This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: [1] 2 3 ... 107
1

Hace poco, el creador de la distribución de Linux, «GeckoLinux» ha presentado una nueva distribución llamada «SpiralLinux» la cual fue creada a partir de la base de paquetes de Debian GNU/Linux.

La distribución se presenta con 7 compilaciones Live listas para usar que vienen con escritorios Cinnamon, Xfce, GNOME, KDE Plasma, Mate, Budgie y LXQt que están optimizados para una mejor experiencia de usuario.


El creador del proyecto GeckoLinux, menciona que Gecko seguirá manteniéndose, por lo que el lanzamiento de SpiralLinux no debe alarmar a los usuarios de Gecko y que la introduccion de una nueva distro es un intento de mantener las cosas como están en caso de que openSUSE deje de existir o se transforme en un producto fundamentalmente diferente, en línea con los próximos planes para una revisión importante de SUSE y openSUSE.

Ademas de ello menciona que la razón del porqué se eligió Debian como base, es debido a que es una distribución estable, flexiblemente adaptable y bien mantenida. Al mismo tiempo, se observa que los desarrolladores de Debian no están lo suficientemente enfocados en la conveniencia del usuario final, razón por la cual se crearon distribuciones derivadas, cuyos autores están tratando de hacer que el producto sea más amigable para los consumidores comunes.


A diferencia de proyectos como Ubuntu y Linux Mint, SpiralLinux no intenta desarrollar su propia infraestructura, sino que trata de mantenerse lo más cerca posible de Debian. SpiralLinux usa paquetes del núcleo de Debian y usa los mismos repositorios, pero ofrece diferentes configuraciones predeterminadas para todos los principales entornos de escritorio disponibles en los repositorios de Debian.

Por lo tanto, al usuario se le ofrece una opción alternativa para instalar Debian, que se actualiza desde los repositorios regulares de Debian, pero ofrece un conjunto de configuraciones que son más óptimas para el usuario.

Por la parte de las características de SpiralLinux, se mencionan las siguientes:

- Imágenes instalables en vivo de DVD/USB de aproximadamente 2 GB personalizadas para entornos de escritorio populares.
- Uso de paquetes Debian Stable con paquetes preinstalados de Debian Backports para admitir hardware más nuevo.
- Posibilidad de actualizar a las ramas Debian Testing o Unstable con solo unos pocos clics.
- Diseño óptimo de las subsecciones Btrfs con compresión Zstd transparente e instantáneas automáticas de Snapper cargadas a través de GRUB para revertir los cambios.
- Un administrador gráfico para paquetes Flatpak y preconfigurado para aplicar a los paquetes Flatpak.
- La representación de fuentes y la configuración de color se han optimizado para una legibilidad óptima.
- Códecs de medios patentados preinstalados listos para usar y repositorios de paquetes Debian «no libres».
- Soporte de hardware extendido con una amplia gama de firmware preinstalado.
- Soporte extendido para impresoras con derechos de administración de impresora simplificados.
- Habilitación del paquete TLP para optimizar el consumo de energía.
- Inclusión en VirtualBox.
- Cuena con la compresión de intercambio mediante la tecnología zRAM para mejorar el rendimiento en hardware antiguo.
- Brindar a los usuarios comunes la oportunidad de trabajar y administrar el sistema sin acceder a la terminal.
- Totalmente vinculado a la infraestructura de Debian, evitando así la dependencia de desarrolladores individuales.
- Soporte para una actualización perfecta de un sistema instalado a futuras versiones de Debian mientras se mantiene la configuración única de SpiralLinux.
- Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva distribucion, puedes consultar los detalles en su página oficial.

Fuente: You are not allowed to view links. Register or Login

2

Bien podría parecer el argumento de un capítulo de Black Mirror, pero no, es real. En la conferencia re:Mars de Amazon se ha dado a conocer una funcionalidad del asistente de voz Alexa por la cual podrá imitar voces humanas, sin importar si siguen vivas o no.

El máximo responsable del desarrollo de Alexa, Rohit Prasad, anunció esta característica entre otras próximas para el asistente de voz de Amazon.

Alexa será capaz de imitar voces

Esta nueva característica, que llegará en el futuro, puede sintetizar la voz desde clips de audio cortos que se tengan de una persona y poder reproducir sus características de tono en un discurso más largo. Con solamente un minuto de voz, la nueva tecnología puede conseguir resultados muy próximos a los de la persona.


La polémica viene del hecho de que esto puede ser utilizado incluso con personas fallecidas de las que se conserve algún audio. «Si bien no podemos mitigar el dolor de la pérdida [de algún ser querido durante la pandemia], definitivamente podemos hacer que su recuerdo perdure», señalaba Prasad para presentar esta función.

De hecho, durante la demostración (sobre la hora y 2 minutos en el vídeo superior) se pudo ver un dispositivo configurado con esa nueva versión de Alexa leía a un niño un cuento con la voz de su abuela fallecida simplemente diciendo el comando de voz de Alexa «Alexa, ¿puede la abuela terminar de leerme ‘El mago de Oz’?»

“La forma en que lo hicimos posible fue enmarcando el problema como una tarea de conversión de voz y no como una ruta de generación de voz. Sin duda, estamos viviendo en la era dorada de la IA, donde nuestros sueños y la ciencia ficción se están convirtiendo en realidad”, señaló Prasad.

¿Qué usos podría tener?

Más allá del conmovedor ejemplo, que bien podría ayudar a ese pequeño a recordar a su abuela y echarla menos en falta, no cabe duda de que esta nueva tecnología potenciada por Inteligencia Artificial, si bien supone un gran avance tecnológico, conlleva implicaciones cuanto menos cuestionables


Evidentemente, puede llegar a ser gracioso que Alexa pueda recoger clips de algunos de nuestros personajes favoritos y sonar así (se nos vienen a la cabeza Darth Vader o Chiquito de la Calzada, por ejemplo). Sin embargo, también es un nuevo paso en cuanto a suplantación de identidad.

Por otra parte, resucitar digitalmente a una persona puede ser entendible que sea algo polémico. Obviamente no vamos a tener consentimiento de dicha persona para hacerlo, por lo que es cuanto menos cuestionable si es ético hacerlo.

Amazon de momento no ha mencionado cuándo integrará esta función a Alexa, por lo que estaremos atentos a las próximas novedades sobre esta función y cuándo podría llegar a nuestros dispositivos con la asistente de voz integrada.

La megacompañía tampoco ha aclarado si Amazon planea hacer de esta función un producto comercial para sus altavoces y pantallas inteligentes o se queda en una simple anécdota de demostración sobre las posibilidades de la IA. El debate está servido.

Fuente: You are not allowed to view links. Register or Login

3

Los investigadores de malware notaron una nueva herramienta que ayuda a los ciberdelincuentes a crear archivos .LNK maliciosos para entregar cargas útiles para las etapas iniciales de un ataque.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso para abusar de herramientas legítimas en el sistema, los llamados binarios living-off-the-land (LOLBins), como PowerShell o el MSHTA que se usa para ejecutar Microsoft HTML Application (HTA ) archivos.

Debido a esto, los LNK se usan ampliamente para la distribución de malware, especialmente en campañas de phishing, y algunas familias de malware notables que los usan actualmente son Emotet , Bumblebee , Qbot e IcedID .

Constructor de LNK cuántico

Los investigadores de Cyble han descubierto una nueva herramienta para crear LNK maliciosos llamada Quantum, que cuenta con una interfaz gráfica y ofrece una construcción de archivos conveniente a través de un amplio conjunto de opciones y parámetros (por ejemplo, suplantación de identidad, selección de iconos de más de 300 opciones disponibles).

La herramienta se alquila por 189€ al mes, 335€ por dos meses, 899€ por seis meses, o pago único de 1.500€ para acceso de por vida.


Folleto promocional de Quantum (Cyble)

Quantum ofrece omisión de UAC, omisión de Windows Smartscreen, la capacidad de cargar múltiples cargas útiles en un solo archivo LNK, ocultación posterior a la ejecución, inicio o ejecución retrasada.

Sus autores afirman que los archivos generados con Quantum son 100 % FUD, o totalmente indetectables, lo que indica que los motores antivirus y los mecanismos de protección del sistema operativo no los marcan como sospechosos o peligrosos.

Finalmente, Quantum también ofrece la opción de crear archivos HTA e ISO, que normalmente van de la mano en ataques que involucran LNK, con todo incluido dentro de los archivos de imagen de disco.


Pantalla de construcción ISO en Quantum (Cyble)

Otra característica interesante de Quantum es la implementación de un exploit dogwalk n-day en la herramienta de diagnóstico de soporte de Microsoft (MSDT), que utiliza un archivo .diagcab para realizar la ejecución de código arbitrario.

Lazos con Lazarus

El análisis de Cyble de muestras recientes de LNK capturadas en la naturaleza indica que bandas notorias de APT como Lazarus podrían estar usando Quantum para sus ataques.

El archivo particular utilizado en la campaña es “Password.txt.lnk”, que aparece como un archivo de texto con una contraseña para un documento PDF protegido que supuestamente ofrece un análisis de moneda estable.

