómo las iniciativas de seguridad respaldan el cumplimiento de los requisitos reglamentarios puede subrayar la importancia de la situación legal y financiera de una organización.
El uso de técnicas de narración también puede mejorar la comunicación con la junta. Al enmarcar las actualizaciones de seguridad en el contexto de incidentes del mundo real y posibles impactos comerciales, los CISO pueden hacer que la información sea más relevante y convincente. Este enfoque ayuda a los miembros de la junta directiva a comprender la importancia de la ciberseguridad y la necesidad de inversiones continuas en esta área.
Uniendo los objetivos futuros de seguridad y negocio
Para maximizar el retorno de la inversión de las inversiones en ciberseguridad, las organizaciones deben adoptar un enfoque prospectivo que anticipe las amenazas y necesidades comerciales futuras. Esto significa invertir en tecnologías que brinden escalabilidad y flexibilidad, soluciones integrales que tengan en cuenta la seguridad basada en la nube y sistemas de detección de amenazas basados en inteligencia artificial, que puedan adaptarse a entornos comerciales cambiantes y amenazas en evolución.
El camino para maximizar los beneficios de la ciberseguridad requiere un enfoque sostenido. Requiere dedicación para integrar las últimas tecnologías, ajustar las estrategias de gestión de riesgos y mejorar la comunicación con las partes interesadas clave. Al tomar estas medidas, las organizaciones se sentirán empoderadas para proteger sus activos y mejorar el crecimiento (y la resiliencia) de su negocio en los años venideros. De cara al futuro, no sorprende que la necesidad de alinear los enfoques de seguridad con los objetivos comerciales sea cada vez más importante, colocando el papel del CISO en el centro del éxito empresarial.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
Se ha encontrado una grave vulnerabilidad de seguridad en varios modelos de D-Link
Dado que los dispositivos han llegado al final de su vida útil, no recibirán parches.
Hay mitigaciones disponibles, aunque se recomienda a los usuarios que reemplacen los dispositivos.
D-Link dice que no parcheará una falla de seguridad grave que afecta a decenas de miles de unidades de almacenamiento conectadas a la red (gente) dispositivos porque han llegado al final de su vida útil.
Recientemente, se encontró una vulnerabilidad con una clasificación de gravedad de 9,2 (crítica) en varios modelos de dispositivos NAS D-Link. Registrado como CVE-2024-10914, se describe como un exploit de inyección de comandos que permite a los actores inyectar comandos de shell arbitrarios. Al enviar una solicitud HTTP GET especialmente diseñada al dispositivo, los estafadores pueden comprometer gravemente el sistema remoto.
Si bien los investigadores dicen que el exploit es algo difícil dada la complejidad del ataque es relativamente alta, enfatizaron que existe un exploit disponible públicamente.
Aliviar el problema
En total, hay más de 60.000 puntos finales que podrían verse comprometidos por esta falla, como se explica más adelante. Esto incluye múltiples modelos, tales como:
DNS-320 Versión 1.00 DNS-320LW versión 1.01.0914.2012 DNS-325 Versión 1.01, Versión 1.02 DNS-340L Versión 1.08
Yo añadiría que la mayoría de ellos parecen ser utilizados por pequeñas y medianas empresas.
Dado que no existe un parche, D-Link recomienda a los usuarios retirar los dispositivos más antiguos y reemplazarlos por modelos más nuevos y compatibles. Para aquellos que no pueden hacer esto en este momento, se recomienda que los puntos finales se aíslen de la Internet pública y se coloquen bajo condiciones de acceso más estrictas.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Un dispositivo NAS es una unidad de almacenamiento de datos dedicada conectada a una red, que permite que múltiples usuarios y dispositivos accedan y almacenen datos de forma centralizada. Proporciona intercambio seguro de archivos, copia de seguridad y almacenamiento de datos, lo que lo hace ideal para uso doméstico y empresarial. Los dispositivos NAS suelen ser fáciles de configurar y escalar, y brindan soporte RAID y otras protecciones contra la pérdida de datos.
Los ciberdelincuentes suelen atacar los dispositivos NAS porque suelen contener datos confidenciales, incluidos documentos personales, información financiera y archivos comerciales. Al comprometer los sistemas NAS, los atacantes pueden robar, cifrar o eliminar datos valiosos, siendo el ransomware una amenaza común.
