Web está luchando por si robots.txt se aplica a los agentes de IA. Todo comenzó cuando Cloudflare publicó una publicación de blogdetallando lo que la compañía estaba viendo de los rastreadores de perplejidad. Por supuesto, el rastreo net automatizado es parte de cómo funciona el Web moderno, y casi inmediatamente después de que se escribió el primer rastreador net, uno logró DOS (negación de servicio) un sitio net en 1994. Y el robots.txt El archivo fue diseñado primero.
No se equivoquen, robots.txt Por sí solo no hay más que una solicitud cortés para que alguien más en Web no indexe su sitio. El enfoque más agresivo es agregar reglas a un firewall de aplicación net (WAF) que detecta y bloquea un rastreador net en función de la cadena de agente de usuario y la dirección IP de origen. Cloudflare presenta que la perplejidad no solo ignora intencionalmente robots.txtpero también disfrazando activamente su tráfico en la net mediante el uso de direcciones IP fuera de su rango regular para estas solicitudes.
Esta no es la primera vez La perplejidad ha aterrizado en agua caliente Sobre su raspado net, AI Studying Endeavors. Pero la perplejidad ha publicó una publicación de blog, explicando que esto es diferente!
Y realmente hay un argumento interesante que se debe hacer, que robots.txt está dirigido a la indexación y el tráfico de capacitación de IA, y esas solicitudes de IA de agente son una categoría diferente. En pocas palabras, los bots de perplejidad ignoran robots.txt Cuando un usuario en vivo les pide que lo hagan. ¿Es ese mal comportamiento o lo que deberíamos esperar? Esta pregunta tendrá que resolverse a medida que los agentes de IA se vuelvan más comunes.
Irrumpir en la bóveda
Investigadores de Cisco Talos echó un vistazo al Dell ControlVaultun módulo de seguridad de {hardware} (HSM) integrado en muchas computadoras portátiles Dell. El firmware que se ejecuta en estos procesadores integrados tuvo algunos problemas, incluida una pila de flujo y otros problemas relacionados con la memoria. Por lo common, el potencial de abuso de este tipo de ataques es limitado principalmente al reino teórico, pero este HSM integrado también incluye pines USB accesibles, a los que se puede acceder con un conector personalizado. Las vulnerabilidades encontradas representan un escenario de ataque actual en el que el firmware del HSM puede ser manipulado, a través de nada más que acceso físico. Para probar el punto, el artículo de Talos incluye un gran video de una máquina comprometida que acepta una cebolla verde como una huella digital válida para el inicio de sesión de Home windows.
Tendencia micro en la naturaleza
Tendencia micro Apex One System está bajo explotación activacomo un par de vulnerabilidades, permite que un atacante autenticado inyecte comandos del sistema en la consola de gestión del sistema. Se espera que la solución completa se lance a finales de este mes, pero una mitigación deshabilita una característica específica de la consola, el agente de instalación remoto. Esto lleva a la conclusión obvia de que el proceso de instalación estaba permitiendo la ejecución del código como parte del proceso de instalación.
Ceñido
Hubo una interesante campaña de malware este año, por un grupo que Koi Security está llamando a Greedybear. La campaña podría llamarse Blitz, donde las extensiones maliciosas del navegador, los binarios de ransomware y los sitios net estafadores se emplearon a la vez, con el objetivo de robar la criptomoneda. Lo sorprendente es que hasta ahora no se ha informado que mucho más de $ 1 millón robado a través de la campaña.
La primera técnica utilizada fue “Extension Hollowing”, donde se publican extensiones seguras y aburridas del navegador y se mantienen durante unos meses. Las buenas críticas entran naturalmente o se compran, y el editor parece confiable. Luego se actualiza la extensión, con código malicioso de repente envío. Estas extensiones ahora están olfates para la entrada del usuario y los datos llenos de formulario.