El script de PowerShell que se ejecuta al abrir el archivo LNK es muy similar a los scripts utilizados por Lazarus en campañas recientes, lo que indica una posible conexión.


Comparación a nivel de código de scripts de PowerShell (Cyble)

Siempre que el uso de archivos LNK sea efectivo para los actores maliciosos, se espera que continúe la tendencia creciente en su implementación.

Herramientas como Quantum están acelerando aún más la tendencia de adopción y hacen que la elección de los archivos LNK sea más atractiva para los ciberdelincuentes.

Se recomienda a los usuarios que permanezcan atentos y analicen todos los archivos que reciben por correo electrónico con una herramienta antivirus antes de ejecutarlos.

Fuente: You are not allowed to view links. Register or Login

4

Una nueva campaña de phishing se dirige a los usuarios de Microsoft 365 mientras falsifica al popular proveedor de billetera de criptomonedas MetaMask e intenta robar frases de recuperación.

Las frases de recuperación de MetaMask, o semillas, son una serie de 12 palabras que los usuarios pueden usar para importar una billetera criptográfica existente en otros dispositivos. Cualquiera que tenga acceso a esta frase de recuperación puede importar la billetera en cualquier dispositivo que elija y robar los NFT y las criptomonedas almacenadas en ella, lo que los convierte en un objetivo popular para los actores de amenazas.

Según la empresa de seguridad de correo electrónico Armorblox, la nueva campaña se dirige a los usuarios de Microsoft Office 365 y distribuye mensajes que se asemejan a solicitudes de verificación de identidad legítimas.

Suplantar el soporte de MetaMask

El correo electrónico de phishing, que parece ser enviado desde el soporte de MetaMask, falsifica una solicitud de verificación Conozca a su cliente (KYC) y presenta una marca convincente y sin errores tipográficos u otros obsequios obvios de estafa.

Las solicitudes KYC son parte de las obligaciones legales estándar contra el lavado de dinero que las empresas financieras deben cumplir, por lo que recibir una solicitud no sería necesariamente inusual.

Si bien el MetaMask real no requiere que sus usuarios verifiquen o proporcionen detalles de KYC, lidiar con las solicitudes de verificación puede ser una experiencia frustrante, lo que posiblemente haga que los destinatarios sean menos cautelosos.

Curiosamente, los actores de phishing incluso dan a los destinatarios un cómodo plazo de hasta un mes completo para tomar medidas para verificarse a sí mismos, lo que es otra falsa señal de legitimidad, ya que los intentos de phishing suelen implicar urgencia.


Correo electrónico de phishing utilizado en la campaña (Armorblox)

Si las víctimas hacen clic en el botón incrustado, se les lleva a una página de destino falsa diseñada para parecerse al sitio web real de MetaMask.

El sitio de phishing incluso advierte a los visitantes que se aseguren de que su contraseña siempre esté adecuadamente protegida.


Sitio de phishing MetaMask (Armorblox)

El dominio real de MetaMask es "metamask.io", mientras que la página de phishing usa "metamask.io-integrated-status.com", que podría pasar como genuino para los usuarios desprevenidos.

Si las víctimas ingresan su frase de contraseña en el sitio de phishing, va directamente a los atacantes y, a menudo,  los adversarios no tardan mucho  en tomar medidas y robar los fondos y NFT disponibles de la víctima.

Cómo mantenerse a salvo

Cuando reciba correos electrónicos que hagan afirmaciones serias sobre el estado de sus cuentas, ignore los botones incrustados o las URL proporcionadas y, en su lugar, visite la plataforma directamente desde una nueva pestaña, inicie sesión en su cuenta y verifique si hay alertas que requieran su atención.

Recuerde siempre verificar que el dominio en el que está a punto de ingresar las credenciales sea el correcto, y nunca entre en acción sin importar qué emergencia o sentido de urgencia se le presente.

Finalmente, habilite siempre la autenticación multifactor (MFA) en todas las cuentas en línea donde la medida de seguridad se ofrece como una opción.

Fuente: You are not allowed to view links. Register or Login

5

Los investigadores de seguridad descubrieron que Adobe Acrobat está tratando de bloquear el software de seguridad para que no pueda ver los archivos PDF que abre, lo que crea un riesgo de seguridad para los usuarios.

El producto de Adobe está verificando si los componentes de 30 productos de seguridad están cargados en sus procesos y probablemente los bloquee, negándoles esencialmente el monitoreo de actividad maliciosa.

Marcar AV incompatibles

Para que una herramienta de seguridad funcione, necesita visibilidad de todos los procesos en el sistema, lo que se logra mediante la inyección de bibliotecas de enlaces dinámicos (DLL) en los productos de software que se inician en la máquina.

Los archivos PDF han sido objeto de abuso en el pasado para ejecutar malware en el sistema. Un método es agregar un comando en la sección 'OpenAction' del documento para ejecutar comandos de PowerShell para actividades maliciosas, explican los investigadores de la empresa de ciberseguridad Minerva Labs.


Según un informe de esta semana, la lista ha crecido para incluir 30 archivos DLL de productos de seguridad de varios proveedores. Entre los más populares entre los consumidores se encuentran Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

La consulta del sistema se realiza con 'libcef.dll', una biblioteca de enlaces dinámicos de Chromium Embedded Framework (CEF) utilizada por una amplia variedad de programas.

Si bien la DLL de Chromium viene con una breve lista de componentes que se incluirán en la lista negra porque causan conflictos, los proveedores que la utilizan pueden realizar modificaciones y agregar cualquier DLL que deseen.


Lista de archivos DLL codificados de Chromium , fuente: Minerva Labs

Los investigadores explican que "libcef.dll se carga mediante dos procesos de Adobe: AcroCEF.exe y RdrCEF.exe", por lo que ambos productos verifican el sistema en busca de componentes de los mismos productos de seguridad.

Mirando más de cerca lo que sucede con las DLL inyectadas en los procesos de Adobe, Minerva Labs descubrió que Adobe verifica si el  valor de bBlockDllInjection  en la clave de registro ' SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ' está configurado en 1. Si es así, lo hará evitar que las DLL del software antivirus se inyecten en los procesos.

Cabe señalar que el valor de la clave de registro cuando se ejecuta Adobe Reader por primera vez es '0' y que se puede modificar en cualquier momento.


Según la investigadora de Minerva Labs, Natalie Zargarov, el valor predeterminado para la clave de registro se establece en '1', lo que indica un bloqueo activo. Esta configuración puede depender del sistema operativo o de la versión de Adobe Acrobat instalada, así como de otras variables en el sistema.

En una  publicación en los foros de Citrix  el 28 de marzo, un usuario que se quejaba de los errores de Sophos AV debido a que tenía instalado un producto de Adobe dijo que la empresa “sugirió desactivar la inyección de DLL para Acrobat y Reader.


Adobe responde al usuario de Citrix que experimenta errores en la máquina con Sophos AV

Trabajando en el problema

En respuesta a BleepingComputer, Adobe confirmó que los usuarios han informado que experimentan problemas debido a que los componentes DLL de algunos productos de seguridad son incompatibles con el uso de la biblioteca CEF de Adobe Acrobat.


La compañía agregó que actualmente está trabajando con estos proveedores para abordar el problema y "para garantizar la funcionalidad adecuada con el diseño de espacio aislado CEF de Acrobat en el futuro".

Los investigadores de Minerva Labs argumentan que Adobe eligió una solución que resuelve los problemas de compatibilidad pero presenta un riesgo de ataque real al evitar que el software de seguridad proteja el sistema.

BleepingComputer se ha puesto en contacto con Adobe con más preguntas para explicar las condiciones en las que se produce el bloqueo de DLL y actualizará el artículo una vez que tengamos la información.

Fuente: You are not allowed to view links. Register or Login

6

MEGA ha lanzado una actualización de seguridad para abordar un conjunto de vulnerabilidades graves que podrían haber expuesto los datos de los usuarios, incluso si los datos se hubieran almacenado en forma cifrada.

MEGA es un servicio de alojamiento de archivos y almacenamiento en la nube con sede en Nueva Zelanda con más de 250 millones de usuarios registrados de más de doscientos países. Los usuarios han subido colectivamente 120 mil millones de archivos distintos con un tamaño de 1000 petabytes.

Una de las funciones anunciadas de MEGA es que los datos se cifran de extremo a extremo y solo el usuario tiene acceso a la clave de descifrado. Sin embargo, los investigadores han demostrado que las vulnerabilidades en el algoritmo de encriptación les permitieron acceder a los datos encriptados de los usuarios.Las vulnerabilidades en el esquema de cifrado de MEGA fueron descubiertas por investigadores de ETH Zurich, en Suiza, quienes lo informaron a la firma de manera responsable el 24 de marzo de 2022.

Si bien los investigadores descubrieron cinco posibles ataques contra los datos del usuario que se basan en la misma cantidad de fallas, todos se basan en robar y descifrar una clave RSA.


MEGA no tiene conocimiento de ninguna cuenta de usuario o datos comprometidos al explotar las fallas descubiertas. Sin embargo, este hallazgo crea una mella en las promesas de seguridad de datos del servicio.