La investigación muestra que Manifest V3 puede sufrir problemas de seguridad
El manifiesto de Chromium actualizado todavía permite extensiones maliciosas
Algunas herramientas de seguridad tienen dificultades para identificar extensiones peligrosas
Las extensiones del navegador han sido durante mucho tiempo una herramienta conveniente para los usuarios, mejorando… productividad Y simplificar las tareas. Sin embargo, también se han convertido en un objetivo principal para actores maliciosos que buscan explotar vulnerabilidades, dirigiéndose a usuarios individuales y empresas.
A pesar de los esfuerzos por mejorar la seguridad, muchas de estas extensiones han encontrado formas de explotar sus vulnerabilidades. GoogleEl último marco de extensión para Manifest V3 (MV3).
Investigaciones recientes escritas por Cuadrado X Ha revelado cómo estas extensiones maliciosas aún pueden eludir medidas de seguridad clave, exponiendo a millones de usuarios a riesgos como el robo de datos, malwarey acceso no autorizado a información confidencial.
Las extensiones de navegador ahora plantean amenazas aún mayores
Google siempre ha tenido problemas con las extensiones en Chrome. En junio de 2023, la empresa se vio obligada a hacerlo. Se eliminaron manualmente 32 extensiones explotables Que fue instalado 72 millones de veces antes de ser eliminado.
El marco de complementos anterior de Google, versión 2 (MV2), era un gran problema. A menudo otorgaba permisos excesivos a las extensiones y permitía que se inyectaran scripts sin que el usuario se diera cuenta, lo que facilitaba a los atacantes robar datos, acceder a información confidencial e inyectar malware.
En respuesta, Google presentó Manifest V3, cuyo objetivo es reforzar la seguridad limitando los permisos y exigiendo que las extensiones declaren sus scripts de antemano. Si bien se esperaba que MV3 resolviera las vulnerabilidades encontradas en MV2, la investigación de SquareX muestra que se queda corto en áreas críticas.
Los complementos maliciosos creados en MV3 aún pueden eludir las funciones de seguridad y robarles transmisiones de video en vivo. Plataformas de colaboración Como Google Meet y Zoom Web sin requerir permisos especiales. También pueden agregar colaboradores no autorizados a repositorios privados de GitHub e incluso redirigir a los usuarios a páginas de phishing disfrazadas de Administradores de contraseñas.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Además, estas extensiones maliciosas pueden acceder a su historial de navegación, cookies, marcadores e historial de descargas, de manera similar a sus contrapartes MV2, insertando una ventana emergente de actualización de software falsa que engaña a los usuarios para que descarguen malware.
Una vez instalada la extensión maliciosa, las personas y las organizaciones no pueden detectar las actividades de estas extensiones, dejándolas expuestas. Soluciones de seguridad como Protección de terminalesy Borde de servicio de acceso seguro (SASE). Portales web seguros (SWG) no puede evaluar dinámicamente las extensiones del navegador en busca de riesgos potenciales.
Para abordar estos desafíos, SquareX ha desarrollado varias soluciones destinadas a mejorar la seguridad de las extensiones del navegador. Su enfoque incluye políticas ajustadas que permiten a los administradores decidir qué extensiones bloquear o permitir en función de factores como permisos de extensión, historial de actualizaciones, revisiones y calificaciones de los usuarios.
Esta solución puede bloquear las solicitudes de red realizadas por extensiones en tiempo real, en función de políticas, conocimientos de aprendizaje automático y análisis empíricos. Además, SquareX está experimentando con el análisis dinámico de las extensiones de Chrome utilizando Chromium modificado. navegador en su servidor en la nube, proporcionando información más profunda sobre el comportamiento de extensiones potencialmente maliciosas.
“Las extensiones del navegador son un punto ciego para EDR/XDR y los SWG no tienen forma de inferir su existencia”, señaló Vivek Ramachandran, fundador y director ejecutivo de SquareX.
“Esto ha convertido a las extensiones de navegador en una tecnología altamente eficaz para instalar y monitorear silenciosamente a los usuarios empresariales, y los atacantes las aprovechan para monitorear las comunicaciones a través de llamadas web, actuar en nombre de la víctima para otorgar permisos a terceros, robar cookies y otros datos del sitio, etc. .”
“Nuestra investigación demuestra que sin un análisis dinámico y la capacidad de las organizaciones para aplicar políticas estrictas, no será posible identificar y prevenir estos ataques. Google MV3, aunque bien intencionado, todavía está lejos de hacer cumplir la seguridad en las etapas de diseño e implementación. ”, añadió Ramachandran.
