Por nada, me alegro que sea de utilidad para muchos.

Saludos 

Para quienes estén interesados en poder instalar Midnight Commander en su sistema, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.

De momento (de la redacción del artículo) la nueva versión no se ha actualizado dentro de los repositorios de las principales distribuciones de Linux. Por lo que para instalar la nueva versión solamente es posible mediante la compilación del código fuente.

Este lo pueden obtener desde el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Para quienes gusten esperar, pueden instalar la nueva versión en cuanto este disponible tecleando los siguientes comandos, según sea la distribución de Linux que estén utilizando.

Los que utilizan Debian, Ubuntu o alguno de los derivados de este. En una terminal van a teclear lo siguiente:

Únicamente para Ubuntu y derivados, deben habitar el repositorio universe:

1  |  sudo add-apt-repository universe

E instalan la aplicación con:

1 |  sudo apt install mc

Para el caso de los que utilizan Arch Linux o algun derivado de este:

1 |  sudo pacman -S mc

En el caso de Fedora, RHEL, CentOS o derivados:

1 |  sudo dnf install mc

Finalmente, para OpenSUSE:

1 |  sudo zypper in mc

Eso seria todo, espero sea de ayuda.

Saludos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de seis meses de desarrollo, fue anunciado el lanzamiento de la nueva versión del administrador de archivos de consola Midnight Commander 4.8.24, versión la cual se añaden algunas correcciones de errores y algunas características nuevas.

Para quienes desconocen de Midnight Commander, deben saber que es un gestor de ficheros para sistemas tipo Unix (aunque también existe para la plataforma Windows) y es un clon del Norton Commander. Midnight Commander es una aplicación que funciona en modo texto. La pantalla principal consiste en dos paneles en los cuales se muestra el sistema de ficheros.

Se usa de un modo similar a otras aplicaciones que corren en el shell o interfaz de comandos de Unix.

Las teclas de cursor permiten desplazarse a través de los ficheros, la tecla insertar se usa para seleccionar ficheros y las teclas de función realizan tareas tales como borrar, renombrar, editar, copiar ficheros, etc. Aunque también Midnight Commander incluyen soporte para el ratón para facilitar el manejo de la aplicación.

Midnight Commander posee características tales como la capacidad de explorar el contenido de los ficheros RPM, trabajar con formatos de archivos comunes como si de un simple directorio se tratasen.

Incluye un gestor de transferencias FTP o cliente del protocolo FISH y también incluye un editor llamado mcedit.

Mcedit es un ejecutable independiente, el cual también puede ser usado de forma independiente a Midnight Commander.

Esta aplicación permite visualizar el contenido de ficheros y disfrutar de características como la de resaltar la sintaxis para ficheros de código fuente de ciertos lenguajes de programación y la capacidad de trabajar tanto en modo ASCII como en modo Hexadecimal. Los usuarios pueden reemplazar mcedit por el editor que prefieran.

¿Qué hay de nuevo en Midnight Commander 4.8.24?

En esta nueva versión se agregó un cuadro de diálogo con una lista de archivos recientemente vistos o editados en el visor o editor incorporado (llamado a través de la combinación Alt-Shift-e).

En mceditor, mcviewer y mcdiffviewer (que se inician por separado) se implementa un shell de comandos totalmente funcional "subshell" el cual puede ser llamado a través de Ctrl-o.

Ademas tambien se menciona en el anuncio de la nueva versión que es posible crear conjuntos binarios repetibles implementados usando la opción --disable-configure-args en el script de configuración.

Tambien se agregaron reglas para resaltar nombres de archivos para la parte de extensiones (archivos parcialmente descargados), apk (paquetes para Android), deb y ts (secuencias MPEG-TS).

El editor incorporado ha ampliado las reglas de resaltado de sintaxis para YAML, RPM spec y Debian sources.list.

De los demás cambios que se destacan en el anuncio de esta nueva versión de Midnight Commander 4.8.24:

- Se agregó resaltado de sintaxis para archivos yabasic (Yet Another BASIC) y ".desktop".
- Se agregó el tema de color oscuro julia256.
- Sftpfs agregó soporte para autenticación interactiva usando el teclado.
- El módulo Extfs.d / uc1541 se ha actualizado a la versión 3.3 con soporte para Python 3.
- Se eliminó la implementación de la biblioteca gettext incorporada.
- Soporte mejorado para la codificación de Windows1251 en Solaris.
- Problemas de compilación resueltos en AIX 7.2 y macOS 10.9.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Han pasado dos décadas del año 2000 y el famoso efecto homónimo, también conocido como el error del milenio. Un problema informático causado por la omisión de la centuria en los años para el almacenamiento de fechas que, pese al peligro real que representaba, no resultó tan virulento ni devastador. No pasamos del 1 de enero del 2000 por al 1 de enero del 1900.

Si la presagiada apocalipsis se evitó fue gracias a la inversión en actualizaciones que se llevó a cabo en todo el mundo y en toda clase de equipamiento informático. La única solución que requerirá el bug que amenaza con ser, potencialmente y según algunos expertos, más catastrófico: el efecto 2038. Un problema que tiene fecha, pero también hora, minuto y segundo exactos.

El efecto 2038 tiene fecha, hora, minuto y segundo fijados para el posible desastre.

¿Qué es el efecto 2038?



El problema del año 2038, efecto 2038 o también Y2K38 está basado fundamentalmente en la representación del tiempo basada en el sistema POSIX y las limitaciones de los sistemas de 32 bits. Una combinación explosiva que puede saltar por los aires el 19 de enero de 2038 a las 03:14:07 UTC.

Un segundo después de ese día y esa hora, los sistemas de 32 bits no serán capaces de contar más tiempo. Ese 19 de enero les parecerá el 13 de diciembre de 1901 si no se actualizan los sistemas como sucedió antes del 2000.

La representación del tiempo del sistema POSIX cuenta el número de segundos transcurridos desde el 1 de enero de 1970 a la medianoche UTC y eso supone un problema.
Estas combinaciones son positivas o negativas, siendo 2.147.483.647 los valores positivos superiores a cero, incluyendo el propio cero, y 2.147.483.648 los valores negativos. Esta limitación, sumada al hecho de que la representación del tiempo basada en el sistema POSIX funciona contando el número de segundos transcurridos desde el 1 de enero de 1970 a la medianoche UTC, supone que un ordenador de 32 bits solo es capaz de llegar a contar hasta ese 19 de enero del 2038 a las 03:14:07 UTC.

Un segundo después del 19 de enero de 2038 a las 03:14:07 UTC, los sistemas de 32 bits pasarán al 13 de diciembre de 1901
Un segundo después de ese momento, los equipos de 32 bits teóricamente pasarán a ese 13 de diciembre de 1901, exactamente 2.147.483.648 segundos antes del 1 de enero de 1970, fecha de referencia para el conteo.

Los efectos empiezan a notarse

La razón de este fenómeno la encontramos en la capacidad máxima de bits de estos sistemas presentes en equipos de una cierta antigüedad todavía presentes en la sociedad, instituciones públicas y empresas. Funcionan, resumidamente, ejecutando sus procesos mediante 32 dígitos binarios, números uno o cero, con un total de 4.294.967.296 posibles combinaciones.



Pese a que probablemente llegaremos a la fecha, la superaremos y en el mundo apenas habrá pasado nada —no porque las preocupaciones no fuesen reales, sino porque muchos habrán hecho su trabajo actualizando adecuadamente los sistemas—, los efectos parece ser que empiezan a notarse. Ya en 2020.