Descifrando MEGA

MEGA utiliza un sistema de cifrado de extremo a extremo controlado por el usuario (UCE) para proteger los datos del usuario incluso del acceso interno. La base de este sistema es una clave de cifrado generada a partir de la contraseña de inicio de sesión normal de un usuario.

A continuación, la clave maestra se genera a través de un proceso aleatorio y se utiliza para el cifrado posterior de un subconjunto de claves, incluido un par de claves RSA, una clave de curva utilizada para la función de chat, una clave de firma Ed y las claves de nodo.


La clave RSA de cada usuario se almacena en los servidores de MEGA sin protección de integridad.

El equipo de ETH Zurich descubrió una forma novedosa de realizar un ataque de intermediario que puede recuperar las claves RSA de cuentas MEGA específicas.

Este ataque se basa en adivinar el factor principal a través de la comparación y requiere al menos 512 intentos de inicio de sesión para funcionar. Además, el adversario tendría que acceder a los servidores de MEGA para realizar el ataque.

Esto es muy complicado y generalmente difícil para las amenazas externas, pero no sería tan desafiante para los empleados de MEGA deshonestos o poco éticos.

Una vez que la clave RSA de una cuenta objetivo filtra los textos cifrados del usuario, el atacante puede trabajar hacia atrás para recuperar el AES-ECB de la clave maestra en texto sin formato y luego descifrar todo el subconjunto de claves.

Eventualmente, el atacante puede descifrar los datos del usuario almacenados en la nube de MEGA, acceder a los chats en forma de texto sin cifrar e incluso cargar contenido nuevo en el repositorio de la cuenta.

Remedio e implicaciones

MEGA solucionó las dos vulnerabilidades que pueden conducir al descifrado de datos de usuario en todos los clientes (recuperación de clave RSA y recuperación de texto sin formato), mitigó una tercera (framing) y planea abordar los dos problemas restantes descubiertos en las próximas actualizaciones.

Las correcciones no son contramedidas perfectas, pero no afectan la experiencia del usuario y no requieren que los usuarios vuelvan a cifrar sus datos almacenados, cambien su contraseña o creen nuevas claves.

El proveedor de servicios en la nube afirma que no hay señales de acceso inapropiado a cuentas de usuario o datos, ya sea por parte de personas internas o externas.

"Ver cómo los atajos de diseño criptográfico aparentemente inocuos tomados hace casi una década resultan contraproducentes bajo el escrutinio de tres de las mentes más brillantes del sector es aterrador e intelectualmente fascinante", comenta MEGA sobre los hallazgos .

"El umbral muy alto de explotabilidad, a pesar de la amplia gama de fallas criptográficas identificadas, proporciona una cierta sensación de alivio".

A pesar de las garantías de MEGA de que ningún dato se vio comprometido, la investigación anuló efectivamente las garantías de confidencialidad de datos de MEGA que los diferenciaron de su competencia durante más de una década.

Fuente: You are not allowed to view links. Register or Login

7

Microsoft confirmó hoy que una futura actualización de Windows deshabilitará permanentemente el navegador web Internet Explorer en los sistemas de los usuarios.

Esto se reveló el miércoles 15 de junio, el día en que Internet Explorer finalmente llegó al final de su vida útil para la opción de servicio del canal semestral (SAC) de Windows 10.

Como informó anteriormente BleepingComputer  , el navegador web ahora retirado comenzará a redirigir a los usuarios al nuevo Microsoft Edge basado en Chromium al iniciar la aplicación de escritorio Internet Explorer 11.

"Los usuarios seguirán viendo el ícono de Internet Explorer en sus dispositivos (como en la barra de tareas o en el menú Inicio), pero si hacen clic para abrir Internet Explorer, Microsoft Edge se abrirá en su lugar con fácil acceso al modo IE", dijo el gerente general. para Microsoft Edge Enterprise Sean Lyndersay hoy.

"Eventualmente,  Internet Explorer  se desactivará de forma permanente como parte de una futura actualización de Windows , momento en el cual se eliminarán los íconos de Internet Explorer en los dispositivos de los usuarios". [énfasis nuestro]

Durante este proceso de redirección, los datos de los usuarios (incluidas las configuraciones, los favoritos y las contraseñas) se importarán a Microsoft Edge para facilitar el cambio.

Microsoft también agregará un botón "Recargar en modo IE" a la barra de herramientas de Edge para ayudar a los usuarios a iniciar rápidamente sitios que soliciten abrirse en Internet Explorer usando el modo IE.


Internet Explorer ha estado iniciando automáticamente Microsoft Edge al visitar sitios incompatibles a partir de octubre de 2020.

La  lista de sitios incompatibles  (administrados por Microsoft) actualmente contiene 1427 sitios, incluidos Twitter, Facebook, Instagram, Google Drive, Microsoft Teams y muchos otros.

Microsoft Edge es el futuro

Si bien se retiró oficialmente de varias versiones de Windows 10 y no se envía con Windows 11, Internet Explorer seguirá estando disponible en Windows 7 ESU, Windows 8.1 y todas las versiones del cliente, IoT y servidor de Windows 10 LTSC.

En los sistemas que ejecutan estas versiones de Windows, el navegador web seguirá recibiendo soporte técnico y actualizaciones de seguridad durante el ciclo de vida de la versión de Windows en la que Microsoft ha alentado a los clientes a cambiar de Internet Explorer a Microsoft Edge durante años; puede obtener más información sobre el modo IE y cómo realizar el cambio en esta  guía de inicio .

Quote
"Se alienta a los clientes a cambiarse a Microsoft Edge con el modo IE. El modo IE permite la compatibilidad con versiones anteriores y será compatible al menos hasta 2029", dice Redmond.

Para habilitar el modo IE en Microsoft Edge, debe ir a  edge://settings/defaultbrowser , habilitar la opción ' Permitir que los sitios se vuelvan a cargar en Internet Explorer ' y reiniciar el navegador web.

En agosto de 2020, Microsoft  anunció por primera vez planes para abandonar la compatibilidad  con los navegadores web Internet Explorer 11 en Windows 10 y Microsoft 365, con un  anuncio oficial  del retiro emitido el 19 de mayo de 2021.

Microsoft también suspendió el soporte de IE en Teams  el 30 de noviembre de 2020 y finalizó el soporte en las aplicaciones y servicios de Microsoft 365  el 17 de agosto de 2021 .

Otras aplicaciones y servicios de Microsoft también dejaron de ser compatibles con Internet Explorer en los últimos años; hay una lista completa disponible  You are not allowed to view links. Register or Login.


Fuente: You are not allowed to view links. Register or Login

8

Han surgido detalles técnicos sobre una vulnerabilidad de alta gravedad que afecta a ciertas versiones de la solución de correo electrónico Zimbra que los piratas informáticos podrían explotar para robar inicios de sesión sin autenticación o interacción del usuario.

El problema de seguridad se rastrea actualmente como  CVE-2022-27924  e impacta las versiones 8.8.x y 9.x de Zimbra para las versiones comerciales y de código abierto de la plataforma.

Se ha publicado una corrección en las versiones de Zimbra ZCS 9.0.0 parche 24.1 y ZCS 8.8.15 parche 31.1, disponibles desde el 10 de mayo de 2022. Organizaciones de todo el mundo suelen utilizar Zimbra, incluidas las de los  sectores gubernamental , financiero y educativo.

Desvío silencioso de credenciales

La falla ha sido descrita en un informe de investigadores de SonarSource, quienes la resumieron como “Envenenamiento de Memcached con una solicitud no autenticada”. La explotación es posible a través de una inyección de CRLF en el nombre de usuario de las búsquedas de Memcached.

Memcached es una instancia de servicio interno que almacena pares clave/valor para cuentas de correo electrónico para mejorar el rendimiento de Zimbra al reducir la cantidad de solicitudes HTTP al servicio de búsqueda. Memcache establece y recupera esos pares mediante un protocolo simple basado en texto.


Solicitud HTTP (arriba) y mensaje enviado al servidor (abajo) (SonarSource)

“Por lo general, los clientes de correo como Thunderbird, Microsoft Outlook, la aplicación macOS Mail y las aplicaciones de correo para teléfonos inteligentes almacenan las credenciales que el usuario usó para conectarse a su servidor IMAP en el disco”, explica SonarSource en el informe , destacando que el exploit no No requiere ninguna interacción del usuario.

“Cuando el cliente de correo se reinicia o necesita volver a conectarse, lo que puede suceder periódicamente, se volverá a autenticar en la instancia de Zimbra objetivo”, agregan los investigadores.


Conocer la dirección de correo electrónico de la víctima, una información que normalmente es fácil de encontrar, y usar un cliente IMAP le permite al atacante explotar la vulnerabilidad más fácilmente, pero estos detalles no son obligatorios.

Una segunda técnica de explotación permite eludir las restricciones anteriores para robar credenciales para cualquier usuario sin interacción y sin ningún conocimiento sobre la instancia de Zimbra.

Esto se logra a través del "contrabando de respuestas", una ruta alternativa que aprovecha el uso de un cliente basado en web para Zimbra.


De esta manera, un atacante podría secuestrar la conexión proxy de usuarios aleatorios cuyas direcciones de correo electrónico son desconocidas, aún sin requerir ninguna interacción o generar alertas para la víctima.