India pospuso su primera misión de astronautas como parte de… será así El programa se extenderá hasta 2026, retrasando el cronograma un año más que el cronograma original. La decisión anunciada por S. Somanath, presidente de la Organización de Investigación Espacial de la India (ISRO)ISRO), refleja un compromiso con la seguridad a la luz de los recientes reveses en la industria de la aviación. Según Somanath, la primera misión tripulada de la India estará precedida por varios vuelos de prueba no tripulados, y el lanzamiento del primero está previsto para diciembre de 2023. La serie de pruebas validará los sistemas críticos necesarios para una misión tripulada exitosa, despejando el camino para que la India se una a la grupo. Estados Unidos, Rusia y China se encuentran entre los países que envían astronautas al espacio de forma independiente.
La seguridad es lo primero: el enfoque cauteloso de ISRO
ISRO es extenso Somanath explicó los procedimientos de prueba y la adición de un cuarto vuelo de prueba no tripulado durante una charla reciente en Nueva Delhi. Señaló las dificultades técnicas que enfrenta el Boeing Starliner como recordatorio de la importancia de los controles de seguridad estrictos. La misión Gaganyaan de ISRO, también conocida como H1, tiene como objetivo llevar a uno o dos astronautas a un nivel inferior. la orbita de la tierraA unos 400 kilómetros sobre el planeta. Para evitar incidentes similares, ISRO siguió un enfoque sistemático, probando tecnologías complejas desarrolladas íntegramente internamente, dijo Somanath.
Preparándose para el lanzamiento final de la tripulación
Para apoyar la misión, ISRO realizó una serie de pruebas preparatorias, incluida la evaluación de los mecanismos de escape de emergencia y Rcom.ecovery Sistemas. El vuelo G1, previsto para finales de este año, llevará a bordo un robot humanoide llamado Vyomitra para probar el reingreso, el despliegue de paracaídas y el aterrizaje controlado en la Bahía de Bengala. Después del G1, tres vuelos no tripulados más completarán la fase de pruebas.
Un ambicioso sistema de entrenamiento para astronautas
El personal del programa ha recibido una amplia formación tanto en la India como en el extranjero. Shubhanshu Shukla, piloto de pruebas de la Fuerza Aérea India y astronauta en entrenamiento, está programado para unirse a una misión a la Estación Espacial Internacional, trabajando con Axiom Space en Houston. Con la ex astronauta de la NASA Peggy Whitson como comandante de la misión, la experiencia de Shukla incluirá operaciones como navegación y atraque, habilidades críticas para el éxito de la misión de Gaganyaan.
La financiación gubernamental impulsa los esfuerzos exitosos de ISRO
El gobierno indio aumentó recientemente el presupuesto de Gajanyan, agregando 111 mil millones de rupias al proyecto para apoyar las fases finales de prueba y entrenamiento de la tripulación. Con todos los módulos transferidos al puerto espacial Sriharikota de ISRO, el primer vuelo espacial tripulado de la India está a punto de completarse. Este avance refleja el compromiso del gobierno con el desarrollo de las capacidades espaciales de la India y garantizar que la misión se lleve a cabo con los más altos estándares de seguridad.
Rohit Wade, un ingeniero en informática de la ciudad de nivel II de Bhilai en India, lidera actualmente iniciativas tecnológicas en Binance, descrito como el intercambio de criptomonedas más grande del mundo. En una conversación con Gadgets360 la semana pasada, Wad enfatizó que para que la adopción de Web3 crezca, los desarrolladores deben lograr el equilibrio adecuado entre conveniencia y seguridad para aliviar las dudas de los usuarios sobre la exploración espacial. Wad fue anteriormente vicepresidente de Microsoft y asumió el cargo de CTO de Binance en abril de 2022.
Wad estuvo presente en Binance Blockchain Week, que se celebró recientemente en Dubai para consolidar cifrado comunidad. Como director técnico (CTO) de binanceal graduado del IIT Bombay se le ha encomendado la tarea de liderar el desarrollo de las ofertas de servicios escalables de Web3 para atender a la base de usuarios global del intercambio, que supera los 237 millones de usuarios registrados.
En declaraciones a Gadgets360, Wad compartió que su visión para Binance se centra en combinar las funciones fáciles de usar de aplicaciones e interfaces familiares con medidas de seguridad mejoradas. Este enfoque tiene como objetivo ayudar a los usuarios a navegar por las complejidades de las criptomonedas volátiles en los próximos servicios.
