El fabricante taiwanés ASRock, conocido sobre todo por sus placas base, ha anunciado una asociación con Canonical para comercializar dispositivos certificados para Ubuntu orientados a la Inteligencia Artificial de las Cosas en la Frontera (que a partir de ahora abreviaremos como Edge AIoT). La intención del fabricante es comercializar productos que se beneficien de la funcionalidad y el soporte prolongado en el tiempo ofrecidos por Ubuntu, empezando por el iEP-5000G Industrial IoT Controller.

ASRock señala el rápido crecimiento del AIoT Edge y su adopción por parte de la comunidad en torno al Open Source. Aquí se suma la fuerte presencia de Ubuntu en el segmento como uno de los sistemas operativos más conocidos del mundo y uno de los más empleados en el desarrollo de AIoT Edge. No hay que olvidar que Canonical pica piedra desde hace muchos años en los sectores del IoT y la computación en la frontera (edge computing), los cuales empiezan ahora a cruzarse con la inteligencia artificial.

Sobre el iEP-5000G Industrial IoT Controller, plataforma certificada para Ubuntu, ASRock explica que "cuenta con un alto poder de cómputo con E/S flexibles y expansiones bajo un diseño compacto y resistente como Edge Controller e IoT Gateway en varias aplicaciones Edge AI, incluida la fabricación inteligente, la automatización de procesos y los postes inteligentes en ciudades inteligentes. El hardware probado y validado por Ubuntu permite soporte a largo plazo con hasta 10 años de actualizaciones de seguridad de Canonical, brindando la mejor y más confiable experiencia al cliente".


Otro punto resaltado por ASRock es que la elección de Ubuntu para un proyecto de inteligencia artificial o aprendizaje automático "puede ofrecer varios beneficios, como ser de código abierto, capacitación rápida en modelos de IA, soporte significativo de la comunidad, recibir las últimas actualizaciones con seguridad sólida y más".

En resumidas cuentas, nada que sea nuevo por parte de Canonical y su estrategia en torno al IoT, que tiene como principal puntal a un Ubuntu Core que no suele recibir tanta atención mediática como las ediciones mutables para escritorio y servidores. La compañía detrás de la distribución más popular no quiere perder ritmo bajo ninguna circunstancia, así que se ha sumado con decisión al AIoT, un segmento relativamente reciente que viene de la fusión del Internet de las Cosas y la Inteligencia Artificial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado la actualización acumulativa opcional KB5019275 Preview para Windows 10 20H2, Windows 10 21H1 y Windows 10 21H2, con catorce correcciones y mejoras.

Esta versión es principalmente una versión de mantenimiento, corrige numerosos errores en ReFS, FIDO2 y varios problemas que hacen que las aplicaciones o el escritorio de Windows dejen de responder.

La vista previa de la actualización acumulativa KB5019275 es parte de la actualización "C" mensual de enero de 2023 de Microsoft, lo que permite a los administradores probar las próximas correcciones lanzadas en el martes de parches de febrero de 2023.

A diferencia de las actualizaciones acumulativas de Patch Tuesday, las actualizaciones de vista previa "C" son opcionales y no incluyen actualizaciones de seguridad.

Los usuarios de Windows pueden instalar esta actualización yendo a  Configuración , haciendo clic en  Actualización de Windows  y realizando manualmente una  'Buscar actualizaciones '.

Como se trata de una actualización opcional, se le preguntará si desea instalarla haciendo clic en el enlace 'Descargar e instalar', como se muestra en la imagen a continuación.


Después de instalar esta actualización, Windows 10 20H2 se actualizará a la compilación 9042.2546, Windows 10 21H2 se actualizará a la compilación 19044.2546 y Windows 10 22H2 se actualizará a la compilación 19045.2546.

Los usuarios de Windows 10 también pueden descargar e instalar manualmente la actualización de vista previa KB5019275 desde el  Catálogo de actualizaciones de Microsoft .

Microsoft también advierte hoy que después de marzo de 2023, no se lanzarán más actualizaciones de vista previa opcionales para Windows 10, versión 20H2 y Windows 10, versión 21H2.

"Después de marzo de 2023, no habrá más versiones preliminares opcionales que no sean de seguridad para las ediciones compatibles de Windows 10, versión 20H2 y Windows 10, versión 21H2", explica Microsoft en el boletín de soporte KB5019275.

"Solo las actualizaciones de seguridad mensuales acumulativas (conocidas como la versión "B" o Update Tuesday) continuarán para estas versiones. Windows 10, versión 22H2 continuará recibiendo versiones de seguridad y opcionales".

Novedades en Windows 10 KB5019275

Con esta actualización, Microsoft ha introducido una nueva función en la que la pantalla de configuración del 'Sistema' ahora mostrará alertas de almacenamiento de Microsoft OneDrive.

Microsoft dice que estas nuevas alertas solo se mostrarán cuando se quede sin almacenamiento, lo que permitirá a los usuarios de Windows comprar más.

El KB5019275 también soluciona trece problemas relacionados con varios servicios de Windows, principalmente para solucionar bloqueos, funciones que no responden o errores generales.

De particular interés, Microsoft ha agregado soporte para longitudes de URL de hasta 8196 caracteres, que es mucho más de lo que cualquiera verá al navegar por la web.

Algunas de las otras correcciones de errores notables en esta versión son:

- Esta actualización soluciona un problema que afecta a searchindexer.exe. Al azar le impide iniciar o cerrar sesión.
- Esta actualización soluciona un problema que afecta a conhost.exe y hace que deje de responder.
- Esta actualización soluciona un problema que ocurre cuando abre la Vista de tareas. Hace que el escritorio deje de responder.
- Esta actualización soluciona un problema que daña la memoria. El problema ocurre cuando usa un hardware de controlador de audio HD en particular.

Microsoft advierte sobre un problema de larga data en esta actualización: las instalaciones de Windows creadas a partir de medios sin conexión o ISO pueden eliminar Microsoft Edge Legacy y reemplazarlo con el nuevo Microsoft Edge moderno.

"Los dispositivos con instalaciones de Windows creadas a partir de medios sin conexión personalizados o una imagen ISO personalizada pueden tener Microsoft Edge Legacy eliminado por esta actualización, pero no reemplazado automáticamente por el nuevo Microsoft Edge", explica el boletín KB5019275.

"Este problema solo se encuentra cuando se crean medios sin conexión personalizados o imágenes ISO al incorporar esta actualización en la imagen sin haber instalado primero la actualización de la pila de servicio independiente (SSU) lanzada el 29 de marzo de 2021 o posterior".

Puede encontrar una lista completa de correcciones en el  boletín de soporte KB5019275 .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva falla crítica de ejecución remota de código (RCE) descubierta que afecta a múltiples servicios relacionados con Microsoft Azure podría ser explotada por un actor malintencionado para tomar el control completo de una aplicación específica.

"La vulnerabilidad se logra a través de CSRF (falsificación de solicitud entre sitios) en el ubicuo servicio SCM Kudu", dijo el investigador de Ermetic Liv Matan en un informe compartido con The Hacker News. "Al abusar de la vulnerabilidad, los atacantes pueden implementar archivos ZIP maliciosos que contienen una carga útil en la aplicación de Azure de la víctima".

La firma israelí de seguridad de infraestructura en la nube, que denominó la deficiencia EmojiDeploy , dijo que podría permitir aún más el robo de datos confidenciales y el movimiento lateral a otros servicios de Azure.

Desde entonces, Microsoft solucionó la vulnerabilidad a partir del 6 de diciembre de 2022, luego de la divulgación responsable el 26 de octubre de 2022, además de otorgar una recompensa por errores de $ 30,000.

El fabricante de Windows describe a Kudu como el "motor detrás de una serie de características en Azure App Service relacionadas con la implementación basada en el control de código fuente y otros métodos de implementación como Dropbox y la sincronización de OneDrive".


En una cadena de ataque hipotética ideada por Ermetic, un adversario podría explotar la vulnerabilidad CSRF en el panel Kudu SCM para vencer las medidas de seguridad implementadas para frustrar los ataques de origen cruzado mediante la emisión de una solicitud especialmente diseñada al punto final "/api/zipdeploy" para entregar un archivo malicioso (por ejemplo, web shell) y obtener acceso remoto.

La falsificación de solicitudes entre sitios, también conocida como navegación marítima o conducción de sesiones, es un vector de ataque mediante el cual un actor de amenazas engaña a un usuario autenticado de una aplicación web para que ejecute comandos no autorizados en su nombre.