Esta verdadera historia de terror para cualquier programador la cuenta John Feminella, ingeniero de software que en su cuenta de Twitter ha contado mediante un hilo el problema al que se enfrentó uno de sus clientes, responsable de varios de los cien fondos de pensiones más importantes del mundo, y él mismo. Una historia que hemos conocido a través de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y que no es la única al respecto del efecto 2038.

"La moraleja de la historia es que el efecto 2038 no "viene". Ya está aquí. Arregla tus cosas"
Y el problema, naturalmente, son las fechas y los cálculos a futuro. El cliente de Feminella, explica, ejecutaba un trabajo nocturno consistente en calcular las contribuciones requeridas para los planes de pensiones a partir de proyecciones hechas a partir de 20 años vista. Sin embargo, un día dejó de funcionar: el 19 de enero de 2018. Justo dos décadas antes del año 2038.

Nadie supo que pasaba al principio, la persona que habría escrito el código responsable de las operaciones llevaba muerta alrededor de 15 años y las primeras posibles soluciones implementadas solo hacían que agravar un problema que puso patas arriba la compañía. El asunto se resolvió, una vez encontrado el problema, haciendo un hotpatch del script. Más allá del daño hecho al no poderse hacer las contribuciones requeridas aquel día, ponerse al día tuvo un coste de unos 1,7 millones de dólares.

"La moraleja de la historia es que el efecto 2038 no "viene". Ya está aquí. Arregla tus cosas", recomienda Feminella. Y no puede tener más razón.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Días antes de que finalizara definitivamente el soporte a Windows 7 por parte de Microsoft, los usuarios que habían optado por mantener este sistema operativo en sus equipos empezaron a ver aparecer advertencias a pantalla completa animándoles a pasarse a Windows 10.

Una vez pasado el día 14, estas advertencias desaparecieron. Pero quienes optaron por no hacerles caso están viendo ahora otro cambio en la pantalla de sus equipos: el fondo de escritorio ha desaparecido, y ahora sólo se ve negro. Pero eso no debería estar pasando.

Fundido en negro...

No, no es que Microsoft haya decidido lanzar una última advertencia del negro futuro que espera a quiénes se niegan a saltar a Windows 10; de hecho, es una consecuencia indeseada de las últimas actualizaciones de Windows 7, liberadas el mismo día 14: KB4534310 (última actualización acumulativa mensual) y KB4534314 (actualización de seguridad).

Una de ellas, aún no se sabe cuál con seguridad, causó el problema de los escritorios en negro. Éste no afecta a todos los equipos, sino sólo a aquellos que contaran previamente con una imagen de escritorio estirada. Lo preocupante es que parece haber afectado incluso a empresas que tenían configurado el fondo de pantalla a través de una 'política de grupo'.

Microsoft no ha reconocido hasta ahora este problema ni dado explicaciones al respecto.

Fue terminar el soporte, y aparecer la primera vulnerabilidad

Pero no ha sido ésta la única novedad sobre vulnerabilidades y parches que ha afectado a Windows 7. Precisamente unos días después del fin del soporte oficial, se hizo pública un agujero de seguridad de Internet Explorer que afectaba a todas las versiones de Windows. Pese a su gravedad, Microsoft aclaró que Windows 8.x y 10 no contarían con sus correspondientes parches hasta febrero.

Pero no ha sido ésta la única novedad sobre vulnerabilidades y parches que ha afectado a Windows 7. Precisamente unos días después del fin del soporte oficial, se hizo pública un agujero de seguridad de Internet Explorer que afectaba a todas las versiones de Windows. Pese a su gravedad, Microsoft aclaró que Windows 8.x y 10 no contarían con sus correspondientes parches hasta febrero.


Internet Explorer tiene un bug. (Imagen de Hash Milhan vía Flickr)

¿Y Windows 7? Bueno, ya había acabado el soporte: Microsoft no se ha pasado años avisando para nada. De modo que este sistema operativo parecía condenado a arrastrar desde bien pronto vulnerabilidades graves. Pero, claro, Microsoft no es la única compañía capaz de elaborar parches para Windows 7. Como ya os explicamos, la compañía 0patch ofrece sus propios microparches no oficiales para varias versiones de Windows, unos gratuitos y otros de pago.

Teóricamente, los de Windows 7 iban a empezar a entrar sin distinción en esta última categoría, pero 0patch ha lanzado ya el microparche para IE en Windows 7 (y versiones superiores), y es gratuito.

El problema es, como explica 0patch en su web, que hay varios aspectos del sistema que se 'rompen' al instalarlo, pese a que han seguido las instrucciones de Microsoft a la hora de plantear la solución, por lo que deberemos valorar bien si nos interesa aplicarlo en nuestro caso. Algunos de esos aspectos son los siguientes:

- Windows Media Player falla al reproducir archivos MP4.

- La impresión 'Microsoft Print to PDF' deja de funcionar.

- Los scripts de configuración automática de proxy puede dejar de funcionar en algunos casos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los informes, el iPhone del fundador de Amazon, Jeff Bezos , el hombre más rico del mundo, fue pirateado en mayo de 2018 después de recibir un mensaje de WhatsApp de la cuenta personal del príncipe heredero saudita Mohammed bin Salman , reveló hoy el periódico The Guardian .

Citando fuentes anónimas familiarizadas con el análisis forense digital de la violación, el periódico afirmó que una cantidad masiva de datos se extrajo del teléfono de Bezos pocas horas después de que recibió un archivo de video malicioso del príncipe saudí.

El misterioso archivo fue enviado cuando el príncipe heredero Salman y Bezos estaban teniendo una conversación amigable con WhatsApp, y es 'altamente probable' que explotara una vulnerabilidad no revelada de día cero de WhatsApp messenger para instalar malware en el iPhone de Bezos.

"El análisis forense encontró que a las pocas horas de recibir el archivo de video MP4 de la cuenta del Príncipe Heredero, comenzó la exfiltración masiva y sin precedentes de datos del teléfono (para el teléfono de Bezos), lo que aumentó repentinamente la salida de datos en un 29,156 por ciento a 126 MB. El aumento de datos continuó sin ser detectado durante algunos meses y a tasas de hasta 106,032,045 por ciento (4.6 GB) más altas que la línea de base de salida de datos previa al video para el teléfono del Sr. Bezos de 430KB ", dice el informe.

The Guardian dijo que no sabía qué datos se extrajeron del teléfono, pero el hack ocurrió casi 9 meses antes de que un periódico sensacionalista estadounidense publicara fotos íntimas y mensajes enviados por Bezos, revelando su relación extramarital que conduce a un divorcio de su esposa de 25 años.

Aunque el periódico sensacionalista afirmó que el hermano separado de la novia secreta de Bezos informó sobre el asunto, la nueva evidencia sugiere, con una confianza moderadamente alta, que la filtración está relacionada con el hack del teléfono de Bezos.

En ese momento, Jeff Bezos señaló la relación comercial entre el periódico sensacionalista y Arabia Saudita y también insinuó cuán furiosos estaban los sauditas con él por la cobertura del Washington Post sobre el asesinato de su periodista Jamal Khashoggi, un fuerte crítico de los gobernantes del Reino. .

Dado que Bezos también es dueño del Washington Post y la CIA afirmó que Salman ordenó el asesinato de Khashoggi, la relación entre el director ejecutivo de Amazon y el gobierno saudí se agrió inmediatamente después de eso.