Corrección y línea de tiempo

SonarSource reveló sus hallazgos con Zimbra el 11 de marzo de 2022. Se lanzó un primer parche el 31 de marzo de 2022, pero fue insuficiente para solucionar el problema.

El 10 de mayo, el proveedor de software solucionó los problemas a través de ZCS 9.0.0 Parche 24.1 y ZCS 8.8.15 Parche 31.1 , creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor.

SHA-256 no puede contener espacios en blanco, por lo que no se pueden crear nuevas líneas para la inyección de CRLF y no se pueden producir ataques de envenenamiento en las versiones parcheadas.

Vale la pena señalar que Zimbra lanzó  ayer las actualizaciones ZCS 9.0.0 Patch 25 y ZCS 8.8.15 Patch 32  con una actualización de OpenSSL 1.1.1n, que aborda una  vulnerabilidad de bucle infinito que  causa una denegación de servicio, rastreada como CVE-2022-0778.

Fuente: You are not allowed to view links. Register or Login

9

Thunderbird para Android empieza a ser una realidad, pero posiblemente no por la vía que muchos esperábamos. Sí, los responsables del archiconocido cliente de correo confirmaron que la versión de la aplicación estaba en camino, pero el camino elegido para su llegada está sorprendiendo a propios y extraños.

Thunderbird para Android fue confirmado de forma más bien espontánea, después de que Jason Evangelho, el conocido divulgador sobre Linux que desde hace poco es gerente del marketing de Thunderbird, preguntara a su compañero Ryan Lee Sipes a través de Twitter si había algo sobre la llegada la aplicación. Ahí fue cuando empezamos a tener constancia de su existencia de manera oficial.

Sin embargo, quedó en el aire la vía por la que llegaría. En su momento especulamos sobre la posibilidad de que se basara en Fenix, la tecnología empleada desde hace un tiempo por Firefox para Android, pero la realidad es que Mozilla ha maniobrado para adoptar K-9 Mail, un cliente de correo exclusivo para el sistema operativo móvil de Google.

K-9 Mail es un cliente de correo electrónico para Android publicado como código abierto bajo la licencia Apache 2. Al parecer la incorporación de K-9 Mail a la estructura de de Thunderbird ha sido proceso que ha estado cocinándose durante años, ya que Ryan Lee Sipes inició en 2018 conversaciones con Christian Ketterer, principal mantenedor de K-9 Mail, para llevar a cabo posibles colaboraciones. Y todo parece haber ido incluso mejor de lo esperado, porque Thunderbird para Android no solo se basará en K-9 Mail, sino que esa última aplicación ha pasado a formar parte de Thunderbird junto a Christian Ketterer.

Todo lo expuesto hasta aquí deja entrever que K-9 Mail será convertido en Thunderbird para Android en un futuro, pero el proceso, al menos según la información que hemos obtenido, no será de golpe, sino que irá poco a poco. Los responsables de Thunderbird dotarán de K-9 Mail de recursos tanto económicos como de desarrollo para que mejore a nivel de características y vaya alineándose mejor con las versiones de Thunderbid para escritorio tanto a nivel de funciones como de diseño. Viendo que la incorporación de la sincronización ha sido planeada para 2023, la cosa apunta a ir para largo.








En consecuencia, K-9 Mail seguirá estando disponible como tal para su descarga desde la Play Store de Google y F-Droid, pero los usuarios posiblemente empiecen a ver una evolución más acelerada a través de la incorporación de más características y cambios de diseño, hasta que después de un tiempo vean que la aplicación ya no se llama K-9 Mail, sino Thunderbird.

Christian Ketterer ha dicho que espera aportar su experiencia y sus conocimientos en el desarrollo para plataformas móviles, mientras que Ryan Lee Sipes ha dicho que K-9 Mail “se alinea perfectamente con los valores de Thunderbird de usar estándares abiertos, respetar al usuario y permitir a los usuarios avanzados una personalización inigualable”.

En el aire ha quedado un previsible cambio de licencia que veremos si se lleva a cabo. K-9 Mail, como ya hemos dicho, está publicado bajo la licencia Apache 2, pero Thunderbird emplea la MPL 2, una licencia propia de Mozilla. Lo lógico es pensar que en Thuderbird apuesten por la licencia de la corporación a la que pertenecen, pero a saber qué se está cocinando por dentro.

Para algunos posiblemente la llegada de Thunderbird a Android sea un motivo de alegría, pero por otro no deja de ser otra señal de que Mozilla ha sido muy lenta reaccionando a los cambios tecnológicos y en el mercado producidos durante la última década.

Fuente: You are not allowed to view links. Register or Login

10

El 12 de junio de 2017 investigadores de ESET publicaron sus hallazgos sobre un nuevo y particular malware que era capaz de provocar un apagón generalizado. Industroyer, como lo llamaron, fue la primera pieza de malware conocida desarrollada específicamente para atacar a una red eléctrica.

De hecho, Industroyer ya se había desplegado unos meses antes y había tenido un efecto considerable: provocó que el 17 de diciembre de 2016 miles de hogares en partes de Kiev, Ucrania, se quedaran sin suministro eléctrico durante aproximadamente una hora. Esto sucedió después de que el malware atacara una subestación eléctrica local. Unos días después, el investigador de malware de ESET, Anton Cherepanov, comenzaría a desmenuzar Industroyer.

Una bomba de tiempo

Una vez plantado en el sistema, Industroyer se extendió por la red de la subestación buscando dispositivos de control industrial específicos con protocolos de comunicación a través de los cuales poder hablar. Luego, como una bomba de tiempo a punto de estallar, aparentemente abrió todos los disyuntores a la vez, mientras desafiaba cualquier intento de los operadores de la subestación por recuperar el control: si un operador intentaba cerrar un interruptor, el malware lo volvía a abrir.

Para limpiar sus rastros, el malware liberó un wiper, que es un tipo de malware que borra datos, que había sido diseñado para dejar las computadoras de la subestación inoperativas y retrasar el regreso a las operaciones normales. De hecho, el wiper a menudo fallaba, pero si hubiera tenido más éxito, las consecuencias podrían haber sido mucho peores, especialmente en invierno, cuando un corte de energía puede hacer que las tuberías llenas de agua se agrieten cuando se congelan.

El malware realizó un acto malicioso final para desactivar algunos de los relés de protección en la subestación, pero eso también falló. Sin el funcionamiento de los relés de protección, el equipo de la subestación podría haber estado expuesto a un alto riesgo de daño cuando los operadores finalmente restablecieron la transmisión eléctrica.

Como mencionaron en ese momento Cherepanov y su colega investigador de ESET, Robert Lipovsky, la sofisticación de Industroyer hace posible adaptar el malware a cualquier entorno similar. De hecho, los protocolos de comunicación industrial que utiliza Industroyer se implementan no solo en Kiev, sino también “en infraestructura de suministro de energía, sistemas de control de transporte y otros sistemas de infraestructura crítica (como agua y gas) en todo el mundo”.

Por otro lado, teniendo en cuenta lo sofisticado que era Industroyer, su impacto en última instancia fue bastante decepcionante, como lo señalaron los propios investigadores de ESET en 2017. Quizás fue solo una prueba para futuros ataques, o quizás fue una señal de lo que era capaz de hacer el grupo detrás de su creación.

El trabajo de Sandworm

El comportamiento del malware, señalaron los investigadores de ESET, reflejan las intenciones maliciosas de quienes lo crearon. En la conferencia Virus Bulletin de 2017, Lipovsky destacó que “los atacantes tenían que comprender la arquitectura de una red eléctrica, qué comandos enviar y cómo se lograría”. Sus creadores recorrieron un largo camino para crear este malware, y su objetivo no era solo un corte de energía. “Algunas pistas de la configuración de Industroyer sugieren que querían provocar daños a nivel equipamiento y también mal funcionamiento”.

En Black Hat 2017, Cherepanov también señaló que “parece muy poco probable que alguien pueda escribir y probar dicho malware sin acceso al equipo especializado utilizado en el entorno industrial específico”.

En octubre de 2020, Estados Unidos atribuyó el ataque a seis oficiales pertenecientes a Sandworm, nombre que se le dio a la Unidad 74455 de la Dirección General de Inteligencia rusa (GRU).

Industroyer 2: El regreso de Industroyer

Volvemos a 2022 y no sorprende que la telemetría de ESET haya mostrado un aumento en los ataques cibernéticos dirigidos a Ucrania en las semanas previas y posteriores a la invasión de Rusia el 24 de febrero.

El 12 de abril, junto con CERT-UA, los investigadores de ESET anunciaron que habían identificado una nueva variante de Industroyer, a la cual llamaron Industroyer 2, apuntando a un proveedor de energía en Ucrania. Esta nueva variante había sido programada para cortar el suministro de energía en una región de Ucrania el 8 de abril. Afortunadamente, el ataque fue frustrado antes de que pudiera causar más estragos en un país que ya viene siendo afectado por la guerra. Los investigadores de ESET consideran con mucha confianza que Sandworm fue nuevamente el responsable de este nuevo ataque.