El archivo ZIP, por su parte, está codificado en el cuerpo de la solicitud HTTP, lo que hace que la aplicación de la víctima navegue a un dominio de control de actores que aloja el malware a través de la omisión de la política del mismo origen del servidor .

"El impacto de la vulnerabilidad en la organización en su conjunto depende de los permisos de la identidad administrada de las aplicaciones", dijo la compañía. "La aplicación efectiva del principio de privilegio mínimo puede limitar significativamente el radio de explosión".

Los hallazgos llegan días después de que Orca Security revelara cuatro instancias de ataques de falsificación de solicitudes del lado del servidor (SSRF) que afectaron a Azure API Management, Azure Functions, Azure Machine Learning y Azure Digital Twins.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de espionaje cibernético patrocinado por el estado ruso conocido como Gamaredon ha continuado su embestida digital contra Ucrania, con ataques recientes aprovechando la popular aplicación de mensajería Telegram para atacar a los sectores militares y policiales en el país.

"La infraestructura de red del grupo Gamaredon se basa en cuentas de Telegram de múltiples etapas para la creación de perfiles de víctimas y la confirmación de la ubicación geográfica, y finalmente lleva a la víctima al servidor de la siguiente etapa para la carga útil final", dijo el equipo de investigación e inteligencia de BlackBerry en un informe compartido . con las noticias del hacker. "Este tipo de técnica para infectar sistemas objetivo es nueva".

Gamaredon , también conocido por nombres como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, es conocido por sus ataques contra entidades ucranianas desde al menos 2013.

El mes pasado, la Unidad 42 de Palo Alto Networks reveló los intentos fallidos del actor de amenazas de ingresar a una compañía de refinación de petróleo no identificada dentro de un estado miembro de la OTAN en medio de la guerra ruso-ucraniana.

Las cadenas de ataque montadas por el actor de amenazas han empleado documentos legítimos de Microsoft Office que se originaron en organizaciones gubernamentales ucranianas como señuelos en correos electrónicos de phishing para entregar malware capaz de recopilar información confidencial.

Estos documentos, cuando se abren, cargan una plantilla maliciosa desde una fuente remota (una técnica llamada inyección de plantilla remota), eludiendo de manera efectiva la necesidad de habilitar macros para violar los sistemas de destino y propagar la infección.

Los últimos hallazgos de BlackBerry demuestran una evolución en las tácticas del grupo, en las que se utiliza un canal de Telegram codificado para obtener la dirección IP del servidor que aloja el malware. Las direcciones IP se rotan periódicamente para pasar desapercibidas.

Con ese fin, la plantilla remota está diseñada para obtener una secuencia de comandos de VBA, que suelta un archivo VBScript que luego se conecta a la dirección IP especificada en el canal de Telegram para obtener la siguiente etapa: una secuencia de comandos de PowerShell que, a su vez, llega a una dirección IP diferente para obtener un archivo PHP.

Este archivo PHP tiene la tarea de ponerse en contacto con otro canal de Telegram para recuperar una tercera dirección IP que contiene la carga útil final, que es un malware de robo de información que Cisco Talos reveló previamente en septiembre de 2022.

También vale la pena señalar que la secuencia de comandos de VBA, muy ofuscada, solo se entrega si la dirección IP del objetivo se encuentra en Ucrania.

"El grupo de amenazas cambia las direcciones IP dinámicamente, lo que hace que sea aún más difícil automatizar el análisis a través de técnicas de sandbox una vez que la muestra ha caducado", señaló BlackBerry.

"El hecho de que las direcciones IP sospechosas cambien solo durante el horario laboral de Europa del Este sugiere fuertemente que el actor de amenazas trabaja desde una ubicación y con toda probabilidad pertenece a una unidad cibernética ofensiva que despliega operaciones maliciosas contra Ucrania".

El desarrollo se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyó un ataque de malware destructivo dirigido a la Agencia Nacional de Noticias de Ucrania al grupo de piratería Sandworm vinculado a Rusia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Uno de los puntos fuertes de la inteligencia artificial es que, si se termina de dominar esta tecnología, los usos son prácticamente infinitos. Ya hay decenas de campos que se aprovechan de la sabiduría de las máquinas para tratar de aumentar la productividad y la eficiencia, además de miles de investigaciones en curso para hacer que esta tecnología sea más efectiva. Una de las áreas en las que se le busca un uso, como no podía ser de otra forma, es la militar. Sin embargo, al menos en uno de los últimos experimentos llevados a cabo por el Departamento de Defensa de Estados Unidos, ha quedado demostrado que la IA no es mucho mejor que los enemigos en los juegos de Metal Gear.


La idea del departamento de defensa era crear una inteligencia artificial capaz de detectar a los enemigos y, tras seis días entrenando al dispositivo, se decidieron a llevar a cabo un experimento en forma de juego en el séptimo. Un total de ocho soldados debían derrotar a la máquina tratando de tocarla sin que fuera capaz de detectar su presencia. Todos fueron capaces de superar la prueba empleando métodos curiosos.

Citar"No derrotaron a la IA con el camuflaje tradicional, si no con trucos que se quedaron fuera del plan de entrenamiento de la máquina. Dos de ellos hicieron volteretas durante 300 metros sin ser detectados. Otros dos se escondieron debajo de una caja de cartón y podías escucharles reirse durante todo el camino. Uno, mi favorito, despiezó un abeto y se disfrazó como si fuera un árbol, poniéndose a caminar por ahí con una sonrisa..."

Evidentemente la parte relacionada con la saga Metal Gear es la mítica caja que todos hemos utilizado al menos una vez para escondernos y unas cuantas más para trolear a los enemigos. En este sentido, sorprende saber que un dispositivo de inteligencia artificial diseñado en la actualidad no es muy diferente a los primeros juegos de la saga. Quizá, en este contexto, hasta sea peor: al menos los enemigos sospechaban de nosotros cuando utilizamos una caja que no tocaba o nos escondíamos de formas demasiado evidentes.


Pese a todo, también es un ejemplo muy claro que permite a los más vulgos en inteligencia artificial descubrir cómo funciona. "La inteligencia artificial había sido entrenada para detectar humanos andado, no para alarmarse cuando hacen volteretas, aparecen cajas moviéndose o alguien se ha disfrazado de arbusto. Estos simples trucos, que un humano habría reconocido enseguida, fueron suficientes para romper el algoritmo". A fin de cuentas las herramientas de inteligencia artificial no piensan por sí mismas. Aunque pueden 'aprender', hacen únicamente lo que están programadas para hacer.


Todo sea dicho, esto no quiere decir que las herramientas de inteligencia artificial sean malas. Hace apenas unos días que pudimos ver como, tras seis horas trasteando con diferentes programas, un usuario fue capaz de crear un impresionante corto animado de Batman.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dio a conocer hace poco que OpenAI ha anunciado que actualmente está trabajando en una versión profesional del chatbot de IA ChatGPT.

Greg Brockman, cofundador y presidente de OpenAI, anunció en Twitter que la versión profesional del chatbot de IA «ofrecerá límites altos y un rendimiento mucho más rápido». No obstante, Brockman especifica que el uso de la API no estará vinculado a la versión profesional.

La popularidad de ChatGPT ha estado creciendo desde su lanzamiento a fines de noviembre, y la gente acudió en masa para aprovechar la capacidad del sistema.

ChatGPT tuvo que lidiar con cientos de miles de solicitudes de usuarios que creaban informes, pruebas y, a veces, incluso código. OpenAI dice que se ha visto obligado a implementar límites de uso, introducir un sistema de colas durante los períodos pico y otros métodos para minimizar la demanda.

Esto incluye un mensaje en pantalla que dice: "Estamos experimentando una demanda excepcionalmente alta. Tenga paciencia mientras trabajamos para escalar nuestros sistemas". Según la empresa, el entusiasmo por Chatbot ha crecido constantemente desde su lanzamiento a fines de noviembre.

Ha sido gratuito de implementar hasta ahora, y OpenAI lo ha llamado una «vista previa de investigación», pero la compañía actualmente está explorando formas de hacer que la plataforma sea rentable.

El poder de ChatGPT le da a OpenAI una «palanca significativa» sobre el precio que la empresa puede cobrar por acceder. En un anuncio en el servidor Discord oficial de la compañía, OpenAI dijo que está


Al menos, eso es según una lista de espera que OpenAI publicó en el servidor Discord, que hace una serie de preguntas sobre las preferencias de pago. La lista también describe las ventajas de ChatGPT Professional, que incluyen ventanas «apagadas» (es decir, tiempo de inactividad), sin limitación y mensajería ilimitada con ChatGPT (al menos menos de 2 veces el límite diario normal).