Cabe señalar que Jamal Khashoggi fue asesinado en octubre de 2018, casi cinco meses después del presunto pirateo del iPhone de Bezos.

}

En uno de los escenarios poco probables, también es posible que alguien más hackeó el teléfono de Salman o su cuenta de WhatsApp y organizó el ciberataque contra Bezos enviando ese archivo de video malicioso en nombre del príncipe heredero.

Sin embargo, la nueva revelación se alinea perfectamente con la línea de tiempo de eventos importantes, de la siguiente manera:

- Abril de 2018: Salman y Bezos intercambiaron números,
- Mayo de 2018: Salman hackeó el teléfono de los Bezos,
- Octubre de 2018: Jamal Khashoggi fue asesinado,
- Noviembre de 2018: el Washington Post relacionó el asesinato de Jamal Khashoggi con el régimen saudí,
- Enero de 2019: el tabloide estadounidense expuso el asunto de Bezos basado en datos filtrados.

Mientras tanto, los expertos nombrados por el Consejo de Derechos Humanos de la ONU también revisaron el informe forense y evaluaron que el hack probablemente se llevó a cabo utilizando la herramienta móvil de hacking Pegasus.

Pegasus, desarrollado por el proveedor de vigilancia israelí El NSO Grupo , es un potente software espía móvil que es ampliamente conocida por los abusos que el gobierno saudí para espiar a los disidentes saudíes , entre ellos Jamal Khashoggi.

"El hackeo del teléfono del Sr. Bezos ocurrió durante un período, mayo-junio de 2018, en el que los teléfonos de dos socios cercanos de Jamal Khashoggi, Yahya Assiri y Omar Abdulaziz, también fueron pirateados, supuestamente usando el malware Pegasus", dijo el Humano. Consejo de Derechos dijo.
"Según el análisis forense, luego de la piratería del teléfono del Sr. Bezos, el Príncipe Heredero envió mensajes de WhatsApp al Sr. Bezos, en noviembre de 2018 y febrero de 2019, en los que supuestamente reveló información privada y confidencial sobre el personal de Bezos vida que no estaba disponible de fuentes públicas ".

El grupo NSO recientemente apareció en los titulares de todo el mundo cuando los expertos de Google atraparon al vendedor de vigilancia que explotaba una vulnerabilidad de día cero de WhatsApp para instalar spyware en teléfonos inteligentes pertenecientes a varios activistas de derechos humanos y periodistas.

En noviembre pasado, dos ex empleados de Twitter también fueron acusados ​​de espiar a miles de usuarios de Twitter en nombre del gobierno de Arabia Saudita, probablemente con el propósito de desenmascarar la identidad de los disidentes.

La embajada estadounidense de Arabia Saudita, en un tuit, desestimó el informe de The Guardian calificándolo de "absurdo" y solicitó una investigación.

"Los informes recientes de los medios de comunicación que sugieren que el Reino está detrás de la piratería del teléfono del Sr. Jeff Bezos son absurdos. Hacemos un llamado a una investigación sobre estos reclamos para que podamos tener todos los hechos", dijo la embajada saudí.
Sin embargo, al momento de escribir este artículo, no está claro si el supuesto hackeo del teléfono de Bezos también filtró información corporativa sensible relacionada con Amazon.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras que el Apple Watch, las pulseras de Xiaomi o los relojes de Fitbit son algunos de los productos más populares en el mercado de consumo general, Garmin se ha enfocado en nichos concretos. Los deportistas y atletas de alto nivel son por ejemplo uno de los objetivos de la marca, pero también usuarios mucho más peculiares como pilotos de avión y militares. Precisamente a ellos va destinado el último smartwatch de la marca, pensado para usarse en situaciones extremas y con funciones de privacidad mucho mayores a las encontradas en un smartwatch normal y corriente.

Garmin ha presentado su nuevo Garmin tactix Delta. A primera vista no difiere mucho de otros relojes inteligentes de Garmin. Destaca por una pantalla circular, suficiente grosor y en general un diseño más utilitario que estético. Sin embargo hay mucho más: materiales resistentes, multitud de sensores y funciones de software centradas en preservar la privacidad del usuario.



Certificación militar MIL-STD-810 y autonomía entre 21 y 80 días

Según indica Garmin, el nuevo Garmin tactix Delta cumple con el estándar militar MIL-STD-810. Esto significa que ha superado una serie de pruebas en condiciones extremas que generalmente el usuario común no va a encontrar en su día a día. El reloj ha tenido que salir inmune de pruebas a en temperaturas altas, exposición a materiales corrosivos, presiones altas y bajas, cambios drásticos de temperatura y por supuesto resistencia al agua, entre otras pruebas. Para hacer frente a esto el Garmin tactix Delta trae una pantalla de zafiro y está construido en acero inoxidable recubierto de distintos materiales para mejorar su resistencia.

El reloj también cuenta con funciones de software pensadas para actividades que suelen salirse de lo habitual. Por ejemplo, cuenta con un modo de visión nocturna que permite leer la información de la pantalla con gafas de visión nocturna. También es capaz de calcular la altitud del usuario cuando salta en paracaídas. Múltiples modos para mostrar las coordenadas, navegación GPS/GLONASS/Galilep, sensores especiales como un barómetro o un altímetro... En definitiva, funciones para sacarle partido en deportes extremos o actividades prácticamente militares.



En cuanto a la autonomía, Garmin promete hasta 21 días en modo smartwatch y hasta 80 días en modo reloj con ahorro de batería máximo. Entre estos dos modos se puede configurar diferentes niveles desactivando más o menos funciones y sensores. En todo momentos e le mostrará al usuario cómo repercute en la autonomía usar o no algún modo del reloj.

Un modo sigilo que no recopila absolutamente nada y opción para autodestruir toda la información

Más interesante aún es el enfoque hacia la privacidad que ha puesto Garmin con este nuevo reloj inteligente. El Garmin tactix Delta dispone de una función de sigilo que desactiva cualquier tipo de recopilación de datos y comunicación. No rastrea la ubicación del usuario y tampoco se comunica de forma inalámbrica con el smartphone u otros equipos, porque prácticamente desactiva toda antena de comunicación con el exterior.



Además del modo sigilo también cuenta con una función de autodestrucción. El usuario puede configurar una combinación de botones que al ser pulsada resetea todo el reloj eliminando por completo los datos que hay almacenados en él. Al pulsar esta combinación de teclas aparece un temporizador en el reloj y tras acabarse el tiempo comienza el borrado y reinicio del reloj. "Puede encontrar esta opción útil si trabaja en una posición donde los datos guardados en su reloj podrían considerarse confidenciales" indica Garmin.

El nuevo Garmin tactix Delta ya se puede adquirir por un precio de 899,99 euros. El reloj únicamente está disponible en un color y tampoco hay diferentes tamaños como ocurre en otros relojes inteligentes. Alcanza un precio mayor al de la mayoría de relojes inteligentes del mercado, en parte justificado por las características que trae. Ahora bien, falta ver qué cantidad de usuarios requieren de un reloj con dichas características siendo un nicho tan concreto al que se ha enfocado Garmin con el nuevo Garmin tactix Delta.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Anbox Cloud, una nueva plataforma de Canonical para distribuir aplicaciones Android a escala

Anbox es una herramienta de código abierto que nos permite instalar y ejecutar aplicaciones de Android en Linux. Basada en esta tecnología, Canonical acaba de presentar Anbox Cloud, una nueva plataforma que se ha desarrollado para meter en contenedores las cargas de trabajo de Android como sistema operativo invitado para la distribución a escala de aplicaciones móviles del sistema operativo de Google directamente desde un proveedor de la nube.