Un presagio de lo que vendrá

En los últimos años se ha vuelto más que claro que los servicios de infraestructura crítica del mundo están expuestos al riesgo de interrupciones. La serie de incidentes que han impactado la infraestructura crítica en Ucrania a lo largo del tiempo (y en otras partes del mundo) han ayudado a tomar conciencia sobre los riesgos a los que están expuestos los servicios críticos y la posibilidad de que ataques cibernéticos sean la causa de posibles cortes de energía, interrupciones en el suministro de agua, interrupciones en la distribución de combustible, pérdida de datos médicos y de muchas otras consecuencias que pueden hacer mucho más que interrumpir nuestras rutinas diarias: pueden amenazar la vida.

En 2017, tanto Cherepanov como Lipovsky concluyeron el artículo de la investigación con una advertencia que, cinco años después, sigue vigente: “Independientemente de si el reciente ataque a la red eléctrica ucraniana fue o no una prueba, debería servir como un señal de alarma para los responsables de la seguridad de sistemas críticos alrededor del mundo”.

Fuente: You are not allowed to view links. Register or Login

11

PostmarketOS 22.06, que llega tras el Service Pack 3 de 21.12, es un lanzamiento importante. Llega con muchas novedades, entre las que destacan 3: se ha incluido la última versión de las apps móviles de KDE, Phosh 0.17.0 y nuevos dispositivos compatibles. A continuación tenéis una lista con todos ellos, y el resto de novedades más destacadas.

Novedades más destacadas de postmarketOS 22.06

Dispositivos soportados:

- ASUS MeMo Pad 7.
- Arrow DragonBoard 410c.
- BQ Aquaris X5.
- Lenovo A6000 y A6010.
- Motorola Moto G4 Play.
- Nokia N900.
- ODROID HC2.
- OnePlus 6.
- OnePlus 6T.
- PINE64 PineBook Pro, PinePhone, PineTab y RockPro64.
- Purism Librem 5.
- SHIFT 6mq (nuevo)
- Samsung Galaxy A3 (2015), Galaxy A5 (2015), Galaxy S III (nuevo), Galaxy S4 Mini Value Edition, Galaxy Tab 2 7.0″, Galaxy Tab A 8.0 y Galaxy Tab A 9.7.
- Wileyfox Swift.
- Xiaomi Mi Note 2, Pocophone F1 y Redmi 2.

- Se ha creado un script para actualizar desde el mismo sistema operativo. Porque sí, hasta ahora no era posible. Había que hacer una copia de seguridad, instalar la nueva imagen y restaurar la copia. Ahora eso ya no será necesario.
- Sxmo 1.9.0.
- Phosh 0.17.0.
- Plasma Mobile Gear 22.04.
fwupd: los usuarios de un PinePhone que sepan lo que hacen pueden actualizar su modem con la alternativa de Biktor.

Con este lanzamiento, el proyecto celebra sus 5 años de vida. Como comentaba, es una de las pocas opciones válidas para dispositivos como la PineTab, ya que el resto de proyectos la han dejado de lado, reconociendo un desarrollador de Manjaro que lanzan imágenes sin siquiera probarlas. En cualquier caso, postmarketOS 22.06 ya está disponible, y es una actualización «enorme».

Fuente: You are not allowed to view links. Register or Login

12

macOS Ventura es la flamante versión del sistema operativo de Apple para PC y aunque no estará disponible hasta el próximo otoño, la compañía ya lo ha mostrado en sociedad y ha adelantado algunas de sus novedades, entre las que se cuenta el soporte para ejecutar aplicaciones de Linux.

La presentación de macOS Ventura se dio ayer, en el marco de la conferencia para desarrolladores WWDC 2022, que la que la firma de Cupertino aprovechó para enseñar lo próximo de otros de sus productos de cabecera, incluyendo los nuevos Macbook Pro y Macbook Air con los chips Apple M2, iOS y iPadOS 16 o watchOS 9, además del que nos ocupa, macOS 13, con nombre en clave macOS Ventura.

Pues bien. De las principales novedades de macOS Ventura dimos cuenta ayer en MC (también del resto de novedades que trajo la WWDC 2022: pincha en el enlace de más arriba para verlo todo), aunque justo la de la compatibilidad con aplicaciones de Linux, no estaba entre ellas. Cabe recordar que macOS Ventura se encuentra en fase beta y quedan muchas cosas por conocerse.

Sin embargo, según recogen en Phoronix macOS Ventura podrá ejecutar aplicaciones de Linux a través de Rosetta, el componente que desarrolló Apple para mantener la compatibilidad de las aplicaciones clásicas de macOS con los nuevos procesadores ARM de Apple Silicon. Mucho se ha habló de Rosetta al inicio de la transición, pero parece que Apple ha cumplido con unos mínimos y el invento ha cuajado.

Con macOS Ventura irán un paso más allá, utilizando el macOS Virtualization Framework para permitir la ejecución de binarios de Linux, sirviéndose para ello de máquinas virtuales de Linux basadas en ARM. La integración de Rosetta en este sentido se reducirá a eso, binarios o aplicaciones dentro del espacio de usuario, y no a distribuciones Linux al completo, al menos por ahora. ¿A qué nos suena esto?

En efecto, aunque hemos visto casos como el de ChromeOS con las aplicaciones de Linux, esto es diferente. No se trata de ampliar el ecosistema de aplicaciones de escritorio, que en macOS es bastante florido. Ofrecer la posibilidad de ejecutar aplicaciones de Linux en macOS Ventura tiene el mismo objetivo que Windows Subsystem for Linux: facilitarle la vida a los desarrolladores… ¿o alejar de ellos la tentación de pasarse a Linux para trabajar?

Máquinas virtuales de Linux en macOS Ventura

Sea como fuere, el cambio que propone Apple para macOS Ventura puede dar de que hablar, aunque ya hay quien le está poniendo peros al invento, no por la forma del mismo, sino por el fondo. Hector Martin publicaba ayer uno y dos hilos en Twitter hablando sobre el tema y esperando que la evolución de Rosetta no desincentive el trabajo en torno a los esfuerzos existentes para llevar Linux a Apple Silicon.

Según Martin, uno de esos desarrolladores encargados de llevar los M1 de Apple a Linux, así como uno de los responsables de Asahi Linux, la primera distribución Linux para Apple Silicon, hay dudas acerca de en qué tecnologías se apoya la nueva funcionalidad de Rosetta. Dudas que quizás se despejarán hoy, pues Apple tiene programada una charla en la que se tratará este asunto. Aparte está la documentación oficial de Rosetta.

También hay dudas, y estas son de diferente índole, en relación a los posibles problemas legales de usar Rosetta fuera de macOS Ventura y siguientes versiones, por lo que continuar con el trabajo previo de la comunidad en clave de código abierto alrededor de Apple Silicon, es esencial, sostiene Martin.

En qué quedará todo, lo veremos en un futuro. Mientras tanto ¿quién nos iba a decir que volveríamos a traer a macOS por estos lares? Con macOS Big Sur la excusa fue que el cambio de diseño creó tendencia; en esta ocasión, no obstante, la historia apunta hacia otros derroteros. A ver cuándo se invierte en nuestro -el de los usuarios de Linux- favor

O lo que es lo mismo, a ver cuándo podemos hablar de un avance sustancial de Darling, porque macOS tiene cantidad de aplicaciones exclusivas de gran nivel, muchas de las cuales no están disponibles ni siquiera para Windows. Darling, por cierto, es el equivalente a Wine, pero para ejecutar aplicaciones de Mac en Linux.

Fuente: You are not allowed to view links. Register or Login

13

Ya es posible cambiarse de Android a iOS sin perder los chats de WhatsApp. Mark Zuckerberg, CEO de Facebok, anunció en su cuenta la llegada de la esperada función para migrar entre sistemas operativos.

Con esta nueva función, WhatsApp complementa sus opciones de migración entre sistemas. El año pasado anunció la posibilidad de transferir conversaciones de iOS a Android, aunque primero solo con los nuevos Galaxy Z Fold3 y Galaxy Z Flip3. Ahora sucede lo inverso y permite a los usuarios Android llevar sus chats de WhatsApp a iOS.

Cómo pasar chats de WhatsApp de Android a iPhone
La migración de chats de Android a iPhone es sencilla, y se realiza directamente desde la app Pasar a iOS, según explica WhatsApp.

Sin embargo, se requieren algunos requisitos importantes:

- Android 5 Lollipop, o posterior
- iOS 15.5, o posterior
- La app Pasar a iOS instalada
- WhatsApp para iOS 2.22.10.70 y WhatsApp para Android 2.22.7.74, o versiones posteriores
- En el iPhone se debe usar el mismo número de teléfono con el que se usaba WhatsApp en Android
- El iPhone debe ser nuevo o haber sido restablecido de fábrica
- Ambos dispositivos deben estar conectados a una fuente de energía
- Ambos smartphones deben estar conectados a la misma red wifi, o el teléfono Android debe conectarse a la zona wifi del iPhone


Cumpliendo todos estos requisitos previos, será posible transferir las conversaciones de WhatsApp de Android a iPhone. Bastará con abrir la app Pasar a iOS en Android y seguir las indicaciones en pantalla. Al llegar a la pantalla "Transferir datos", se debe seleccionar también WhatsApp, y después tocar Comenzar en el teléfono Android.