OpenAI señala que los encuestados de la lista de espera pueden seleccionarse para probar ChatGPT Professional, pero el programa se encuentra en una fase experimental y «todavía» no estará ampliamente disponible.

Todos estos movimientos apuntan a un futuro en el que ChatGPT será simplemente una función de otras aplicaciones, en lugar de un servicio independiente. La lista de espera de OpenAI incluye un formulario que hace preguntas sobre el uso de ChatGPT, la función más valiosa para la que se usará y preguntas sobre los precios.

Se trata de evaluar el punto más alto y el punto más bajo en el que un usuario consideraría que el producto es demasiado caro o tan bajo que la calidad se vería afectada. Otro se relaciona con el punto en el que el precio es "caro, por lo que no está descartado alcanzarlo, pero te pide que lo pienses antes de comprarlo". La última pregunta del formulario es calificar del uno al cinco qué tan molesto se sentiría el usuario si ya no pudiera usar ChatGPT.

El paso a un nivel de pago era inevitable dados los costos de funcionamiento del servicio. El CEO de OpenAI, Sam Altman, tuiteó recientemente que «los costos de computación son exorbitantes» y que «la empresa debería monetizar en algún momento».

Pero la pregunta que tienen la mayoría de los usuarios ocasionales es cómo podría evolucionar exactamente la versión gratuita. En conjunto, los elementos citados anteriormente dan una buena idea del tipo de restricciones que pronto se aplicarán a la versión gratuita de ChatGPT.

ChatGPT Professional llega en un momento en que OpenAI está bajo presión para obtener ganancias con productos como ChatGPT. La compañía espera ganar 200 millones de dólares en 2023, una miseria en comparación con los más de 1.000 millones de dólares que se han invertido en la startup desde sus inicios hasta ahora.

Finalmente, cabe mencionar que las personas interesadas pueden registrarse en una lista de espera y esperar la fecha de selección. Al hacerlo, OpenAI también solicita opiniones sobre posibles precios y solicita precios altos y bajos por mes en los que se puede considerar una compra.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los informes, más de 290 placas base MSI se ven afectadas por una configuración de arranque seguro UEFI predeterminada insegura que permite que cualquier imagen del sistema operativo se ejecute independientemente de si tiene una firma incorrecta o falta.

Este descubrimiento proviene de un investigador de seguridad polaco llamado Dawid Potocki, quien afirma que no recibió una respuesta a pesar de sus esfuerzos por contactar a MSI e informarles sobre el problema.

El problema, según Potocki, afecta a muchas placas base MSI basadas en Intel y AMD que utilizan una versión de firmware reciente, lo que afecta incluso a los modelos de placa base MSI nuevos.

Arranque seguro UEFI

El arranque seguro es una función de seguridad integrada en el firmware de las placas base UEFI que garantiza que solo se pueda ejecutar software confiable (firmado) durante el proceso de arranque.

"Cuando se inicia la PC, el firmware verifica la firma de cada pieza de software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROM de opción), las aplicaciones EFI y el sistema operativo", explica Microsoft en un  artículo  sobre Arranque seguro.

"Si las firmas son válidas, la PC arranca y el firmware da control al sistema operativo".

Para validar la seguridad de los cargadores de arranque, los kernels del sistema operativo y otros componentes esenciales del sistema, Secure Boot verifica la PKI (infraestructura de clave pública) que autentica el software y determina su validez en cada arranque.

Si el software no está firmado o su firma ha cambiado, posiblemente porque se modificó, Secure Boot detendrá el proceso de inicio para proteger los datos almacenados en la computadora.

Este sistema de seguridad está diseñado para evitar que se inicien bootkits/rootkits UEFI ( 1 ,  2 ,  3 ) en la computadora y para advertir a los usuarios que su sistema operativo ha sido manipulado después de que el proveedor envió el sistema.

La configuración predeterminada de MSI provoca arranques inseguros

Potocki afirma que la versión de actualización de firmware de MSI '7C02v3C', lanzada el 18 de enero de 2022, cambió una configuración de arranque seguro predeterminada en las placas base MSI para que el sistema arranque incluso si detecta violaciones de seguridad.

"Decidí configurar Secure Boot en mi nuevo escritorio con la ayuda de sbctl. Desafortunadamente, descubrí que mi firmware aceptaba todas las imágenes del sistema operativo que le di, sin importar si era de confianza o no", explica el investigador en su  artículo. .

"Como descubrí más tarde el 2022-12-16, no era solo un firmware roto; MSI había cambiado sus valores predeterminados de arranque seguro para permitir el arranque en caso de violaciones de seguridad (!!)".

Este cambio de MSI fue establecer por error la configuración de "Política de ejecución de imágenes" en el firmware en "Ejecutar siempre" de forma predeterminada, lo que permite que cualquier imagen arranque el dispositivo de manera normal.


Como puede ver en la imagen de arriba, aunque el Arranque seguro está habilitado, su configuración de 'Política de ejecución de imágenes' está establecida en 'Ejecutar siempre', lo que permite que el sistema arranque incluso si hay violaciones de seguridad.

Esto rompe efectivamente la función de arranque seguro, ya que las imágenes que no son de confianza aún se pueden usar para arrancar el dispositivo.

Potocki explica que los usuarios deben establecer la Política de ejecución en "Denegar ejecución" para "Medios extraíbles" y "Medios fijos", lo que solo debería permitir que se inicie el software firmado.


El investigador dice que MSI nunca documentó el cambio, por lo que tuvo que rastrear la introducción del valor predeterminado inseguro utilizando IFR (Representación de formulario interno UEFI) para extraer información de las opciones de configuración.

Potocki luego usó esta información para determinar qué placas base MSI se vieron afectadas por el problema. Una lista completa de las más de 290 placas base afectadas por esta configuración insegura está  disponible en GitHub .

Si está utilizando una placa base MSI en esa lista, vaya a la configuración del BIOS y verifique que la "Política de ejecución de imágenes" esté configurada en una opción segura.

Si no ha actualizado el firmware de su placa base desde enero de 2022, la introducción de un valor predeterminado incorrecto no debería ser una razón para posponerlo más, ya que las actualizaciones de software contienen correcciones de seguridad importantes.

BleepingComputer se ha puesto en contacto con MSI para solicitar un comentario sobre lo anterior y si planean cambiar la configuración predeterminada a través de una nueva actualización, pero aún estamos esperando recibir una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proveedor de billetera de criptomonedas MetaMask advierte a los usuarios sobre una nueva estafa llamada "Envenenamiento de direcciones" que se utiliza para engañar a los usuarios para que envíen fondos a un estafador en lugar de a un destinatario previsto.

Cuando los usuarios de MetaMask envían o reciben criptomonedas, aparece en la lista de transacciones de la billetera. Al hacer clic en la transacción, se muestran más detalles, incluido el token, el monto enviado o recibido y una forma abreviada de la dirección del tercero.

Por ejemplo, a continuación hay ejemplos de dos direcciones abreviadas que podrían mostrarse en las transacciones de criptomonedas de MetaMask.


Si bien ambas direcciones de billetera parecen idénticas en su forma abreviada, podrían ser completamente diferentes, lo que podría confundir fácilmente a los usuarios de MetaMask.

Los estafadores envenenan sus transacciones de MetaMask

En una nueva publicación de MetaMask, los desarrolladores advierten sobre una nueva estafa llamada 'Envenenamiento de direcciones' que se basa en envenenar el historial de transacciones de la billetera con direcciones de estafadores que son muy similares a las direcciones en las que un usuario tuvo transacciones recientemente.

El actor de amenazas monitorea la cadena de bloques en busca de nuevas transacciones para realizar la estafa.

Después de seleccionar un objetivo, utilizan un creador de direcciones de vanidad para crear una dirección muy similar, si no casi exactamente igual, a la involucrada en la transacción reciente.

Cabe señalar que la creación de una dirección que coincida con el prefijo  o el  sufijo de una dirección de destino puede llevar menos de un minuto. Sin embargo, la orientación a ambos llevará mucho más tiempo (posiblemente demasiado para que valga la pena) para generar.

Luego, el actor de amenazas envía a la dirección del remitente objetivo una pequeña cantidad de criptomonedas, o incluso una transacción de token de $ 0, desde esta nueva dirección para que la transacción aparezca en el historial de su billetera.