“Muchas personas que usan la aplicación bancaria en su teléfono pueden reconocer rostros, ¿verdad? Eso permite que la aplicación se abra muy rápidamente, lo que facilita el escaneo de rostros, pero tampoco es seguro. Podemos brindar comodidad y seguridad a la comunidad de criptomonedas a través de nuestros servicios”. Creadores de aplicaciones web3 También deberían centrarse en integrar estos dos requisitos en sus servicios.
En un desarrollo reciente, la plataforma Binance se ha unido Servicios web de Amazon (AWS) Acceder a la gama de ofertas para mejorar la experiencia de los usuarios de Binance con los productos basados en IA que ofrece el intercambio. Como parte de esta asociación, el intercambio utilizará Amazon Bedrock y Amazon Elastic Container Service (Amazon ECS) para respaldar sus esfuerzos de inteligencia artificial para una experiencia de “servicio al cliente intuitivo”.
Sin embargo, cabe señalar que los ciberdelincuentes han podido comprometer los sistemas AWS en el pasado. En 2022, fueron los piratas informáticos se dice Capaz de comprometer grupos de almacenamiento en la nube de Amazon, configuraciones erróneas de firewall y vulnerabilidades en configuraciones de servidores de AWS asociadas con Pegasus Airlines. En ese momento, se vieron comprometidos más de 6,5 terabytes de datos confidenciales, incluidos números de seguridad social, información de tarjetas de crédito, direcciones de correo electrónico y números de teléfono de más de 600.000 publicaciones de Pegasus.
Sin embargo, Binance está apostando por AWS para ejecutar el diagnóstico de su sistema automatizado interno y perfeccionar su proceso de incorporación de usuarios.
Wade señaló que Binance está implementando actualmente autorización multifactor (otra sugerencia que hizo a los desarrolladores en ciernes de Web3) para evitar el acceso no autorizado a los fondos de los usuarios y garantizar la seguridad. Explicó además cómo incluso si alguien lo está usando Amnistía Internacional Para iniciar la brecha se pueden identificar.
“Sabemos cuáles eran sus patrones anteriores, por lo tanto, si sus nuevos patrones (patrones de piratas informáticos) son completamente diferentes de sus patrones anteriores, podemos informarlo. Hemos mejorado las comprobaciones que se ingresan y que pueden suspender o prohibir su cuenta. Puede simplemente decir, bueno, esta cuenta ya no puede realizar retiros hasta que se autentique con nuestro personal de servicio al cliente. “Eso es algo que podemos hacer completamente por nuestra parte, sí, y la autorización de dos factores es algo que entrenamos. o educar a nuestros usuarios para que lo hagan”, dijo Wade.
En medio del creciente número de hackeos a billeteras activas conectadas a la web, las discusiones sobre la necesidad de más soluciones de billeteras de hardware se han acelerado en todo el mundo. Binance, a partir de ahora, no tiene un servicio de billetera de hardware en proceso, dijo Wade. fue intercambio Despedido solución de almacenamiento en frío para inversores institucionales en enero del año pasado.
Wade afirmó que el intercambio tampoco funciona con soluciones de custodia de terceros porque creen que “nuestras billeteras y sistemas de firmas múltiples son probablemente los mejores del mundo, por lo que no estamos trabajando con nadie más”.
Al analizar los desafíos actuales que rodean las transferencias entre cadenas en Binance, Wade enfatizó la necesidad urgente de mejorar la velocidad de las transacciones. En la actualidad, los clientes que buscan transacciones más rápidas tienen que pagar tarifas de gas exorbitantes, lo que genera costos exorbitantes, explicó. Wade enfatizó que encontrar una solución integral a este problema es un área de enfoque clave para Binance.
A principios del fin de semana, el FBI publicó un declaración Procesar videos que “afirman falsamente ser del FBI y estar relacionados con la seguridad electoral”. Esto incluye uno que afirma que la oficina “arrestó a tres grupos vinculados a cometer fraude electoral” y otro que involucra al marido de Kamala Harris.
La desinformación parece haber crecido exponencialmente en los últimos días, con las elecciones presidenciales que comienzan mañana. A fines de la semana pasada, el FBI, la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijeron que habían rastreado a dos de las personas. último Los videos se remontan a “actores de influencia rusa”, incluido uno que mostraba falsamente a personas de Haití votando ilegalmente en varios condados de Georgia.
Sólo quedan unos días y todo irá bien. ¿bien?
– Matt Smith
Reciba esto diariamente directamente en su bandeja de entrada. ¡Suscríbete aquí!
Las historias tecnológicas más importantes que te perdiste
Se trata del Mac mini.