WhatsApp preparará los datos para exportarlos al iPhone, junto con toda la demás información del smartphone. Al terminar el proceso, se cerrará la sesión de WhatsApp en Android, y en iOS solo se debe instalar la versión más reciente de WhatsApp e iniciar sesión con el mismo número.


Al comenzar la configuración, se detectará automáticamente la migración y se transferirá toda la información de WhatsApp de Android al iPhone.

La migración de WhatsApp de Android a iOS transfiere mensajes, grupos, información de perfil y archivos multimedia, es decir fotos y videos. Lo único que no se transfiere es el historial de llamadas. De acuerdo con Apple, citan nuestros compañeros españoles, todo el proceso de migración se realiza sin que la información se suba a la nube, ni de Apple ni de WhatsApp, para mayor privacidad de la información.


Finalmente, WhatsApp detalla que después de la migración, nada de la información será respaldad, hasta que el usuario decida crear una copia de seguridad en iCloud. Además, todos los datos se quedarán almacenados en el teléfono Android, a menos que sean eliminados por el usuario.

La migración de chats de Android a iOS está por el momento en fase beta, solo disponible para algunos usuarios del programa beta, pero pronto se lanzará de manera oficial para todo el mundo.

Portada - Pexels
Fuente: You are not allowed to view links. Register or Login

14

El Consorcio Europeo de Computación de Alto Rendimiento (EuroHPC) acaba de inaugurar un sistema informático preexaescala. Se trata de Lumi, un superordenador que actualmente ofrece 151,9 petaFLOPS de rendimiento, lo que le otorga el tercer puesto del TOP500 de los superordenadores más potentes del mundo.

Con este hito, el Summit (200 petaFLOPS) ha sido desplazado al cuarto lugar de la lista. Ahora el podio lo encabezan el nuevo nuevo sistema estadounidnese exaescala Frontier (1,1 exaFLOPS) seguido del superordenador japonés preexaescala Fugaku (442,01 petaFLOPS).


Pero este es solo el primer paso de Lumi. Durante las próximas semanas aumentará su potencia hasta los 375 petaFLOPS, y a finales de año alcanzará su rendimiento máximo planificado: 550 petaFLOPS. Para ese entonces, si todo sale bien, superará al sistema japonés y se quedará con el segundo puesto mundial.

El superordenador más potente de Europa

EuroHPC asegura que Lumi es actualmente el superordenador más potente del continente —conservará ese lugar una vez que alcance su rendimiento máximo—. Esto es posible gracias a su ambiciosa configuración de hardware.

Lumi ha sido construido por Hewlett Packard Enterprise (HPE) en el Centro de IT para la ciencia en Kajaani, en Finlandia. El sistema está basado en la arquitectura Cray EX que se combina con CPUs AMD EPYC "Trento" de tercera generación junto a aceleradores AMD MI250X e interconexiones Sligshot-11. Esto le permitirá alcanzar esos 550 petaFLOPS de potencia.

A modo de ejemplo, si quisiéramos replicar la potencia de cálculo del superordenador Lumi con dispositivos que están al alcance del consumidor "necesitaríamos 1,5 millones ordenadores portátiles de última generación". Y estos no cabrían en una habitación, sino que formarían una torre de más de 23 km de altura.

Todo el sistema se complementará con una capacidad de almacenamiento de 17 petabytes. Además, Lumi funcionará con energía 100% hidroeléctrica y contará con un avanzado sistema de refrigeración que permitirá aprovechar parte del calor para calefaccionar algunos edificios del área.

¿Para qué sirve tanta potencia? En la práctica, la potencia de cálculo puede ser utilizada por investigadores para realizar estudios en reducidos períodos de tiempo y analizar modelos con grandes conjuntos de datos. Es decir, los superordenadores son una herramienta muy importante para la investigación.

Los recursos informáticos de Lumi se pondrán a disposición de investigadores de toda Europa para acelerar los avances científicos en campos como el cambio climático, la medicina, la inteligencia artificial y la computación cuántica. Además, cerca del 20% de su capacidad se reservará para el uso de pequeñas y medianas empresas.


Lumi, un "amigo" de los superordenadores cuánticos

A lo largo de los años hemos explicado en Xataka los avances y desafíos de la computación cuántica. Lo cierto es que esta no reemplaza a la computación tradicional, sino que la complementa. Un claro ejemplo de ello es que, como mencionamos arriba, Lumi será una herramienta importante para la computación cuántica.

Los científicos explican que "las computadoras cuánticas necesitan superordenadores a su lado para aprovechar su capacidad para alcanzar los objetivos correctos en procesos de investigación". En este sentido, han logrado conectar este superordenador "tradicional" junto a los sistemas cuánticos finlandeses QAL 9000 (no confundir con HAL 9000 de '2001: Una odisea del espacio') y Helmi.

El ambicioso proyecto de Luim es un trabajo conjunto del EuroHPC junto a Finlandia, Bélgica, República Checa, Dinamarca, Estonia, Noruega, Polonia, Suecia y Suiza. Las inversiones, de 202 millones de euros, proceden de la Unión Europea y de los países participantes, aunque la construcción también tiene el apoyo del Fondo Europeo de Desarrollo Regional de la Unión Europea y el Consejo Regional de Kainuu.

Fuente: You are not allowed to view links. Register or Login

15

Los investigadores de seguridad han descubierto una operación maliciosa a gran escala que utiliza aplicaciones de billetera de criptomonedas móviles troyanizadas para los servicios Coinbase, MetaMask, TokenPocket e imToken.

La actividad maliciosa se identificó a principios de este año en marzo. Los investigadores de Confiant llamaron a este grupo de actividad SeaFlower y lo describen como "la amenaza más sofisticada técnicamente dirigida a los usuarios de web3, justo después del infame Grupo Lazarus".

En un informe reciente, Confiant señala que las aplicaciones maliciosas de criptomonedas son idénticas a las reales, pero vienen con una puerta trasera que puede robar la frase de seguridad de los usuarios para acceder a los activos digitales.

Los actores de amenazas detrás de la actividad de SeaFlower parecen ser chinos, según sugerencias como el idioma de los comentarios en el código fuente, la ubicación de la infraestructura, los marcos y los servicios utilizados.

distribución de aplicaciones

El primer paso en la operación SeaFlower es difundir las aplicaciones troyanizadas a tantos usuarios como sea posible. El actor de amenazas logra esto a través de clones de sitios web legítimos, envenenamiento de SEO y técnicas negras de SEO.



También es posible que las aplicaciones se promocionen en canales de redes sociales, foros y publicidad maliciosa, pero el principal canal de distribución que Confiant observó son los servicios de búsqueda.

Los investigadores descubrieron que los resultados de búsqueda del motor Baidu son los más afectados por la operación SeaFlower, que dirige cantidades masivas de tráfico a los sitios maliciosos.

En iOS, los sitios abusan de los perfiles de aprovisionamiento para descargar las aplicaciones maliciosas en el dispositivo para eludir las protecciones de seguridad.

Los perfiles de aprovisionamiento se utilizan para vincular a los desarrolladores y dispositivos con un equipo de desarrollo autorizado. Permiten que los dispositivos se usen para probar el código de la aplicación, lo que los convierte en un método poderoso para agregar aplicaciones maliciosas a un dispositivo.


Aplicaciones de puerta trasera

Los analistas confiados aplicaron ingeniería inversa a las aplicaciones para descubrir cómo los autores de SeaFlower habían plantado las puertas traseras y encontrado un código similar en todas ellas.


Para la aplicación MetaMask en iOS, el código de puerta trasera se activa al generar la frase inicial y antes de que se almacene en forma cifrada. Esto significa que el actor de amenazas intercepta la frase de contraseña cuando crea una nueva billetera o cuando agrega una existente a una aplicación recién instalada.

Una de las funciones identificadas en el código de la puerta trasera, "startupload", es responsable de robar la frase semilla y enviarla a dominios que imitan a los de los proveedores legítimos.

Por ejemplo, el actor de amenazas usó solicitudes POST para filtrar las frases de contraseña a 'trx.lnfura[.]org', que se hace pasar por el 'infura.io' genuino. De manera similar, usaron 'metanask[.]cc', que imita el dominio original de MetaMask .


Intercepción de la frase semilla (Confiant)

La clase que oculta las funciones se ofusca con el algoritmo de codificación base64 y se cifra con el sistema criptográfico RSA. Sin embargo, las claves están codificadas, por lo que los analistas podrían descifrar la puerta trasera, probar el código y validarlo en tiempo de ejecución.


Función de carga descifrada (Confiant)

El código de la puerta trasera no se ocultó tan diligentemente en las aplicaciones maliciosas de las variantes de Android, y los investigadores pudieron acceder a más de sus funciones sin mucho esfuerzo.

Un aspecto particularmente interesante en la puerta trasera descubierta es la inyección de un React Native Bundle directamente en la instancia de RCTBridge para cargar JavaScript.