Como la dirección del actor de la amenaza es muy similar a la transacción anterior de un usuario, y como MetaMask acorta las direcciones en el historial de transacciones, parece que es de la misma persona.

Este método envenena efectivamente el historial de transacciones con múltiples entradas que parecen estar entre la misma dirección pero están usando direcciones diferentes: una dirección para la transacción real y legítima y la más nueva del atacante que usa una dirección de billetera de imitación.

Luego, el atacante espera que cuando un usuario necesite enviar criptomonedas a alguien a quien envió previamente, encuentre la transacción más reciente, que en este caso es del atacante, y envíe la criptomoneda a la dirección del estafador.


Para realizar una transacción, incluso por montos insignificantes, el atacante aún debe cubrir los costos adicionales conocidos como "gas", ya que la transacción se registra en la cadena de bloques.

Sin embargo, los actores de amenazas están dispuestos a invertir en la estafa con la esperanza de obtener un pago mucho mayor.

Dado que no hay forma de evitar que ocurran estas transacciones maliciosas en la cadena de bloques, MetaMask advierte a los usuarios que sean diligentes al copiar direcciones de transacciones.

Además, como al hacer clic en la dirección abreviada en las transacciones de MetaMask, se copia automáticamente en el teclado sin mostrar la dirección completa, como se muestra en la maqueta a continuación, es crucial tener mucho cuidado.


En su lugar, busque en su lista de transacciones una transacción válida conocida y tome la dirección completa de un explorador de blockchain como  EtherScan .

MetaMask también recomienda que use su función de libreta de direcciones integrada en 'Configuración → Contactos' para guardar direcciones de criptomonedas válidas y conocidas para personas o servicios a los que comúnmente envía transacciones.

Una posible forma en que MetaMask podría prevenir este tipo de ataques es crear una nueva opción que obligue a mostrar las direcciones completas de envío y origen en los historiales de transacciones.

Sin embargo, como las direcciones de Ethereum son muy largas (66 caracteres), esto generaría problemas de diseño de la interfaz de usuario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Actores de amenazas no identificados han desplegado una nueva puerta trasera que toma prestadas sus características del paquete de malware multiplataforma Hive de la Agencia Central de Inteligencia de EE. UU. (CIA) , cuyo código fuente fue publicado por WikiLeaks en noviembre de 2017.

"Esta es la primera vez que detectamos una variante del kit de ataque Hive de la CIA en la naturaleza, y lo llamamos xdr33 según su certificado Bot-side integrado CN=xdr33", dijeron Alex Turing y Hui Wang de Qihoo Netlab 360 en un comunicado técnico . artículo publicado la semana pasada.

Se dice que xdr33 se propaga mediante la explotación de una vulnerabilidad de seguridad de día N no especificada en los dispositivos F5. Se comunica con un servidor de comando y control (C2) mediante SSL con certificados de Kaspersky falsificados.

La intención de la puerta trasera, según la firma china de ciberseguridad, es recopilar información confidencial y actuar como plataforma de lanzamiento para intrusiones posteriores. Mejora a Hive al agregar nuevas instrucciones y funcionalidades C2, entre otros cambios de implementación.

La muestra ELF funciona además como una baliza extrayendo periódicamente metadatos del sistema al servidor remoto y ejecutando comandos emitidos por el C2.



Esto incluye la capacidad de descargar y cargar archivos arbitrarios, ejecutar comandos usando cmd e iniciar shell, además de actualizar y borrar rastros de sí mismo del host comprometido.

El malware también incorpora un módulo Trigger que está diseñado para espiar el tráfico de la red en busca de un paquete "trigger" específico para extraer el servidor C2 mencionado en la carga útil del paquete IP, establecer la conexión y esperar la ejecución de los comandos enviados por el C2.

"Vale la pena señalar que Trigger C2 se diferencia de Beacon C2 en los detalles de la comunicación; después de establecer un túnel SSL, [el] bot y Trigger C2 usan un intercambio de claves Diffie-Helllman para establecer una clave compartida, que se usa en AES algoritmo para crear una segunda capa de cifrado", explicaron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ayer se lanzó la versión 1.47 de Brave Browser, que agregó la extensión Snowflake en la configuración del software, lo que permite a los usuarios convertir sus dispositivos en proxies que ayudan a los usuarios de países censurados a conectarse a Tor.

Brave ya había agregado soporte para Tor Bridges en Private Windows con Tor en la versión 1.44, lanzada en septiembre de 2022, ayudando a los usuarios a eludir  las restricciones  en los países utilizando los propios recursos de la empresa.

A partir de ayer, los usuarios de Brave ahora pueden participar en el esfuerzo voluntario para promover la libertad de información en áreas donde los gobiernos opresores pueden intentar restringirla.

Puentes Tor

Tor Bridges son repetidores operados por voluntarios para ayudar a las personas a eludir la censura y los bloqueos Tor al brindarles un punto de entrada alternativo a la red Onion.

Los puentes no se enumeran públicamente para protegerlos de los regímenes locales y sus operadores, que podrían intentar bloquear el acceso a ellos, inutilizándolos.

Brave permite a los usuarios usar Bridges navegando en el "Menú de configuración → Privacidad y seguridad → Ventanas Tor". Desde allí, los usuarios pueden seleccionar un puente incorporado, solicitar uno de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o ingresar un puente que recibieron de una fuente confiable.


Para obtener más información sobre el uso de Tor Bridges en Brave, consulte  esta página web  con instrucciones detalladas.

Tor copo de nieve

Snowflake es un sistema de conectividad de tráfico de red peer-to-peer creado por Tor Project . Combina un proxy con el protocolo WebRTC para asignar automáticamente Tor Bridges efímeros a quienes los necesitan manteniendo su privacidad y anonimato.


Básicamente, hace que el sistema de elusión de bloques sea mucho más resistente y más difícil de rastrear o detener al confiar en el poder de los voluntarios.

Los usuarios valientes pueden seleccionar Snowflake en la configuración de Tor Bridge u ofrecerse como voluntarios para ayudar a otros agregando y habilitando la extensión Snowflake. Al activar la configuración, se realizarán automáticamente las instalaciones requeridas en Brave.

Consulte la guía analítica de Brave para obtener más detalles sobre cómo habilitar Snowflake en su navegador.

¿Deberías ejecutar proxies Snowflake?

No existen riesgos conocidos asociados con la ejecución de proxies Snowflake, y el sistema no amenaza con exponer datos sobre los voluntarios. Todas las direcciones IP se mantienen privadas para adaptarse a la funcionalidad del sistema.

Las computadoras voluntarias no actúan simplemente como intermediarios, conectándose a sitios web en nombre de otros, sino que transmiten mensajes encriptados entre los usuarios de Snowflake y otras computadoras en la red Tor.

Las únicas categorías de usuarios que no deberían ser voluntarios en la red de Snowflake son aquellos que viven en países donde Tor está bloqueado, aquellos que usan computadoras en el lugar de trabajo/la empresa y aquellos con conectividad a Internet limitada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SUSE ha anunciado la publicación de Punta Baretti, el actual último prototipo de Adaptable Linux Platform (ALP), el proyecto bajo el cual se está desarrollando la próxima generación de SUSE Enterprise Linux y openSUSE. Aquí, básicamente, nos encontramos con la inclusión de D-Installer como instalador, la conversión de más competentes a formato contenedor, la profundización en la adopción del cifrado completo de disco y en la consolidación de SELinux como módulo de seguridad.

En primer lugar tenemos a D-Installer, un nuevo instalador procedente del mismo equipo responsables de YaST. Según SUSE, está diseñado para ofrecer reusabilidad, integración con herramientas de terceros y la posibilidad de construir interfaces de usuario avanzadas sobre él. Es capaz de implementar ALP en volúmenes cifrados empleando cifrado completo de disco y, con una implementación personalizada de LUKS2 compatible con GRUB, abre la puerta al uso de Trusted Platform Module (TPM) para descifrar el volumen de arranque, por lo que es posible usar las claves almacenada en el chip TPM en lugar de contraseñas.

Cockpit, la interfaz gráfica de administración de servidores en formato web que pretende ser fácil de usar y que es un desarrollo patrocinado por Red Hat, ya ha sido introducido en un contenedor, por lo que SUSE ha cumplido con los planes que anunció en una publicación previa de Adaptable Linux Platform. Un detalle a tener en cuenta es que Cockpit se ha convertido en este lanzamiento "en la administración del sistema 1:1 predeterminada para ALP".