Anbox Cloud está basada en el kernel de Ubuntu 18.04 y aprovecha el sistema de contenedores LXD de Canonical para ofrecer una alternativa más ligera para emular aplicaciones Android en máquinas virtuales. Además, la plataforma también incluye el MAAS (Metal as a Service) de Canonical para abastecer a la infraestructura remota y Juju para facilitar el desarrollo y gestión a costes reducidos.

Anbox Cloud está basada en tecnología de código abierto

Canonical anunció hoy Anbox Cloud, una plataforma que contiene cargas de trabajo utilizando Android como sistema operativo invitado que permite a las empresas distribuir aplicaciones desde la nube. Anbox Cloud permite a las empresas y proveedores de servicios entregar aplicaciones móviles a escala, de forma más segura e independiente de las capacidades de un dispositivo. Los casos de uso de Anbox Cloud incluyen juegos en la nube, aplicaciones de trabajo en empresas, pruebas de software y virtualización de dispositivos móviles.

Los desarrolladores que usen Anbox Cloud podrán entregar experiencias bajo demanda a clientes finales, quienes podrán ejecutar las apps vía streaming directamente desde sus dispositivos usando una red 5G. Esto incluye todo tipo de aplicaciones, desde apps más potentes pasando por los videojuegos, y no será necesario que se descarguen en el dispositivo para poder probarlas. No tener que bajar las apps también permitirá a los desarrolladores probar miles y miles de aplicaciones, puesto que el almacenamiento no será un problema.

Gracias a la seguridad que ofrece Canonical y su kernel, las empresas también podrán usar "la nube Anbox" para entregar aplicaciones directamente a los empleados de sus oficinas, todo a muy bajo coste. Por si les preocupa la privacidad, este sistema puede alojarse en nubes públicas o privadas. Tenéis más información en la nota informativa de Canonical.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

AMD Zen 3 es la futura microarquitectura con la que la compañía pretende seguir haciendo daño a Intel. Los productos Zen, Zen+ y Zen 2 han resultado todo un éxito. Ahora, con la llegada de las APUs Ryzen 4000 Series se da un paso más para conquistar un sector en el que aún Intel domina muy duramente, como es el de los equipos portátiles. Estos nuevos chips siguen estando basados en Zen 2, a pesar de su numeración que parece hacer referencia a la 4º Generación que sería la correspondiente a Zen 3.

Aunque aún no ha aparecido Zen 3, los desarrolladores de AMD implicados en el kernel Linux ya han incorporado el código fuente necesario para que funcione de forma adecuada con el sistema. Estos futuros chips vendrán para equipos domésticos, pero también para otros de HPC, como servidores y supercomputadoras basadas en los EPYC. Un sector muy importante en el que Linux también es el rey indiscutible...

Independientemente de la noticia en sí, buena para Linux, también se han desvelado algunas novedades de lo que puede ser Zen 3. Como suele ser habitual cuando se agrega código fuente por adelantando al kernel Linux, se pueden analizar para desvelar ciertos detalles que aún no han sido mostrados oficialmente. En el CES 2020, la Dr. Lisa Su, actual CEO de AMD, ya anunció que Zen 3 vendría pronto.

AMD Bulldozer fue la Family 15h, incluyendo a Steamroller, Piledriver y Excavator. La 18h se reservó para Hygon Dhyana (cores AMD Zen licenciados a China).
El nuevo parche de Linux para dar soporte a esta familia 19h (Zen 2 eran 17h, como las APUs Ryzen 4000) de procesadores AMD. Y frente a este cambio de nomeclatura de AMD, que no ha dejado la serie 4000 para sus Zen 3, sino que lo adelanta a estas APUs, se puede intuir que podría venir un cambio importante en el paradigma de sus nuevos diseños.

De hecho, el propio Mark Papermaster ha dicho que "Zen 2 fue una evolución de la microarqutiectura Zen. Zen 3 se basará en una arquitectura completamente nueva.". Se supone que traerá un incremento del rendimiento del IPC de dos cifras y usará nodo de 7nm+ mejorado de TSMC.

Otros rumores que se han levantado, pero que no dejan de ser rumores, es que podría incluir SMT4, es decir, que cada núcleo pueda ejecutar hasta 4 threads simultáneamente como ya hacen algunos POWER de IBM, etc. Eso doblaría a la capacidad de Intel HyperThreading (la marca registrada con la que Intel llama a su implementación de SMT), aunque para el escritorio no tendría demasiado sentido... sí para HPC, donde el software puede aprovechar un mayor paralelismo.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Citrix finalmente comenzó a implementar parches de seguridad para una vulnerabilidad crítica en el software ADC y Gateway que los atacantes comenzaron a explotar en la naturaleza a principios de este mes después de que la compañía anunció la existencia del problema sin lanzar ninguna solución permanente.

Desearía poder decir, "más vale tarde que nunca", pero como los piratas informáticos no pierden el tiempo ni pierden ninguna oportunidad de explotar sistemas vulnerables, incluso un corto período de tiempo resultó en el compromiso de cientos de sistemas Citrix ADC y Gateway expuestos a Internet. .

Como se explicó anteriormente en The Hacker News, la vulnerabilidad, registrada como CVE-2019-19781, es un problema de recorrido de ruta que podría permitir a atacantes remotos no autenticados ejecutar código arbitrario en varias versiones de Citrix ADC y productos Gateway, así como en las dos versiones anteriores de Citrix SD-WAN WANOP.

Calificado como crítico con el puntaje básico de CVSS v3.1 9.8, el problema fue descubierto por Mikhail Klyuchnikov, un investigador de seguridad de Positive Technologies, quien lo informó de manera responsable a Citrix a principios de diciembre.

La vulnerabilidad está siendo explotada activamente en la naturaleza desde la semana pasada por docenas de grupos de hackers y atacantes individuales, gracias al lanzamiento público de múltiples códigos de explotación de pruebas de concepto .

Según los expertos en seguridad cibernética , a partir de hoy, hay más de 15,000 servidores vulnerables Citrix ADC y Gateway accesibles al público que los atacantes pueden explotar de la noche a la mañana para apuntar a posibles redes empresariales.

Los expertos de FireEye encontraron una campaña de ataque en la que alguien comprometía los ADC Citrix vulnerables para instalar una carga útil nunca antes vista, denominada " NotRobin ", que escanea los sistemas en busca de criptomineros y malware desplegados por otros atacantes potenciales y los elimina para mantener el acceso exclusivo de puerta trasera.

". Este actor explota los dispositivos NetScaler utilizando CVE-2019-19781 para ejecutar comandos de shell en el dispositivo comprometido ", dijo FireEye.

"FireEye cree que el actor detrás de NOTROBIN ha estado comprometiendo de manera oportunista los dispositivos NetScaler, posiblemente para prepararse para una próxima campaña. Quitan otro malware conocido, potencialmente para evitar ser detectados por los administradores".

Citrix Patch Timeline: ¡Estén atentos para más actualizaciones de software!


La semana pasada, Citrix anunció una línea de tiempo , prometiendo lanzar actualizaciones de firmware parcheadas para todas las versiones compatibles del software ADC y Gateway antes de finales de enero de 2020, como se muestra en el cuadro.