Refiriéndose a este hallazgo, Taha Karim , director de inteligencia de amenazas de Confiant, compartió el siguiente comentario con BleepingComputer:

La inyección de paquetes nativos de reacción es definitivamente algo nuevo en el mundo de las puertas traseras, tiene que ver con que metamask sea una aplicación nativa de reacción. Los atacantes dedicaron tiempo a la ingeniería inversa del puente nativo de React y entendieron cómo y dónde se cargan los paquetes.

Agregaron un ajuste de logotipos para forzar que el paquete de puerta trasera se cargue en tiempo de ejecución y que javascriptcore lo ejecute. El paquete vino encriptado con RSA y oculto dentro de un archivo dylib, que también se inyecta en tiempo de ejecución.

fuentes confiables

Para protegerse contra estas amenazas furtivas, los usuarios de criptomonedas deben descargar aplicaciones de billetera solo de fuentes confiables, como tiendas de aplicaciones oficiales o del sitio web del desarrollador.

Para usuarios de iOS, instalar o aceptar perfiles de aprovisionamiento sin verificar la legitimidad de las solicitudes, ya que estas permiten instalar cualquier aplicación en sistemas iOS o macOS.

Fuente: You are not allowed to view links. Register or Login

16

Pinta mal la cosa con el Autopilot de Tesla. La NHTSA (Administración Nacional de Seguridad del Tráfico en las Carreteras​, por sus siglas en inglés) de Estados Unidos ha publicado esta semana un nuevo análisis sobre el software de conducción autónoma de Tesla, llegando a varias conclusiones que dejan en muy mal lugar a este sistema. Hasta tal punto que ya se habla abiertamente de retirar del mercado esta función.

Más de 830.000 vehículos con el Autopilot podrían verse afectados. La NHTSA argumenta que está habiendo una "acumulación de choques en los que los vehículos de Tesla que operaban con el Autopilot activado". La investigación se centra en 16 accidentes, pero en total el análisis abarcará los más de 800.000 Tesla que vienen con el Autopilot en EE.UU, desde todos los Model S desde 2014, los Model X desde 2015, los Model 3 desde 2018 y los Model Y desde 2020.

Todos estos vehículos podrían verse afectados por las conclusiones del estudio, ya que en caso de determinarlo, podrían tener que desactivar el Autopilot de sus vehículos. Al funcionar a través de la nube, estos coches no haría falta que fueran devueltos físicamente para adaptarse.

El Autopilot se desactivó un segundo antes del impacto. De los casos analizados, la NHTSA explica que, de media, el Autopilot "se desactivó menos de un segundo antes del primer impacto", pese a que los vídeos muestran que el conductor podría haber detectado el problema del accidente, de media, unos ocho segundos antes del impacto.

La mayoría de los conductores tenían las manos en el volante, como exige el piloto automático, pero el problema es que no se tomaron medidas a tiempo. Según describe el regulador, en el 25% de los accidentes, Tesla no emitió ninguna "alerta visual o alarma durante el ciclo final de uso del piloto automático". Es decir, los conductores confiaron en Autopilot hasta que era demasiado tarde (solo un segundo antes del choque).

Elon Musk apuntaba que Autopilot no estaba activo en el momento de la colisión. Uno de los puntos conflictivos, que la NHTSA va a revisar, es el papel real que tiene Autopilot en el número de accidentes. En el pasado, Elon Musk ha explicado que los datos de Tesla mostraban que el piloto automático no estaba activo en el momento de la colisión, lo que reducía el número de accidentes directamente relacionados con Autopilot.

Sin embargo, la investigación de la NHTSA amplía el potencial alcance de Autopilot, indicando que aunque es cierto que no estaba activado en ese momento, el margen de maniobra que deja Autopilot es muy pequeño.

La responsabilidad recae en el conductor. Pese a los avances del Full Self-Driving (FSD) de Tesla, todavía en beta, estos sistemas todavía se consideran una asistencia al conductor. Es decir, la responsabilidad en caso de accidente recae en el conductor y no en el propio sistema de conducción autónoma. Es decir, la "culpa" no es de Tesla, en caso de accidente, ya que el conductor tiene que estar alerta todavía en todo momento.

La investigación continúa en marcha. Varios de los accidentes relacionados con el Autopilot han derivado en juicios, donde hay que determinar el alcance de responsabilidad del conductor y del propio fabricante. Es un asunto que se analiza caso por caso y donde hay en juego mucho dinero, también por parte de las aseguradoras.

La NHTSA continuará por el momento con esta investigación, auditando el funcionamiento del Autopilot de Tesla y comprobando por qué se desactiva momentos antes del impacto.

Fuente: You are not allowed to view links. Register or Login

17

Uno de los ingenieros de Google ha sido suspendido y acusado de violar las políticas de confidencialidad de la compañía, luego de que diera a conocer sus preocupaciones de que uno de los sistemas de IA hubiera logrado desarrollar sensibilidad.

De acuerdo con The Washington Post, el ingeniero Blake Lemoine, quien trabaja en la parte de Inteligencia Artificial de Google, estaba probando si el modelo LaMDA utilizaba discursos discriminatorios o de odio, y al conversar sobre religión con el sistema, se percató que el chatbot abordó también temas sobre sus derechos y personalidad, opinando incluso sobre la tercera ley de la robótica de Isaac Asimov.

Ya en abril Lemoine había externado sus preocupaciones a los ejecutivos en un documento llamado "¿LaMDA es sensible?", donde se incluyó una transcripción de sus conversaciones con la IA, misma que publicó en Medium una vez que fue suspendido, con argumentos sobre que la Inteligencia contaba con sentimientos, emociones y hasta experiencias subjetivas.


Google consideró que las acciones relacionadas con su trabajo en LaMDA habían violado las políticas de confidencialidad de la compañía, según TWP, pues había llegado a realizar una serie de movimientos "agresivos", como invitar a un abogado para que representara a la IA y hablar con un representante del comité judicial de la Cámara sobre lo que él consideraba como actividades poco éticas de la compañía.

El debate sobre el nivel de conversación de la IA

LaMDA fue anunciada públicamente en el Google I/O de 2021, con la intención de mejorar los asistentes de IA y hacer las conversaciones más naturales, similar a la tecnología usada para Smart Compose en Gmail o la consultas en su motor de búsqueda.

De acuerdo con la compañía, su posición oficial es que no hay evidencia de que LaMDA sea sensible, pues un equipo de especialistas en ética y tecnólogos han estudiado lo señalado por Blake y sus conclusiones son que no hay evidencia que respalde su posición, sino todo lo contrario.

El portavoz de Google Brian Gabriel comentó con TWP que no tiene sentido considerar la posibilidad de una IA sensible antropomorfizando los modelos de conversación actuales que no tienen esa capacidad, pues solamente imitan intercambios que se encuentran en millones de oraciones.

Gabriel añadió que incluso se han realizado conversaciones con LaMDA por parte de investigadores e ingenieros y nadie más hasta ahora ha hecho las mismas afirmaciones o ha antropomorfizado al sistema en la misma forma que Blake.

Por otro lado Emily M. Bender, una profesora de la Universidad de Washington entrevistada por TWP aceptó estas declaraciones de la compañía, pues es incorrecto comparar respuestas escritas de forma convincentes como una muestra de sensibilidad.

Fuente: You are not allowed to view links. Register or Login

18

Las pandillas de ransomware ahora están apuntando a una vulnerabilidad de ejecución remota de código (RCE) recientemente parcheada y explotada activamente que afecta a las instancias de Atlassian Confluence Server y Data Center para el acceso inicial a las redes corporativas.

Si se explota con éxito, esta vulnerabilidad de inyección de OGNL (CVE-2022-26134) permite a los atacantes no autenticados tomar el control de servidores sin parches de forma remota mediante la creación de nuevas cuentas de administrador y la ejecución de código arbitrario.

Poco después de que se informara sobre la explotación activa y Atlassian corrigiera el error , también se filtraron en línea exploits de prueba de concepto , lo que redujo aún más el nivel de habilidad necesario para la explotación.

La gravedad de esta falla de seguridad y los exploits ya disponibles no pasaron desapercibidos, con múltiples botnets y actores de amenazas explotándolos activamente en la naturaleza para implementar malware de criptominería.

Ransomware comienza a circular en servidores Confluence sin parches

Como descubrieron los investigadores de la firma suiza de inteligencia de amenazas cibernéticas Prodaft, los afiliados del ransomware AvosLocker ya se han subido al carro.

Ahora están apuntando y pirateando servidores Confluence expuestos a Internet que aún no han sido parcheados "para infectar sistemáticamente a múltiples víctimas a gran escala".

Esta orientación se ilustra con una captura de pantalla del servidor de comando y control de AvosLocker donde los actores de la amenaza han creado una campaña de "confluencia", como se muestra a continuación.


Campaña AvosLocker Confluence (Prodaft)

"Al realizar escaneos masivos en varias redes, los actores de amenazas de AvosLocker buscan máquinas vulnerables utilizadas para ejecutar los sistemas Atlassian Confluence", dijo Prodaft a BleepingComputer.

"AvosLocker ya logró infectar múltiples organizaciones de diferentes partes del mundo, incluidos, entre otros, los Estados Unidos, Europa y Australia".