YaST está a disposición en formato contenedor desde la primer publicación de ALP para gestionar paquetes o otros módulos como cargas de trabajo de primera clase siguiendo el modelo propuesto a través del proyecto. Muchos clientes de YaST se han adaptado para ejecutarse en contenedores, entre ellos el cargador de arranque, iSCSIClient, Kdump, firewall, etc; se han adaptado varios módulos para trabajar en sistemas transaccionales, aunque algunos clientes trabajan únicamente en la variante no transaccional de ALP; se ha implementado el soporte inicial para el manejo de sistemas transaccionales cuando se necesita instalar algunos paquetes; además de haberse hecho que libyui-rest-api esté disponible en los contenedores para openQA, lo permite a la versión en formato contenedor de YaST integrarse con openQA.


Para terminar con YaST, se ofrecen dos tipos de contenedores:

- Gestión de contenedores que funciona con YaST sobre texto, interfaz gráfica de usuario y web.
- Contenedores de prueba diseñados para automatizar las pruebas de la carga de trabajo de YaST en formato contenedor que no están hechos para entornos de producción.

En lo que respecta al cifrado total de disco, en SUSE han adoptado el enfoque zero-touch, lo cual "significa que los volúmenes se pueden descifrar en el momento del arranque mediante el uso de claves de cifrado en lugar de una contraseña. El uso de volúmenes cifrados agrega una capa adicional de seguridad a todas las cargas de trabajo de ALP". A esto se suma a lo ya mencionado en torno a GRUB y puesta a disposición del cifrado total de disco sobre servidores bare-metal.

SELinux se afianza como módulo de seguridad de ALP al funcionar a partir de ahora en modo impositivo (enforced) y firewalld-container y warewulf-container son nuevas cargas de trabajo disponibles a través de los repositorios en línea. SUSE recalca que Punta Baretti hace que ALP sea más flexible.

Además de otras características que mencionamos en una entrada anterior, Adaptable Linux Platform es un sistema inmutable centrado en los contenedores que emplea transactional-update como mecanismo de actualización atómica y generador de instantáneas. Esto deriva en el uso de Btrfs como sistema de ficheros apoyado de Snapper para la gestión de las instantáneas.

Todos las novedades y cambios introducidos en Punta Baretti están disponibles en la entrada publicada en el blog oficial de SUSE, mientras que el sistema puede ser obtenido para ARM64 y x86_64 a partir de los repositorios de openSUSE.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los instaladores de VPN corruptos se están utilizando para entregar un software de vigilancia denominado EyeSpy como parte de una campaña de malware que comenzó en mayo de 2022.

Utiliza "componentes de SecondEye, una aplicación de monitoreo legítima, para espiar a los usuarios de 20Speed ​​VPN, un servicio VPN con sede en Irán, a través de instaladores troyanos", dijo Bitdefender en un análisis.

Se dice que la mayoría de las infecciones se originan en Irán, con detecciones más pequeñas en Alemania y EE. UU., agregó la firma rumana de ciberseguridad.

SecondEye, según las instantáneas capturadas a través de Internet Archive, afirma ser un software de monitoreo comercial que puede funcionar como un "sistema de control parental o como un perro guardián en línea". A partir de noviembre de 2021, se ofrece a la venta entre $ 99 y $ 200.

Viene con una amplia gama de funciones que le permiten tomar capturas de pantalla, grabar micrófonos, registrar pulsaciones de teclas, recopilar archivos y contraseñas guardadas de navegadores web y controlar de forma remota las máquinas para ejecutar comandos arbitrarios.

SecondEye pasó desapercibido previamente en agosto de 2022, cuando Blackpoint Cyber ​​reveló el uso de sus módulos e infraestructura de software espía para el almacenamiento de datos y carga útil por parte de actores de amenazas desconocidos. Actualmente se desconoce el mecanismo de acceso inicial utilizado en estos incidentes.

Bogdan Botezatu, director de investigación e informes de amenazas en Bitdefender, dijo a The Hacker News que, a pesar del uso de los mismos componentes de spyware, no hay suficiente evidencia para conectar los dos conjuntos de actividades en una sola campaña.


La última cadena de ataque comienza cuando un usuario desprevenido descarga un ejecutable malicioso del sitio web de 20Speed ​​VPN, lo que indica dos escenarios plausibles: sus servidores fueron violados para alojar el software espía o es un intento deliberado de espiar a las personas que podrían descargar aplicaciones VPN para eludir apagones de internet en el país.

Una vez instalado, se inicia el servicio VPN legítimo, al mismo tiempo que inicia sigilosamente un tren de actividades nefastas en segundo plano para establecer la persistencia y descargar las cargas útiles de la próxima etapa para recopilar datos personales del host.

"EyeSpy tiene la capacidad de comprometer completamente la privacidad en línea a través del registro de teclas y el robo de información confidencial, como documentos, imágenes, billeteras criptográficas y contraseñas", dijo el investigador de Bitdefender, Janos Gergo Szeles. "Esto puede conducir a adquisiciones de cuentas completas, robo de identidad y pérdidas financieras".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco advirtió sobre dos vulnerabilidades de seguridad que afectan los enrutadores RV016, RV042, RV042G y RV082 para pequeñas empresas al final de su vida útil (EoL) que dijo que no se repararán, incluso cuando reconoció la disponibilidad pública de la prueba de concepto (PoC). ) explotar.

Los problemas tienen sus raíces en la interfaz de administración basada en la web del enrutador, lo que permite que un adversario remoto eluda la autenticación o ejecute comandos maliciosos en el sistema operativo subyacente.

El más grave de los dos es CVE-2023-20025 (puntuación CVSS: 9,0), que es el resultado de una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes.

Un actor de amenazas podría explotarlo de forma remota enviando una solicitud HTTP especialmente diseñada a la interfaz de administración basada en la web de los enrutadores vulnerables para evitar la autenticación y obtener permisos elevados.

La falta de una validación adecuada también es la razón detrás de la segunda falla rastreada como CVE-2023-20026 (puntaje CVSS: 6.5), que permite que un atacante con credenciales de administrador válidas obtenga privilegios de nivel raíz y acceda a datos no autorizados.

"Cisco no ha lanzado y no lanzará actualizaciones de software para abordar las vulnerabilidades", dijo la compañía. "Los enrutadores RV016, RV042, RV042G y RV082 de Cisco Small Business han entrado en el proceso de fin de vida útil".

Como soluciones alternativas, se recomienda a los administradores que deshabiliten la administración remota y bloqueen el acceso a los puertos 443 y 60443. Dicho esto, Cisco advierte a los usuarios que "determinarán la aplicabilidad y la eficacia [de la mitigación] en su propio entorno y bajo sus propias condiciones de uso".

A Hou Liuyang de Qihoo 360 Netlab se le atribuye el descubrimiento y la notificación de las fallas a Cisco.

El mayor de equipos de red señaló además que, si bien conoce el código PoC en la naturaleza, dijo que no ha observado ningún uso malicioso de las vulnerabilidades en ataques del mundo real.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está probando una nueva herramienta de diagnóstico en Windows 11 que le permite crear volcados de memoria del kernel en vivo sin interrumpir el funcionamiento de Windows.

Un volcado de kernel en vivo es una instantánea de la memoria del kernel en el momento del volcado, que luego se guarda en un archivo. Los desarrolladores pueden usar este archivo para diagnosticar errores y problemas de rendimiento en el sistema operativo.

Los beneficios de este tipo de volcado de memoria son que no es necesario desconectar un sistema operativo y se puede hacer mientras se ejecuta un sistema operativo y se produce el problema.

"Con una verificación de errores tradicional, la PC se reinicia y el trabajo del usuario se interrumpe. El objetivo del volcado en vivo del kernel es recopilar datos para solucionar una situación anormal, pero permitir que el sistema operativo continúe funcionando", explica Microsoft en un  documento de soporte .

"Esto reduce el tiempo de inactividad en comparación con una verificación de errores para fallas y bloqueos 'no fatales' pero de alto impacto".

Windows 11 está recibiendo volcados de kernel en vivo

En una nueva compilación 25176 de vista previa de Windows 11,  lanzada hoy  en el canal Windows Insider Dev, Microsoft ha agregado una nueva característica que le permite crear volcados de memoria del kernel en vivo en el Administrador de tareas.

En la última compilación, puede capturar un volcado de memoria del kernel en vivo (LKD) yendo a la página Detalles en el Administrador de tareas, haciendo clic con el botón derecho en el  proceso del sistema  y seleccionando la   opción "Crear archivo de volcado de memoria del kernel en vivo" .