La segunda técnica utilizada fue el antiguo clásico, empacando malware en software program agrietado y pirateado. La fuente de muchos de estos binarios maliciosos parece ser principalmente sitios de piratería rusos.
El enfoque ultimate descubierto fue el sitio net de estafa easy, a menudo tipográficos para escribir en nombres de dominio casi legítimos. Estos sitios anunciaron billeteras de {hardware} falsas o reparación de billeteras, pero solo existieron para robar cualquier información que los clientes estuvieran dispuestos a compartir.
Se puede plantear la pregunta, ¿por qué Koi Safety cree que toda esta actividad está conectada? La respuesta se scale back a una sola dirección IP, 185.208.156.66. Este fue el servidor de comando y management para toda la crimson de actividad, y debe verse como una bandera roja definitiva en registros y registros.
Auditoría de bóveda de hashicorp
La buena gente en Cyata tomó una grieta en la bóveda de Hashicorpuna fuente de almacenamiento de secretos disponibles. Y descubrieron una gran cantidad de temas sutiles pero importantes. El primero en la lista es un hallazgo excepcional, y se trata de cómo Vault protege contra los ataques de fuerza bruta. Se supone que es un contador easy, que bloquea los intentos de contraseña por un tiempo, una vez que se ha alcanzado un umbral de fallas. El problema es que los nombres de usuario no son sensibles a los casos, pero el contador de falla es Wise en boscos en el seguimiento de las fallas de contraseña. Intenté adivinar el admin contraseña demasiadas veces? Probar el Admin cuenta siguiente.
La autenticación multifactor tiene algunos problemas, como la protección de reutilización del código TOTP. Esto intenta aplicar que un código solo se usa una vez mientras es válido. El problema es que un código de “ 123456” y “123456“Ambos evalúan lo mismo para la valoración de TOTP en sí, pero como diferentes códigos para la protección de reutilización. Esto podría permitir que un atacante abuse primero del mensaje de error de protección de reutilización para identificar un código válido pero usado, e inserte el espacio para poder usar el código para la autenticación.
Después de la autenticación, este mismo estilo de ataque es posible nuevamente, esta vez apuntando a las protecciones de políticas raíz. Un administrador no puede asignar esto “root“Política, pero puede asignar un” rootPolítica. Esos son tratados como diferentes identificadores de políticas por el código de validación, pero lo mismo en la implementación ultimate.
Y finalmente, descubrieron una falla de ejecución de código remoto, a través de la instalación de complementos. Este requiere acceso de administrador, pero una filtración de información y un registro de auditoría que permite escribir en cualquier parte del disco es suficiente para ejecutar el código inyectado en ese registro de auditoría. Este parece ser el primer RCE hecho público en bóveda, que es una declaración impresionante tanto para Hashicorp como para Cyata.
Bits y bytes
Nvidia no está tomando la charla de la semana pasada de backdoors, Tomando la ofensiva esta semana Para asegurar a todos que “no hay puertas traseras en las chips nvidia”. Hay una noticia separada de que los legisladores estadounidenses están considerando una legislación que requeriría un interruptor de muerte y una verificación de ubicación en el {hardware} futuro.
Es tranquilizador recordar que Los ciberdelincuentes son capturados y extraditados. Un hombre nigeriano fue arrestado en Francia y está siendo extraditado a los Estados Unidos por múltiples cargos de fraude, robo de identidad y otros delitos. No se sabe si el ciudadano nigeriano fue o ha afirmado ser un príncipe.
Y finalmente, archivado en la categoría “incómoda”, Google ha revelado que También fueron víctimas en los hacks de Salesforce que los investigadores de Google descubrieron y publicitaron por primera vez. Estas fueron buenas campañas de ingeniería social, donde el atacante contactó a un empleado de la compañía objetivo, y los convence de leer un código de seguridad de ocho dígitos. Un grupo que se llama a sí mismo Shinyhunters ha comenzado una campaña de explotación utilizando datos robados en los ataques.