Como parte de su primer lote de actualizaciones , Citrix lanzó hoy parches permanentes para ADC versiones 11.1 y 12.0 que también se aplican a "ADC y Gateway VPX alojados en ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP o en un Citrix ADC Service Delivery Appliance (SDX) ".

"Es necesario actualizar todas las instancias Citrix ADC y Citrix Gateway 11.1 (MPX o VPX) para construir 11.1.63.15 para instalar las correcciones de vulnerabilidad de seguridad. Es necesario actualizar todas las instancias Citrix ADC y Citrix Gateway 12.0 (MPX o VPX) a compilar 12.0.63.13 para instalar las correcciones de vulnerabilidad de seguridad ", dijo Citrix en su aviso.

"Instamos a los clientes a instalar estas soluciones de inmediato", dijo la compañía. "Si aún no lo ha hecho, debe aplicar la mitigación suministrada anteriormente a las versiones ADC 12.1, 13, 10.5 y SD-WAN WANOP versiones 10.2.6 y 11.0.3 hasta que las soluciones para esas versiones estén disponibles".

La compañía también advirtió que los clientes con múltiples versiones de ADC en producción deben aplicar la versión correcta del parche a cada sistema por separado.

Además de instalar parches disponibles para versiones compatibles y aplicar la mitigación recomendada para sistemas sin parches, también se recomienda a los administradores de Citrix ADC que supervisen los registros de sus dispositivos para detectar ataques.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Internet Explorer está muerto, pero no el desastre que dejó.
Microsoft emitió hoy un aviso de seguridad de emergencia advirtiendo a millones de usuarios de Windows de una nueva vulnerabilidad de día cero en el navegador Internet Explorer (IE) que los atacantes están explotando activamente en la naturaleza, y aún no hay parches disponibles para ello.

La vulnerabilidad, rastreada como CVE-2020-0674 y clasificada como moderada, es un problema de ejecución remota de código que existe en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria de Internet Explorer y se dispara a través de la biblioteca JScript.dll.

Un atacante remoto puede ejecutar código arbitrario en computadoras específicas y tomar el control total sobre ellas simplemente convenciendo a las víctimas para que abran una página web creada con fines maliciosos en el vulnerable navegador de Microsoft.


"La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que explotara con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual", dice el aviso.
"Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Luego, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con el usuario completo derechos."


Microsoft es consciente de los "ataques dirigidos limitados" en la naturaleza y está trabajando en una solución, pero hasta que se lance un parche, los usuarios afectados recibirán soluciones y mitigación para evitar que sus sistemas vulnerables sufran ataques cibernéticos.
El software de navegación web afectado incluye: Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 que se ejecutan en todas las versiones de Windows 10, Windows 8.1 y Windows 7 recientemente descontinuado.

Soluciones alternativas: defenderse de los ataques hasta que llegue un parche
Según el aviso, evitar la carga de la biblioteca JScript.dll puede bloquear manualmente la explotación de esta vulnerabilidad.

Para restringir el acceso a JScript.dll, ejecute los siguientes comandos en su sistema Windows con privilegios de administrador.

Para sistemas de 32 bits:

takeown / f% windir% \ system32 \ jscript.dll

cacls% windir% \ system32 \ jscript.dll / E / P todos: N

Para sistemas de 64 bits:

takeown / f% windir% \ syswow64 \ jscript.dll

cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N

takeown / f% windir% \ system32 \ jscript.dll

cacls% windir% \ system32 \ jscript. dll / E / P todos: N

Cuando hay una actualización de parche disponible, los usuarios deben deshacer la solución utilizando los siguientes comandos:

Para sistemas de 32 bits:

cacls% windir% \ system32 \ jscript.dll / E / R everyone

Para sistemas de 64 bits:

cacls% windir% \ system32 \ jscript.dll / E / R everyone

cacls% windir% \ syswow64 \ jscript.dll / E / R everyone

Cabe señalar que algunos sitios web o características pueden romperse después de deshabilitar la biblioteca vulnerable JScript.dll que se basa en este componente, por lo tanto, los usuarios deben instalar actualizaciones tan pronto como estén disponibles.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si tienes un iPhone, también valido para iPad, has de saber que ya puedes utilizarlo como llave de seguridad de Google y aprovechar las ventajas de la autenticación 2FA. Así que, si llevabas tiempo esperando dicha opción, ya sabes que debes hacer. Y si no es así, te vamos a mostrar cómo usarla y las ventajas que supone en temas de seguridad y el uso diario.

El iPhone como llave de acceso seguro a tus servicios online



Desde hace ya unos cuantos meses los usuarios de Android han podido usar sus terminales como llave de seguridad 2FA y mejorar las opciones de autenticación en dos pasos. En especial como sustitución del uso de SMS, una opción que si bien es más segura que usar una única clave, tampoco es infalible como ya se ha visto en alguna que otra ocasión.

Pues a partir de ahora, será tu dispositivo iOS el que podrás usar para confirmar que efectivamente eres tú quien está iniciando sesión con tu cuenta de Google en cualquier de los servicios que dan soporte para ello. Y, además, garantizando que los datos están a buen recaudo pues se almacenan en el Enclave seguro que integran los procesadores Apple Ax.

Si aún tienes dudas acerca de cómo funciona todo este tema de las llaves de seguridad, aquí en El Output ya hablamos sobre las distintas llaves de seguridad que existen (tanto vía software como hardware) y sus ventajas. Por tanto, no dudes en echarle un vistazo para aclarar todo.

Cómo usar el iPhone como llave de seguridad de Google



Usar el iPhone como llave de seguridad de Google, también válido para el uso en iPad o iPod Touch, es algo muy sencillo de hacer y configurar. Así que si estás interesado en ello, sólo debes seguir las siguientes indicaciones.

En primer ligar, debes descargar la aplicación Google Smart Lock de iOS o actualizar si la tienes instalada a la versión 1.6. Una vez hecho, inicia la app. Si ya has iniciado sesión anteriormente con tu cuenta de Google aparecerá y si no es así hazlo ahora. A partir de entonces, en la Gestión de cuentas verás todas con las que has hecho login.

El siguiente paso es asegurarte que para cada una de ellas tiene la verificación en dos pasos activada. Dale a Gestionar cuentas y te llevará a la web de Google. Dale a Seguridad y en el apartado Iniciar sesión en Google comprueba si la Verificación en dos pasos está activada o no.

Una vez tengas esto ya no tendrás que hacer nada más. A partir de ahora, y gracias a la conexión bluetooth del dispositivo, si este está dentro del rango de acción del dispositivo en el que estás iniciando sesión recibirás una notificación donde se te pregunta si efectivamente eres tú o no quien está accediendo.

Como podrás imaginar, el dispositivo donde estás haciendo login también debe tener activado el bluetooth. Lo que sí has de saber también es que, por ahora, esta opción está disponible cuando se inicia sesión en Chrome. Aunque lo lógico es que poco a poco vaya obteniendo más soporte.

Si te preocupa la seguridad de tu cuenta o cuentas de Google es algo casi imprescindible de activar y usar. Aunque sólo por la comodidad frente a tener que ingresar códigos manualmente en lugar pulsar un sólo botón ya es motivo más que suficiente para instalar la aplicación en tu dispositivo iOS.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CentOS (Community ENTerprise Operating System) es una distribución de Linux de código abierto y gratuito diseñado para computadoras de escritorio y servidores. Este sistema siempre se basa en las últimas versiones de Red Hat Enterprise Linux, pues es una bifurcación a nivel binario de la distribución Linux Red Hat Enterprise Linux "RHEL", compilado por voluntarios a partir del código fuente publicado por Red Hat, siendo la principal diferencia con este la eliminación de todas las referencias a las marcas y logos propiedad de Red Hat.