Esto capturará un kernel en vivo completo o volcados de memoria de pila de kernel y se puede usar para solucionar errores y problemas de rendimiento que Microsoft describe como "anormales" pero que no impiden que Windows se ejecute.


Microsoft dice que está implementando la nueva función para usuarios seleccionados, por lo que no está disponible para todos los usuarios ahora.

El Administrador de tareas de Windows 11 ha visto actualizaciones frecuentes de Microsoft, con un nuevo diseño basado en Fluent UI y WinUI, y la compañía también agregó una barra de búsqueda a la aplicación.

El Administrador de tareas también eliminó la interfaz clásica para un nuevo diseño de menú de hamburguesas, y opciones como "Procesos, Rendimiento, Historial de aplicaciones, Aplicaciones de inicio, Usuarios, Detalles y servicios" se trasladaron al nuevo menú.

No está claro cuándo aquellos en el canal minorista recibirán este Administrador de tareas actualizado, pero podría suceder más temprano que tarde, gracias a las actualizaciones de "Momentos", que traen nuevas funciones a medida que están disponibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Poco antes de terminar el año 2022 fue presentado oficialmente Vanilla OS 22.10 Kinetic, un derivado de Ubuntu inmutable, que tiene un fuerte enfoque en el aislamiento y los contenedores y destaca por presentar GNOME en su implementación base, sin añadidos. En comparación con otros exponentes de la inmutabilidad orientados al escritorio como Endless, MicroOS y Silverblue/Kinoite, lo que más sobresale de Vanilla OS es su peculiar gestor de paquetes "tradicionales": Apx.

Como ya hemos dicho, Vanilla OS es un sistema operativo inmutable. Esto quiere decir que su sistema de ficheros es de solo lectura en un buen porcentaje y no debería de ser modificable por el usuario por la vía estándar, ni siquiera empleando la cuenta de 'root'. A pesar de ello, pone a disposición una shell transaccional para poder modificar las partes nucleares del sistema.

Para lograr la inmutabilidad emplea el mecanismo de actualizaciones atómicas ABRoot, basado en un modelo A-B similar al que Google intenta impulsar en Android. Los responsables no descartan, al menos por ahora, adoptar OSTree en un futuro.


Otra característica de Vanilla OS es que intenta respetar las decisiones del usuario. Para ello, en el comienzo se da a elegir entre los formatos de paquetes universales que el usuario quiere utilizar. Ahora aparecen solo Flatpak y AppImage en la ventana de configuración inicial, pero antes también estaba la posibilidad de activar Snap. Además de eso, están los códecs, las herramientas de virtualización (libvirt) y las aplicaciones y herramientas que se quieren tener en un principio. Después de cumplimentar los pasos iniciales, es muy probable que se pida reiniciar para aplicar los cambios (cosa normal en los sistemas inmutables).

Después de exponer un poco de las características más esenciales de Vanilla OS, vamos a profundizar un poco en dos de ellas basándonos en lo expuesto a través del anuncio oficial.

Apx

Apx es el particular gestor de paquetes "tradicionales" de Vanilla OS. Se basa o al menos está inspirado en Distrobox y según los responsables "introduce un paradigma completamente nuevo en la gestión de paquetes. La idea es usar su sistema solo como una caja para almacenar sus archivos, dejándolo limpio de paquetes y limitando el riesgo de romperse debido a paquetes incompatibles, mal construidos o conflictivos". Para ello, se encarga de instalar el software dentro de uno o varios contenedores que son gestionados totalmente por Apx y con un acceso restringido a los recursos del sistema.

Apx proporciona por defecto un contenedor basado en Ubuntu 22.10, sistema del deriva, pero también permite instalar paquetes de otras distribuciones empleando el indicador --aur, que crea un contenedor de Arch Linux para la gestión de los paquetes AUR mediante Pacman y yay, y el indicador --dnf para administrar paquetes del repositorio DNF de Fedora. Apx intenta que todo acabe integrado en el host o anfitrión para que el usuario no tenga la sensación de emplear una especie de hidra cuando usa Vanilla OS a modo de simple escritorio.

Las aplicaciones gráficas que son instaladas dentro de contenedores de Apx son automáticamente añadidas al menú de Aplicaciones y en el menú de "Abrir con" de Nautilus/Files/Archivos. También son listados en la sección de subsistema del centro de control de Vanilla OS.


ABRoot


ABRoot es el sistema que permite aplicar cambios en el sistema limitando los riesgos de rotura. Soporta transacciones atómicas, lo que quiere decir que, si no se completa el proceso de cambio (instalación o actualización), este se aborta y devuelve al estado anterior al inicio de la transacción para evitar que los cambios se apliquen a medias y terminen por romper el sistema.

Profundizando un poquito en las peculiaridades de ABRoot, este realiza las transacciones entre dos sistemas de ficheros raíz: A y B. Básicamente, cuando se quiere instalar un nuevo paquete, ABRoot verificará cuál es la partición raíz actual, que estableceremos en A, para luego montar una superposición encima y realizar la transacción. En caso de que la transacción sea llevada a cabo con éxito, la superposición montada se fusiona con la futura partición raíz, que viene a ser B. En caso de fallar, la superposición se descarta y el sistema continuará funcionando con normalidad, sin ningún cambio en ninguna de las dos particiones, y obviamente el proceso puede hacerse a la inversa, aplicando los cambios desde B hasta A.

Este mecanismo ofrece bastante resiliencia frente a los errores y, como ya hemos dicho, es algo que Google pretende impulsar en Android. Sin embargo, este es posiblemente el motivo de por qué Vanilla OS exige un mínimo de 50GiB de almacenamiento en disco para ser instalado, una cantidad que en una máquina física resulta poca, pero que en virtual puede sonar un poco excesiva.


Continuando con más cosas de ABRoot, con él se pretende ofrecer un sistema de actualizaciones automáticas e inteligentes. Para ello se pone a disposición una herramienta llamada Operador de Sistema de Vanilla (VSO), que se encargará de buscar periódicamente actualizaciones para proceder a descargarlas e instalarlas en segundo plano en caso de que el sistema no se encuentre en uso intensivo. VSO comprueba si se cumplen los requisitos necesarios a nivel de CPU, RAM y carga de la batería antes de iniciar la actualización. Tras completarse el proceso, toca reiniciar, aunque el usuario debería de poder seguir usando el sistema con normalidad y sin preocuparse de los conflictos en los que derivan las actualizaciones en caliente.

A través de una sección accesible a través de GNOME Software, el usuario puede programar las actualizaciones y activar o desactivar la función inteligente, que en caso de no estar habilitada, hará que VSO proceda a actualizar en segundo plano independientemente de los recursos disponibles y el nivel de carga de la batería.

Ya sea con transactional-update y las instantáneas de Btrfs, OSTree y la generación de imágenes o ABRoot y el sistema A-B, el objetivo es ofrecer un mecanismo que evite en lo máximo posible la rotura y posterior inutilización del sistema operativo.

Otras características de Vanilla OS 22.10 Kinetic

Después de exponer de manera resumida las principales características de Vanilla OS, vamos a mencionar algunos aspectos importantes que están ahí.

Para empezar, y haciendo honor al nombre de la distribución, tenemos GNOME 43 en su estado vanilla, con Wayland por defecto y GTK4 y libadwaita al frente. Aquí no solo nos encontramos con un escritorio en su implementación base y sin extensiones, sino también con la presencia de GNOME Web (antes Epiphany) como navegador web predeterminado en lugar de Firefox, tradicional ocupante del puesto en las distribuciones Linux. Aquí entramos en el manido debate sobre el concepto que se intenta impulsar desde el entorno de escritorio.

Al igual que su distribución madre, Vanilla OS cuenta con un gestor de controladores. Habrá que ver cómo se desempeña el de NVIDIA sobre este nuevo paradigma, pero los responsables del sistema dicen que su producto está listo para gaming, así que nos suponemos que se han encargado de poner en orden ese frente.

Por último, el creador de la distribución es Mirko Brombin, fundador de la aplicación Bottles. Bottles, como ya es sabido por nuestros lectores habituales, se encarga de facilitar la descarga y el uso de compilaciones de Wine y de derivados como Proton.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenMandriva bifurca su propuesta y ya no hay una sola OpenMandriva Lx, sino dos: la que conocíamos y esta nueva OpenMandriva ROME que se lanza ahora bajo el modelo de la actualización continua, para quienes desean subirse al carro de la heredera de Mandriva sin preocuparse por actualizar de versión cada poco. O, quien dice cada poco, dice cada año... más o menos.