Numerosas víctimas también le han dicho a BleepingComputer que el ransomware Cerber2021 (también conocido como CerberImposter) está  apuntando y encriptando activamente  instancias de Confluence sin parchear contra CVE-2022-26134.

El creador de ID-Ransomware, Michael Gillespie, le dijo a BleepingComputer que los envíos identificados como CerberImposter incluyen archivos de configuración de Confluence cifrados, lo que demuestra que las instancias de Confluence se cifran en la naturaleza.
El lanzamiento de los exploits CVE-2022-26134 POC coincide con un aumento en la cantidad de ataques exitosos de ransomware Cerber.


Actividad del ransomware Cerber (ID-Ransomware)

Microsoft también confirmó el viernes por la noche que han visto servidores Confluence explotados para instalar Cerber2021.


Cerber se dirigió anteriormente a los servidores de Confluence en todo el mundo en diciembre de 2021 utilizando exploits CVE-2021-26084 que permiten a los atacantes no autenticados obtener la ejecución remota de código en sistemas vulnerables.

Ampliamente explotado en la naturaleza

Desde que la firma de seguridad cibernética Volexity reveló CVE-2022-26134 como un error de día cero explotado activamente la semana pasada, CISA también ordenó a las agencias federales que mitiguen la falla bloqueando todo el tráfico de Internet a los servidores de Confluence en sus redes.

Volexity también reveló que es probable que varios actores de amenazas vinculados a China utilicen exploits para apuntar a servidores vulnerables para implementar shells web.

Un día después de que se publicara la información sobre este error explotado activamente, Atlassian lanzó actualizaciones de seguridad e instó a sus clientes a parchear sus instalaciones para bloquear los ataques en curso.

"Recomendamos fuertemente actualizar a una versión fija de Confluence, ya que hay varias otras correcciones de seguridad incluidas en las versiones fijas de Confluence", dijo Atlassian.

Fuente: You are not allowed to view links. Register or Login

19

Flatseal 1.8 es la última versión del gestor de permisos para Flatpak, el cual permite establecer los recursos a los que pueden acceder las aplicaciones en ese formato tanto a nivel de sistema operativo como de ficheros a través de una configuración pormenorizada.

Sin hacer mucho ruido, Flatseal se ha erigido como uno de los grandes pilares de Flatpak y en todo un imprescindible en caso de tener una gran cantidad de aplicaciones en ese formato o ver que alguna no se comporta como quiere el usuario.

La versión 1.8 del gestor de permisos introduce una novedad importante: la capacidad de revisar y modificar las anulaciones globales (global overrides). Esto quiere decir que a partir de ahora Flatseal permite modificar las configuraciones que afectan al conjunto de las aplicaciones en formato Flatpak. Hasta ahora las anulaciones globales tenían que gestionarse desde la línea comandos, así que esta incorporación es muy importante para los usuarios sin profundos conocimientos de computación.


Otra novedad de Flatseal 1.8 es muy pequeñita, pero extremadamente útil, ya que el gestor de permisos indica ahora qué partes de la configuración predeterminada de una aplicación o las anulaciones globales han sido modificadas.

A veces el usuario puede encontrarse con que ha modificado un permiso y deja el asunto desatendido durante meses, por lo que no recuerda si esa es la configuración por defecto o si es fruto de alguna modificación. El pequeño aviso que ha sido introducido será de gran ayuda para esas personas que no están pendientes de los permisos que van modificando.

Otros cambios introducidos en Flatseal 1.8 son el soporte para los sistemas de colores y el cambio al entorno de ejecución (runtime) de GNOME 42. Se han corregido los problemas con los modos prohibidos en los permisos eliminados del sistema de ficheros y con la creación del directorio de anulaciones en distribuciones que no son Flatpak. La traducción al polaco ha sido corregida y se han añadido los idiomas búlgaro, danés y chino.


Y hasta aquí todo lo importante de Flatseal 1.8. Todos los detalles del lanzamiento están publicados en la lista de cambios y en la entrada publicada por Martín Abente Lahaye, creador y principal desarrollador del gestor, en los blogs de GNOME. La aplicación está disponible en Flathub y sí, oficialmente se distribuye en formato Flatpak.

Fuente: You are not allowed to view links. Register or Login

20
Noticias Informáticas / GitHub anuncia el fin de Atom
« on: June 12, 2022, 03:02:13 pm »

Hay que ir diciéndole adiós a Atom. Estaba cantado, sí, pero no por ello resulta menos hiriente la despedida, al menos, para quienes usan diariamente este «editor de texto ‘hackeable’ para el siglo XXI» cuyo concepto de base cautivó a tantos desarrolladores… y no desarrolladores.

GitHub ha anunciado el fin de la aplicación, cuyo término se dará el próximo 15 de diciembre de 2022. Hasta ese momento, GitHub seguirá advirtiendo del fin de Atom y ayudarán a facilitar una migración que se prevé molesta, pero con un destino claro; a partir de ese momento, el repositorio de Atom y los que dependen de este quedarán archivados para los restos.

¿Por qué GitHub termina ahora con Atom? Por lo que explican, Atom ha cumplido con su recorrido, pero el soporte comunitario, así como el desarrollo del propio Atom, se ha reducido en los últimos años, en los que el editor ha permanecido en una suerte de limbo en el que recibía mantenimiento básico (parches de seguridad, alguna actualización puntual y poco más), pero hasta ahí.

Y lo dicen como si hubiese pasado por arte de magia. Es cierto que parte de la comunidad de Atom (en especial, desarrolladores de extensiones) se fue a otro lado, pero no es menos cierto que desde GitHub se han lavado las manos con el desarrollo… por el mismo motivo. Y ese motivo no es otro que Microsoft y su Visual Studio Code (VSCode).

Es curioso de contar, porque Microsoft comenzó a desarrollar VSCode antes de que Atom existiese como tal, pero lo cierto es que la base de ambos es Electron, el framework para crear aplicaciones de escritorio basadas en tecnologías web (Chromium y Node.js, principalmente) desarrollado por Github, gracias al cual tenemos actualmente aplicaciones multiplataforma como 1Password, Discord, Evernote, Simplenote, Skype, Slack y muchas otras, incluyendo Atom y VSCode.


De hecho, se tenía la sensación de estar usando Atom desde tiempos remotos, pero nada más lejos de la realidad: si a mediados de 2016 GitHub lanzó Electron 1.0, fue hacia finales de 2017 cuando Atom terminó de tomar forma, aunque todavía no estaba del todo cuajado. Con la evolución de Electron, Atom se consolidó y avanzó en diferentes frentes, por ejemplo a nivel de características, o de extensiones y comunidad.

Atom mejoró también a nivel de eficiencia, de rendimiento y consumo, uno de los aspectos más criticados de todo lo que huela a Electron y en lo que se ha mejorado mucho recientemente. Pero ya era demasiado tarde: Microsoft compró GitHub y el ritmo de desarrollo de Atom comenzó a mermar, hasta convertirse en el último par de años en anecdótico.

Sin ir más lejos, algunos aprovecharon uno de los especiales del último fin de año en MC para honrar, aún en vida, la memoria de Atom. Ahí explicamos por qué les gusta tanto, a pesar de que en algunas implicaciones como desarrolladores discurren estos días entre el cero y la nada. Sin embargo, muchos no lo usan solo para programar. Simplemente, no hay mejor editor de texto ahí fuera.

¿O sí lo hay? Ya imaginarán qué están recomendando desde GitHub para reemplazar a Atom: Visual Studio Code y GitHub Codespaces, que no es más que un Visual Studio Code en la nube a modo de software como servicio. Pues bien. Es comprensible, pero a algunos no termina de convencer. Y eso que reconocemos que Microsoft se ha volcado de tal manera con el desarrollo de VSCode que es difícil competir, pero de ahí a abandonar un proyecto como lo han hecho…

La buena noticia es que por el tipo de editor que es y sus características, VSCode es un reemplazo solvente, no digamos ya por el rendimiento o el soporte de extensiones, en el que lo supera. También que, al igual que Atom, es de código abierto, aunque a diferencia de este tiene un par de reempaquetados libres de toda influencia de Micro, véase VSCodium como ejemplo destacado.

La mala noticia es que VSCode no es Atom y nunca lo será, y nos referimos a esa cualidad de aplicación ‘hackeable’ y la increíble capacidad de personalización que comprende, y que solo quienes han utilizado Atom más allá de rascar la superficie apreciarán. En VSCode resulta más complicado, cuando no imposible, quitar de en medio todo lo que estorba para adaptar el editor a tu gusto. En fin. Es lo que hay.


Para finalizar nos  vamos con la pregunta: ¿habrá alguien que recoja lo que quede en GitHub y continúe con el desarrollo de Atom? ...Aunque quizás para quienes solo quieren un editor de texto potente y con un gran soporte de Markdown, Obsidian sea una mejor opción. ¿O ha llegado el momento de liarse la manta a la cabeza y zambullirse en Emcas. Los amantes de la eficiente no tendrán ninguna duda, pero es que la eficiencia también cuenta en el pre, y no solo en el pos. Que luego seguramente compense el tiempo invertido, pero… lo único cierto es que la edad de Atom ha terminado.

Fuente: You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 107