Es un sistema operativo tiene el objetivo es ofrecer al usuario un software de "clase empresarial" gratuito. Ademas de que se define como robusto, estable y fácil de instalar y utilizar.

¿Qué hay de nuevo en CentOS 8.1 (1911)?

Con el anuncio de la nueva versión de CentOS 8.1 (1911), en ella se introducen los cambios de Red Hat Enterprise Linux 8.1 y con lo cual la distribución es totalmente compatible con RHEL 8.1.

Junto con ella, paralelamente la edición continuamente actualizada de CentOS Stream continúa desarrollándose, lo que proporciona acceso a los paquetes formados para la próxima versión provisional de RHEL (versión móvil de RHEL).

Además de las nuevas características introducidas en RHEL 8.1, se pueden observar los siguientes cambios en CentOS 8.1 (1911):



De los más destacados se incluyen el parcheo en vivo del kernel, asi como tambien una nueva pila de protocolos de enrutamiento llamada FRR que admite múltiples protocolos de enrutamiento IPv4 e IPv6.

Se menciona tambien en el anuncio que se eliminaron los paquetes específicos de RHEL como redhat- *, insights-client y Subscription-Manager-Migration.

Además de que se ha cambiado el contenido de 35 paquetes, incluidos: anaconda, dhcp, firefox, grub2, httpd, kernel, PackageKit y yum.

Tambien se menciona que se ha trabajado mucho en el procesamiento de scripts para la reconstrucción automática de los textos fuente de los paquetes RHEL durante la formación de CentOS.

Debido a los cambios entre las ramas RHEL 7 y RHEL 8, muchos scripts dejaron de funcionar y requirieron adaptación al nuevo buildroot. Se espera que la creación de CentOS 8.2 basada en RHEL 8.2 sea más fluida y requiera mucho menos trabajo manual.

De los problemas conocidos que aún no se han solucionado se mencionan los siguientes:

- Al instalar en VirtualBox, se debe seleccionar el modo "Servidor con una GUI" y usar una versión de VirtualBox no anterior a 6.1, 6.0.14 o 5.2.34.
RHEL 8 dejó de ser compatible con algunos dispositivos de hardware que aún pueden ser relevantes.  La solución puede ser el uso del núcleo centosplus y las imágenes iso preparadas por el proyecto ELRepo con controladores adicionales.
- El procedimiento automático para agregar AppStream-Repo no funciona cuando se usa boot.iso y se instala a través de NFS.
- Se propone un componente dotnet2.1 incompleto en los medios de instalación, por lo que si necesita instalar el paquete dotnet, debe instalarlo por separado del repositorio.
- PackageKit no puede determinar las variables locales DNF / YUM.

Finalmente, se recomienda a los usuarios de CentOS que no han actualizado a la nueva versión, que lo haga ya que esta versión reemplaza todo el contenido publicado anteriormente para CentOS Linux 8, ademas de que las actualizaciones puestas a disposición de los usuarios contienen todas las recopiladas hasta el dia de hoy.

Descargar y obtener CentOS 8.1 (1911)

Si te ha interesado la nueva versión de la distribución y quieres probarla en tu ordenador o bajo una máquina virtual. Puedes dirigirte a la página web oficial del proyecto en la cual podrás obtener el enlace de descarga de la imagen del sistema.

Las versiones de CentOS 8.1 (1911) están preparadas en imágenes ISO de DVD de 7 GB y arranque en red de 550 MB para arquitecturas x86_64, Aarch64 (ARM64) y ppc64le.

La imagen del sistema puede ser grabada con Etcher (una herramienta multipltaforma) en una memoria USB.

Los paquetes SRPMS, en base a los cuales se ensamblaron los archivos binarios y debuginfo están disponibles en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Ahora es indispensable saber los requisitos del sistema para poder ejecutar el sistema sin problemas o atascos en el rendimiento:

- 2 GB de RAM
- Procesador de 2 GHz o superior
- 20 GB de disco duro
- Sistema x86 de 64 bits

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google es una compañía famosa por, entre otras cosas, proporcionarnos muchos servicios, pero también por ponerles fin. Uno de esos servicios que morirá en un futuro próximo es el de las Chrome Apps, lo que son básicamente webapps que se ejecutan dentro del navegador Chrome de Google. Ayer, la compañía del buscador publicó un artículo en el que nos hablaba del futuro de las aplicaciones de Google, empezando por que en marzo se dejarán de aceptar aplicaciones en la Chrome Web Store.

La hoja de ruta, que detallaremos a continuación, finalizará en junio de 2022, cuando se dé por finalizado el soporte para las Chrome Apps en Chrome OS para todos los clientes. Más pronto, tanto como en diciembre de este mismo año, las aplicaciones de Google dejarán de funcionar en Windows, macOS y Linux, pero no hay de lo que preocuparse (demasiado) porque existen alternativas que, desde mi punto de vista, mejoran la experiencia que ofrecen las apps del navegador del buscador.

En diciembre de 2020 dejarán de funcionar las Chrome Apps en ordenadores no-Chromebook

La programación sobre la muerte de las apps de Google es la siguiente:

Marzo de 2020: la Chrome Web Store dejará de aceptar nuevas Chrome Apps. Los desarrolladores deben ser capaces de actualizar las existentes hasta junio de 2022.
Junio de 2020: finalizará el soporte en Windows, macOS y Linux. Los usuarios de Chrome Enterprise y Chrome Education Upgrade tendrán acceso a su política para extender el soporte hasta diciembre de 2020.
Diciembre de 2020: finalizará el soporte en Windows, macOS y Linux por completo.
Junio de 2021: finalizará el soporte para las APIs NaCl, PNaCl y PPAPI.
Junio de 2021: también finalizará el soporte en Chrome OS. Los usuarios de Chrome Enterprise y Chrome Education Upgrade tendrán acceso a su política para extender el soporte hasta diciembre de 2022.
Junio de 2022: finalizará el soporte para las Chrome Apps en Chrome OS para todos los usuarios.

Este cambio no tiene nada que ver con las extensiones de Chrome. De hecho, es uno de los fuertes del navegador de Google y si hay alguna extensión que funcione como webapp, seguirá haciéndolo.

¿Debería preocuparme?

En un principio, no. Las Chrome Apps son básicamente webapps que se instalan desde la Chrome Web Store, pero Chrome también nos ofrece la posibilidad de crear webapps desde una opción especialmente diseñada para ello. Por ejemplo, si queremos hacernos una app de Twitter, solo tenemos que ir al apartado de los tres puntos/Más herramientas, elegir "Guardar acceso directo" y marcar la casilla "Abrir como ventana". La aplicación aparecerá en el menú de inicio de la mayoría de distribuciones Linux. Además, la mayoría de webs de servicios importantes son compatibles con las Progressive Web Apps, por lo que no debemos temer nada... en teoría.

El único problema que le veo yo, por lo menos ahora en enero de 2020, es que hay aplicaciones que no tienen que ver con servicios web, como ARC Welder. Aunque no funciona demasiado bien con muchos APKs, ARC Welder nos permite ejecutar aplicaciones de Android en Chrome y esta posibilidad se perderá del todo cuando deje de estar disponible a través de la Chrome Web Store. Hay muchos proyectos para ejecutar/probar apps de Android en ordenadores de escritorio, pero esto lo comento como "contra" de que las Google Apps vayan a dejar de funcionar.