Resumiendo, que es gerundio, OpenMandriva Lx es el nombre de la distribución desarrollada por la asociación OpenMandriva; una distribución heredera de la vieja Mandriva en las formas, pero sobre todo en el fondo, en el uso del sistema de paquetes RPM y de sus módulo de configuración que tanto ejemplo dieron en la época. Tras el declive de Mandriva y ya con Mageia como escisión comunitaria, OpenMandriva hizo lo propio.

Parece que fue ayer, pero no: OpenMandriva lleva casi una década de andadura, si bien -al menos, en apariencia- nunca ha gozado de mucho éxito. Pero tampoco ha cejado en su empeño por seguir adelante y, con OpenMandriva Lx como caballo de batalla, ha intentado hacerse un hueco en un mercado saturado de opciones para todos los públicos. Lo ha intentado con diferentes estrategias: enfocándose en KDE primero, con guiños a los juegos...

Y ahora lo hace con OpenMandriva ROME (Rolling OpenMandriva Edition, se entiende), una nueva edición rolling-release que no nace de la nada: llevan trabajando en ella desde 2020. De hecho, el resultado es tal y como se adelantó que sería: con Cooker -los repositorios inestables- como cocina de todo lo nuevo, que una vez estabilizado pasará a nutrir ROME y de ahí, a Rock, la edición corriente del sistema.



En esencia, la propuesta de OpenMandriva es similar a la de, por ejemplo, openSUSE con Factory, Tumbleweed y Leap... aunque ya sabemos que esta «formación» tiene los días contados.

Volviendo con OpenMandriva, por un lado tenemos a OpenMandriva Rock, la edición de lanzamientos regulares que en febrero del año pasado vio la luz como OpenMandriva Lx 4.3 (el apelativo de Rock estaba anunciado, pero se ha empezado a usar ahora) y cuya próxima versión se espera para las próximas semanas si el calendario anual se mantiene; y OpenMandriva ROME, ya lista para descarga.

Con respecto a las novedades de OpenMandriva ROME incluyen el kernel Linux 6.1, KDE Plasma 5.26.4, KDE Frameworks 5.101 y KDE Gear 22.12 y... sí, también hay sabor con GNOME (43.2) para quienes lo prefieran. Siguiendo la tradición tecnológica de la distribución, todo compilado usando LLVM/Clang. Para más datos, el anuncio enlazado justo aquí arriba y las notas de lanzamiento.

En cuanto a las imágenes, están las de KDE Plasma y GNOME, ambas solo para x86_64, así como una optimizada en exclusiva para KDE Plasma y procesadores AMD denominada znver1 y otra para arquitectura ARM. Se encuentran todas disponibles en SourceForge.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha abordado un falso positivo provocado por una regla ASR defectuosa de Microsoft Defender que eliminaría los accesos directos de aplicaciones del escritorio, el menú Inicio y la barra de tareas y, en algunos casos, dejaría inutilizables los accesos directos existentes, ya que ya no iniciarían las aplicaciones vinculadas.

El problema afectó a los accesos directos de la aplicación en los dispositivos administrados después de que la regla de reducción de la superficie de ataque (ASR) de Microsoft Defender para Endpoint se activara por error.

Cuando funciona correctamente, esta regla ASR (conocida como "Bloquear llamadas a la API de Win32 desde la macro de Office" en Configuration Manager e "Importaciones de Win32 desde el código de macro de Office" en Intune) debería impedir que el malware use macros de VBA para llamar a las API de Win32.

"El malware puede abusar de esta capacidad, como llamar a las API de Win32 para ejecutar un shellcode malicioso sin escribir nada directamente en el disco", explica Microsoft .

"La mayoría de las organizaciones no confían en la capacidad de llamar a las API de Win32 en su funcionamiento diario, incluso si usan macros de otras maneras".

Si bien normalmente esto ayudaría a reducir la superficie de ataque que los actores de amenazas podrían usar para comprometer los dispositivos protegidos por Microsoft Defender Antivirus, una mala firma de Defender (1.381.2140.0) provocó la regla ASR (Regla ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) comportarse mal y activar los accesos directos de las aplicaciones de los usuarios, etiquetándolos falsamente como maliciosos.

Los administradores de Windows informan que la regla ASR está eliminando accesos directos que pertenecen tanto a aplicaciones de Microsoft como a aplicaciones de terceros.

"Recientemente incorporamos nuestro estado a Defender para Endpoint y recibimos varios informes esta mañana de que los accesos directos de sus programas (Chrome, Firefox, Outlook) desaparecieron después de reiniciar su máquina, lo que también me sucedió a mí. también", dijo un administrador .

"Estamos viendo exactamente el mismo problema. Tuve que impulsar una actualización de la política para configurar esta regla en el modo Auditoría en lugar de Bloquear, ya que está destruyendo casi todas las aplicaciones de terceros e incluso las propias, como también dijiste. Slack, Chrome, Outlook", confirmó otro .

Para solucionar el problema, Microsoft ha deshabilitado la regla ASR infractora y ha pedido a los clientes que consulten SI MO497128 en el centro de administración para obtener más actualizaciones.


En la última actualización del centro de administración, Microsoft dijo que la regla ASR revertida necesita varias horas para propagarse a todos los clientes afectados y recomendó colocarla en modo Auditoría o deshabilitarla por completo.

"Revertimos la regla ASR ofensiva, sin embargo, este cambio se está propagando por todo el entorno y podría tardar varias horas en completarse", dijo Microsoft.

"Recomendamos que tome medidas para colocar la regla ASR infractora en modo de auditoría y evitar un mayor impacto hasta que la actualización haya completado la implementación".

Puede poner la regla ASR en modo de auditoría utilizando uno de los siguientes métodos:

- Uso de Powershell: Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
- Uso de Intune
- Uso de la política de grupo
- La cuarta opción es configurar la regla en modo deshabilitado usando el siguiente comando de Powershell:


Hasta que el problema se solucione por completo y se puedan restaurar todos los accesos directos eliminados, Microsoft aconsejó a los clientes que inicien directamente las aplicaciones de Office usando la aplicación de Office o el iniciador de aplicaciones de Microsoft 365 .

Los administradores del sistema han creado secuencias de comandos de PowerShell [ 1 , 2 ] que intentan restaurar los accesos directos de Microsoft Office y otras aplicaciones en el menú Inicio. Sin embargo, estos deben probarse antes de ser utilizados en la producción.

Un portavoz de Microsoft no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con ellos el día de hoy.



Durante los últimos dos años, los administradores de Windows han tenido que lidiar con muchos otros falsos positivos de Microsoft Defender para Endpoint.

Hace casi un año, una ola de alertas de Defender for Endpoint etiquetó las actualizaciones de Office como maliciosas en advertencias que apuntaban al comportamiento de ransomware detectado en los puntos finales de Windows.

Defender ATP también bloqueó la apertura o el lanzamiento de documentos de Office y algunos ejecutables de Office en noviembre de 2021 debido a otro falso positivo  que etiquetó los archivos de las cargas útiles del malware Emotet .

Un mes después, en diciembre de 2021,  mostró por error alertas de "manipulación del sensor"  vinculadas al  escáner Microsoft 365 Defender para procesos Log4j .

Problemas similares de falsos positivos de Defender para Endpoint habían mostrado  alertas de dispositivos de red infectados con Cobalt Strike  y etiquetado  actualizaciones de Chrome como puertas traseras de PHP .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon Simple Storage Service (S3) ahora cifrará automáticamente todos los objetos nuevos agregados en los depósitos en el lado del servidor, utilizando AES-256 de forma predeterminada.

Si bien el sistema de cifrado del lado del servidor ha estado disponible en AWS durante  más de una década , el gigante tecnológico lo ha habilitado de forma predeterminada para reforzar la seguridad.

Los administradores no tendrán que realizar ninguna acción para que el nuevo sistema de encriptación afecte sus cubos, y Amazon promete que no tendrá ningún impacto negativo en el rendimiento.

"Este cambio pone en vigencia automáticamente otra mejor práctica de seguridad, sin impacto en el rendimiento y sin necesidad de ninguna acción de su parte", se lee  en el anuncio de Amazon .

"Los depósitos de S3 que no utilizan el cifrado predeterminado ahora aplicarán automáticamente SSE-S3 como la configuración predeterminada. Los depósitos existentes que actualmente utilizan el cifrado predeterminado de S3 no cambiarán".