En este episodio, Devindra y el productor Ben Ellman se sumergen en todos los nuevos dispositivos M4 de Apple: el nuevo iMac, el Mac mini y el MacBook Pro actualizado. Pero en serio, la mayoría son fanáticos del Mac mini.
Si está remotamente interesado en el futuro de la realidad aumentada, el prototipo Orion de Meta es el caso más convincente hasta el momento. Sigue siendo increíblemente grueso, pero Orion es algo más que hacer realidad las gafas AR. También es la mejor oportunidad que tiene la compañía para volverse menos dependiente de Apple y Google, sus respectivas tiendas de aplicaciones. Carissa Bell comienza su pasantía.
Disney formó recientemente una unidad especializada en tecnologías emergentes. El grupo, llamado Oficina de Habilitación Tecnológica, coordinará la exploración, adopción y uso de la tecnología de inteligencia artificial, realidad aumentada y realidad virtual por parte de la compañía en todo Disney. Un portavoz de Disney le dijo a Engadget que la oficina de habilitación tecnológica no asumirá ningún proyecto de IA y XR existente en la empresa. En cambio, apoyará a otros equipos de Disney, muchos de los cuales ya están trabajando en productos que utilizan esas tecnologías.
Es posible que recibamos una comisión por las compras realizadas desde nuestros enlaces.
CBS
El viejo axioma dice que el espectáculo debe continuar, y si alguna vez has asistido a una obra escolar, probablemente sepas por qué se aplica eso. Cuando estás navegando por decorados diseñados apresuradamente (o fondos sólidamente construidos), no es raro que te salgas con una astilla o dos. Podría sufrir una lesión leve en la cabeza si camina directamente sobre una viga metálica baja o un esguince de tobillo si tropeza con un protector de cable donde alguien se olvidó de poner cinta luminosa. (Esto no es extrañamente específico porque me pasó a mí, hasta donde tú sabes). Estos son contratiempos, pero a menos que seas lo suficientemente elegante como para conseguir un reemplazo, aguanta y preséntate para la fiesta. Próxima actuación.
Obviamente hay algunas enfermedades graves que pueden inmovilizarte por un tiempo. Harrison Ford estuvo cinco semanas de baja en 'Indiana Jones y el templo maldito' Debido a una lesión en la espalda, se perdió el rodaje durante un mes cuando se rompió una pierna mientras filmaba “Star Wars: Episodio VII – El despertar de la fuerza”.
En algún punto intermedio está Alan Hale Jr., quien ha alcanzado la inmortalidad televisiva. Como patrón de “La isla de Gilligan”.Hill era un tipo grande y tenía que hacer su parte de tonterías en las comedias de situación, por lo que no debería sorprender que tuviera más tíos de los que le correspondían. Pero según su coprotagonista Russell Johnson, quien interpretó al profesor Roy Hinckley, menos tartamudo, puede superar lesiones que pueden haber dejado a algunos preguntándose si el programa podría pasar un día o incluso una semana sin ellas.
El patrón era indestructible.
CBS
En las memorias del actor. “Aquí en la isla de Gilligan”Johnson recordó que Hale fue “valiente” en su servicio a la isla de Gilligan y escribió: “Haría casi cualquier cosa para ayudar a su salud”. ¿Hasta dónde llegará? Como señaló Johnson en su libro:
“Aquí está el tipo que se cayó de una palmera y se rompió la muñeca, pero no se lo contó a nadie. Había dos episodios más por filmar esa temporada antes de que hiciéramos una pausa, y Alan no quería perturbar el flujo de los acontecimientos. Nunca se tomó un día libre y nunca se quejó.
En la fiesta de despedida de la temporada 1, Sherwood Schwartz llevó a Alan aparte y le preguntó por qué tenía la muñeca tan dolorosamente hinchada. Alan le contó sobre el accidente. Ninguno de nosotros lo sabía hasta entonces. “Cuando Alan finalmente fue a su médico, le colocaron una férula desde la muñeca hasta el codo”.
¡Eso no es todo! Según Johnson, hay un episodio en el que se puede ver al capitán con una venda en la oreja. Esto se debe a que mientras realizaba un truco para subir los escalones de bambú, uno de los palos se rompió incorrectamente y le abrió la oreja. Una vez más, el hombre al que llamaban Skipper no se inmutó en su misión. Fue parcheado y rápidamente volvió a funcionar.
Entonces, si siente dolor o, Dios no lo quiera, sangra debido a un percance en el set o detrás del escenario, piense: “¿Qué haría Alan Hale Jr.?”