En cualquier caso, junio de 2022. A las Chrome Apps le quedan dos años y medio de vida.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Proyecto Screenoma Humano quiere grabar la pantalla de tu móvil a cada segundo para entender mejor el mundo digital

El proyecto "Screenoma" humano (de Human Screenome Project) pretende recoger los datos exactos de lo que hacen los voluntarios con sus dispositivos. Para ello obtiene imágenes cada 5 segundos de lo que están haciendo.

La intención no es otra que "diseccionar" la forma que tenemos de usar nuestros móviles y tablets; abrir en canal la interacción con el contenido digital y obtener resultados que nos ayuden a comprender una de las grandes cuestiones contemporáneas: ¿cómo nos afecta tener el mundo digital a mano cada día de nuestra vida?

Una vida conectados

En 2019 se publicó un interesante metaanálisis que trataba de encontrar la relación que existe entre el bienestar psicológico y el uso de las redes sociales. 12 años de recogidas de datos y 226 estudios distintos no consiguieron más que acercar un poco la respuesta, del todo insatisfactoria. Pero esto no sorprende a nadie.

Actualmente, las redes sociales, los contenidos digitales y los dispositivos móviles están tan extendidos y son tan complejos que el problema es abominable. Las redes sociales se han convertido en un medio de interacción tan común como una charla en la calle; el contenido digital no es estático, sino que depende de cada persona, que es a su vez consumidora y modificadora; llevamos con nosotros, a cada momento, uno o más dispositivos móviles.

Con este panorama es fácil entender lo complicado que resulta investigar cómo nos afecta algo de tamaña proporción, intrincado en un sinfín de aspectos de nuestra vida, desde los más prácticos a los más sociales. Más difícil lo ponemos si lo que queremos es saber cómo nos afecta psicológicamente, un área de por sí complicada. Sin duda alguna, como determinaban los autores del metaanálisis, hacen falta mejores herramientas.

Y entonces llegó el Screenoma

El Proyecto Screenoma Humano procede de la universidad de Standford y ya tienen a su espalda varias publicaciones al respecto de cómo utilizamos los dispositivos. Pero ¿qué es un Screenoma? Tomando prestado del término genoma, que es el conjunto de genes que determinan a un ser vivo, el Screenoma, explican los autores, pretende reunir los datos que conforman el comportamiento digital.

Para ello han desarrollado una herramienta, un software, que registra con precisión las interacciones que tenemos con nuestro dispositivo. La idea que subyace, y que da nombre al proyecto, es que nuestra interacción digital está representada por lo que vemos en nuestras pantallas, que, al fin y al cabo, es el punto común de interacción.


La intención del equipo no es recoger datos al tuntún, sino diseñar una herramienta más precisa capaz de determinar los patrones que existen en nuestra manera de usar los dispositivos. Para ello, han desarrollado un software especial denominado Screenomics que toma imágenes cada cinco segundos de la pantalla cada vez que la activamos. Estos datos, explican, se encriptan y se envían de manera segura, en segundo plano. Una vez recibido el material, se procesa para encontrar patrones.

Este enfoque difiere de otros intentos de rastrear la forma que tenemos de usar nuestros dispositivos. Es más preciso, sigue el uso en todas las plataformas y muestrea con más frecuencia. El equipo afirma estar trabajando en un software que hace capturas cada segundo, siendo aún más preciso.

No es oro todo lo que reluce en la viña de Internet

A pesar de lo prometedor del panorama que pinta el equipo, este proyecto puede despertar algunas reservas. La primera de ellas, por supuesto, es ¿quién querría tener a alguien espiando lo que hace cada segundo? Bueno, el equipo ha puesto Screenomics al servicio de los voluntarios. La intención de los investigadores es entender cómo usamos el mundo digital y no tienen la intención de usarlo para desvelar nuestra intimidad o usar la información con fines comerciales. Aun así, la incertidumbre siempre queda.



Por otro lado, hay un aspecto básico que también genera inquietud: la novedad. Llevamos años tratando de darle un sentido a nuestra interacción con el mundo digital con escasos resultados. ¿Por qué este proyecto resulta mejor que otros? ¿Qué se puede obtener de recabar información de una forma tan concienzuda? Las preguntas son tan nuevas, y el campo tan poco explorado, que es muy difícil saber si esta herramienta será tan útil como esperan sus creadores.

No obstante, hay que admitir que la extremada precisión podría ser una razón positiva para el éxito del Screenoma, pero habría que ver cómo se emplea. En cualquier caso, sí que es bueno ver que cada vez hay más iniciativas que tratan de evaluar cómo nos afectan los dispositivos en nuestra vida diaria, desde distintos acercamientos y con nuevas aproximaciones. Al fin y al cabo, vivimos con ellos pegados todo el día.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft también ha publicado sus avisos de seguridad de enero advirtiendo a miles de millones de usuarios de 49 nuevas vulnerabilidades en sus diversos productos.

Lo que es tan especial sobre el último Patch Tuesday es que una de las actualizaciones corrige una falla grave en el componente criptográfico central de las ediciones ampliamente utilizadas de Windows 10, Server 2016 y 2019 que fue descubierta e informada a la compañía por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.

Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft, a diferencia de la  falla Eternalblue SMBque la agencia mantuvo en secreto durante al menos cinco años y luego fue filtrada al público por un grupo misterioso, lo que causó la amenaza de WannaCry en 2017.

CVE-2020-0601: Vulnerabilidad de suplantación de identidad de Windows CryptoAPI

Según un aviso publicado por Microsoft, el defecto, denominado ' NSACrypt ' y rastreado como CVE-2020-0601 , reside en el módulo Crypt32.dll que contiene varias 'Funciones de certificado y mensajería criptográfica' utilizadas por la API de Windows Crypto para manejar el cifrado y descifrado de datos.

El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC) que actualmente es el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL / TLS.

En un comunicado de prensa publicado por la NSA, la agencia explica que "la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código".

La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de confianza entre:

- Conexiones HTTPS
- Archivos firmados y correos electrónicos
- Código ejecutable firmado lanzado como procesos en modo de usuario

Aunque los detalles técnicos de la falla aún no están disponibles al público, Microsoft confirma que la falla, que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo. —Sin conocimiento de los usuarios.

"Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)", dice el aviso de Microsoft.
"Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor de confianza ".

Además de esto, la falla en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web o descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.

"Esta vulnerabilidad se clasifica como Importante y no la hemos visto utilizada en ataques activos", dijo Microsoft en una publicación de blog separada .

"Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo".

"Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y generalizada", dijo la NSA.

Además de la vulnerabilidad de suplantación de identidad de Windows CryptoAPI que ha sido calificada como 'importante' en cuanto a severidad, Microsoft también ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y el resto las 40 son importantes.

No hay mitigación o solución disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente instalar las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en 'Buscar actualizaciones en su PC'.

Otros defectos críticos de RCE en Windows

Dos de los problemas críticos afectan a Windows Remote Desktop Gateway (RD Gateway), rastreado como CVE-2020-0609 y CVE-2020-0610 , que pueden ser explotados por atacantes no autenticados para ejecutar código malicioso en sistemas específicos simplemente enviando una solicitud especialmente diseñada a través de RDP.

"Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. Un atacante que aprovechó esta vulnerabilidad con éxito podría ejecutar código arbitrario en el sistema de destino", dice el aviso.