Los administradores pueden dejar que el sistema cifre en el AES de 256 bits predeterminado o elegir uno de los métodos alternativos, a saber, SSE-C o SSE-KMS.

La primera opción (SSE-C) brinda a los propietarios del depósito el control de las claves, mientras que la segunda (SSE-KMS) permite que Amazon se encargue de la administración de claves. Sin embargo, los propietarios de depósitos pueden establecer diferentes permisos para cada clave KMS para mantener un control más granular sobre el sistema de acceso a los activos.

Para confirmar que los cambios se han aplicado a sus depósitos, los administradores pueden  configurar CloudTrail para registrar eventos  de datos sin costo adicional. Luego realice una carga de objeto de prueba y busque en los registros de eventos el "SSEApplied": "Default_SSE_S3". en el registro del archivo cargado.


Para cifrar retroactivamente objetos que ya están en depósitos S3, siga esta guía oficial .

Resolviendo un gran problema de seguridad

Las fugas de bases de datos han sido una pesadilla para la seguridad durante muchos años, con malas prácticas y errores de configuración que a menudo exponen los detalles confidenciales de millones de personas.

Dos ejemplos notables sobre los cubos de almacenamiento de Amazon S3 son la fuga de datos de 123 millones de hogares en diciembre de 2017 y la fuga de 540 millones de registros de usuarios de Facebook en abril de 2019.

Si esos datos hubieran sido cifrados, las filtraciones no habrían tenido consecuencias tan graves para las personas expuestas, pero desafortunadamente, debido a los costos generales, la complejidad operativa y los sacrificios de rendimiento, el cifrado de la base de datos suele evitarse.

El movimiento de Amazon para hacer que el cifrado del lado del servidor sea un proceso de "cero clic" es un paso fundamental hacia una mejor seguridad y está destinado a disminuir el impacto de los próximos incidentes de datos que inevitablemente sucederán.

En cuanto a la fuerza del  algoritmo de encriptación AES de 256 bits  , todavía se considera uno de los más fuertes disponibles, y  el gobierno de EE. UU. recomienda su uso . Además, a pesar de los numerosos  intentos de romperlo , el esquema no tiene debilidades conocidas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se encontraron seis paquetes maliciosos en PyPI, el índice de paquetes de Python, instalando malware para robar información y RAT (troyano de acceso remoto) mientras se usaba Cloudflare Tunnel para eludir las restricciones del firewall para el acceso remoto.

Los paquetes maliciosos intentan robar información confidencial del usuario almacenada en los navegadores, ejecutar comandos de shell y usar registradores de teclas para robar secretos escritos.

Los seis paquetes fueron descubiertos por el  equipo de investigación de Phylum , que supervisa de cerca PyPI en busca de campañas emergentes.

Los investigadores informan que estas extensiones maliciosas aparecieron por primera vez en el repositorio de paquetes el 22 de diciembre. Los actores de amenazas continuaron cargando otros paquetes hasta el último día del año.

Los seis paquetes maliciosos que Phylum detectó son los siguientes:

pirologin – 165 descargas
easytimestamp – 141 descargas
discordia – 83 descargas
discord-dev – 228 descargas
estilo.py – 193 descargas
pythonstyles – 130 descargas

Todos los paquetes ahora se han eliminado de PyPI, pero aquellos que los descargaron deberán desinstalar manualmente los restos de la infección, sobre todo los mecanismos de persistencia.

Funcionalidad de ladrón de información

El instalador (setup.py) de estos archivos contiene una cadena codificada en base64 que se descodifica en un script de PowerShell.

Esta secuencia de comandos establece el indicador '-ErrorAction  SilentlyContinue'  para que la secuencia de comandos continúe silenciosamente, incluso si tiene errores, para evitar que los desarrolladores la detecten.

El script de PowerShell descargará un archivo ZIP desde un recurso remoto, lo descomprimirá en un directorio temporal local y luego instalará una lista de dependencias y paquetes adicionales de Python que hacen posible el control remoto y la captura de pantalla.

Dos paquetes adicionales se instalan silenciosamente durante esa etapa llamados 'flask' y 'flask_cloudflared'.

Uno de los archivos en el ZIP, "server.pyw", inicia cuatro subprocesos, uno para establecer la persistencia entre los reinicios del sistema, uno para hacer ping a un sitio de cebolla con proxy, uno para iniciar un registrador de pulsaciones de teclas y otro para robar datos de la máquina comprometida.

Los datos robados incluyen billeteras de criptomonedas, cookies y contraseñas del navegador, datos de Telegram, tokens de Discord y más. Estos datos se comprimen y se transmiten a través de transfer[.]sh a los atacantes, mientras que un ping al sitio de cebolla confirma la finalización del paso de robo de información.


También un troyano de acceso remoto

El script ahora ejecuta "cftunnel.py", también incluido en el archivo ZIP, que se usa para instalar un  cliente de Cloudflare Tunnel  en la máquina de la víctima.

Cloudflare Tunnel es una oferta de servicio que permite a los clientes, incluso cuentas gratuitas, crear un túnel bidireccional desde un servidor directamente a la infraestructura de Cloudflare.

Esta conexión permite que los servidores web estén rápidamente disponibles públicamente a través de Cloudflare sin configurar firewalls, abrir puertos ni lidiar con otros problemas de enrutamiento.

Los actores de la amenaza usan este túnel para acceder de forma remota a un troyano de acceso remoto que se ejecuta en el dispositivo infectado como el script 'Flask', incluso si un firewall protege ese dispositivo.

La aplicación Flask utilizada por los atacantes, también conocida como "xrat", puede robar el nombre de usuario y la dirección IP de la víctima, ejecutar comandos de shell en la máquina violada, filtrar archivos y directorios específicos, ejecutar código Python o descargar y lanzar cargas útiles adicionales.

Esta RAT también admite una fuente de escritorio remoto "en vivo" a una velocidad de un cuadro por segundo, que se activa tan pronto como la víctima escribe algo o mueve el mouse.



Este nuevo conjunto de aplicaciones cargadas en PyPI demuestra que las amenazas en la plataforma están evolucionando, volviéndose más innovadoras y potentes.

Desafortunadamente, eliminar los paquetes y prohibir las cuentas que los cargaron en PyPI no detiene a los actores de amenazas, ya que pueden volver a la acción usando nuevos nombres.

Además, incluso si las aplicaciones se eliminan de PyPi, todavía están en dispositivos infectados, lo que requiere que los desarrolladores las eliminen manualmente.

Si estos paquetes maliciosos lo infectaron, se recomienda encarecidamente que realice un análisis antivirus y luego cambie todas las contraseñas en los sitios web que visita con frecuencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular servicio de mensajería instantánea WhatsApp ha lanzado soporte para servidores proxy en la última versión de sus aplicaciones de Android e iOS, lo que permite a los usuarios eludir la censura impuesta por el gobierno y los apagones de Internet.

"La elección de un proxy le permite conectarse a WhatsApp a través de servidores establecidos por voluntarios y organizaciones de todo el mundo dedicadas a ayudar a las personas a comunicarse libremente", dijo la empresa propiedad de Meta .

Los proxies actúan como intermediarios entre los usuarios finales y el proveedor de servicios al enrutar las solicitudes que se originan en un cliente al servidor y reenviar la respuesta al dispositivo.

Los usuarios pueden acceder a la opción navegando a Configuración > Almacenamiento y datos > Proxy > Usar proxy e ingresando una dirección de servidor proxy confiable.

WhatsApp, que utilizan más de dos mil millones de usuarios en todo el mundo, también ha puesto a disposición una implementación de referencia que se puede usar para configurar un servidor proxy para ayudar a otros a conectarse al servicio.

La compañía enfatizó que la conexión a través de un servidor proxy aún garantiza las protecciones de cifrado de extremo a extremo (E2EE), y que los servidores, WhatsApp o Meta no podrán acceder al contenido del mensaje.

"El uso de un proxy de terceros compartirá su dirección IP con el proveedor del proxy", advierte WhatsApp en una página del Centro de ayuda. "WhatsApp no ​​proporciona proxies de terceros".

El anuncio se produce meses después de que Irán restringiera el acceso a Instagram y WhatsApp a raíz de las protestas generalizadas después de que Mahsa Amini, de 22 años, muriera bajo custodia policial.

En septiembre de 2022, la herramienta de mensajería encriptada Signal, que también está bloqueada en Irán, instó a sus usuarios a configurar servidores proxy para ayudar a los iraníes a eludir las restricciones y comunicarse a través de la plataforma.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login