Un problema crítico en Remote Desktop Client, seguido como CVE-2020-0611 , podría conducir a un ataque RDP inverso donde un servidor malicioso puede ejecutar código arbitrario en la computadora del cliente que se conecta.

"Para explotar esta vulnerabilidad, un atacante necesitaría tener el control de un servidor y luego convencer a un usuario para que se conecte a él", dice el aviso.

"Un atacante también podría comprometer un servidor legítimo, alojar código malicioso en él y esperar a que el usuario se conecte".

Afortunadamente, ninguno de los defectos abordados este mes por Microsoft fueron revelados públicamente o descubiertos como explotados en la naturaleza.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A la hora de instalar aplicaciones y programas en Linux hay varias formas de hacerlo. Los usuarios más avanzados pueden optar por descargar el código fuente desde la web del desarrollador y compilarlo directamente en su ordenador. Algo muy lento y poco práctico en realidad. Los usuarios más inexpertos suelen optar por la vía fácil: buscar y descargar el binario (por ejemplo, el deb) e instalarlo, desde el gestor de paquetes, haciendo doble clic. Como en Windows. Y, en tercer lugar, tenemos a los usuarios intermedios que buscan comodidad y facilidad y hacen uso de los repositorios de Linux para descargar, instalar y actualizar sus programas.

¿Qué son los repositorios de Linux?

Los repositorios son una de las mejores características que tiene Linux. Un repositorio es una lista de programas, generalmente siempre actualizada, que nos permite buscar y descargar fácilmente todo tipo de programas y herramientas en nuestra distribución.

Gracias a los repositorios vamos a poder tener un lugar seguro y fiable desde el que descargar software y las últimas actualizaciones de todos nuestros programas. Estos programas se instalarán sin ningún tipo de problema de dependencias, y además podremos actualizar todo nuestro repertorio de programas con un sencillo comando.

Las desarrolladoras de las distros suelen incluir sus propios repositorios con programas útiles. Además, muchas desarrolladoras mantienen sus propios repositorios independientes para distribuir sus programas. Incluso cualquier usuario puede crear y mantener su propio repositorio, muy útil, por ejemplo, para distribuir listas de software.

Distintos tipos de repositorios en Ubuntu

Cuando instalamos Ubuntu, la distro instala una serie de repositorios pertenecientes a distintos canales:

Main: el repositorio instalado por defecto. Consiste en software libre FOSS que puede ser distribuido libremente y sin restricciones.

Universe: incluye software gratis y de código abierto, pero no puede garantizar las actualizaciones regulares de seguridad.

Multiverse: incluye software que es de la FOSS. Debe ser el usuario quien analice las licencias y decida si puede, o no, usar estos programas de forma legal.

Restricted: dentro de este canal podemos encontrar software de código cerrado. Es utilizado, por ejemplo, para distribuir los drivers de NVIDIA, entre otros muchos.

Partner: incluye software propietario que ha sido empaquetado por Canonical.

Y además de estos repositorios, también podemos añadir repositorios de terceros a nuestra distro Linux para instalar otro tipo de software de forma segura.

Los pasos que vamos a ver a continuación se han realizado sobre Ubuntu, pero deberían ser iguales para cualquier distro basada en Debian.

Cómo añadir nuevos repositorios a la lista de software

Para ver la lista de repositorios que tenemos en nuestra distro Ubuntu, lo que debemos hacer es abrir un Terminal (Control + Alt + T) y ejecutar en este el siguiente comando:

sudo gedit /etc/apt/sources.list

En caso de que no funcione, o no tengamos gedit instalado en nuestra distro, podemos hacerlo con el siguiente, acudiendo al editor «nano».

sudo nano /etc/apt/sources.list


Como veremos, se nos abrirá una lista con todos los repositorios que tenemos en nuestra distro. Los repositorios (por ejemplo, deb You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login bionic-updates main restricted) que empiecen sin # son aquellos que se están utilizando. Por otro lado, los que aparecen al principio con un # son aquellos que tenemos instalados, pero están deshabilitados.

Si queremos añadir un repo nuevo, tan solo debemos añadirlo, de la siguiente forma, al final del archivo de texto:

deb [arch=amd64]You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login stable main

Guardamos los cambios y listo. Eso sí, antes de actualizar los repositorios e instalar ningún programa debemos instalar las claves de seguridad de dicho repositorio. Estas se suelen ofrecer junto al PPA, y a continuación vamos a ver un ejemplo con el repo oficial de Google Chrome.

Ejemplo para añadir repositorio de Google Chrome desde Terminal

Para añadir desde terminal un repositorio, o PPA, de Linux, debemos hacerlo de la siguiente manera. Lo primero será buscar en Internet el repositorio que queremos añadir. En el caso de Google Chrome (este ejemplo), podemos encontrarlo en la web de Google.

En el terminal, ejecutaremos el siguiente comando para añadir las claves de los repositorios oficiales de Google a nuestro Linux. De lo contrario, el software de los repositorios no se podrá validar y nos devolverá error:

wget -q -O –You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login | sudo apt-key add –

Una vez ejecutado el anterior comando, ya podemos añadir el repositorio a la lista de repositorios de Ubuntu. Y eso lo haremos con el siguiente comando:

sudo sh -c 'echo «deb [arch=amd64]You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login stable main» >> /etc/apt/sources.list.d/google.list'

Obviamente, si hemos añadido el repositorio desde GEDIT como hemos explicado en el paso anterior, este último comando no será necesario.

Ahora, antes de nada, tendremos que actualizar la lista de repositorios de Linux para registrar en nuestro sistema todos los programas y poder descargarlos e instalarlos con apt install.

Cómo actualizar la lista de repositorios de Linux

Si ya hemos añadido los repositorios que queremos a la lista con los pasos anteriores, o simplemente queremos actualizar nuestro software sin añadir nuevos repositorios, el proceso es mucho más rápido.

Lo único que nos queda por hacer es abrir un Terminal (Control + Alt + T) en nuestro Linux y ejecutar los dos siguientes comandos:

sudo apt update (para actualizar las listas de software de los repositorios).

sudo apt upgrade (para descargar los paquetes que haya disponibles).


Cuando finalice el proceso, todos los programas de nuestro Linux, que se hayan instalado a través de los repositorios, se habrán actualizado a su última versión.

Ya podemos instalar los programas que queramos desde los repositorios de nuestro Linux utilizando apt install (por ejemplo: sudo apt install google-chrome).

Saludos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Instagram es una de las pocas redes sociales occidentales que no está bloqueada en Irán, como sí lo están Facebook y Twitter, y su uso en el país oriental es habitual. Tanto, que el reciente asesinato del general Qasse Soleimani por drones estadounidenses el pasado 3 de enero en Bagdad la ha salpicado.

La muerte de poderoso militar iraní Soleimani, comandante de la Fuerza Quds de los Guardianes de la Revolución de Irán, fue fruto de una operación autorizada por el presidente Trump que agrava todavía más el preocupante enfrentamiento entre Washington, Teherán y también Bagdad. En la misma acción también resultó fallecido el vicepresidente de las milicias chiíes iraquíes Multitud Popular, Abu Mahdi al-Muhandis.

Una situación extremadamente delicada que, indirectamente, ha situado a un plataforma propiedad de una empresa estadounidense, Instagram, en el fuego cruzado de la política internacional al haberse visto obligada a eliminar contenido en apoyo al general muerto por el bombardeo llevado a cabo por Estados Unidos.


Instagram se ve obligada a eliminar publicaciones en apoyo del general iraní asesinado por Estados Unidos



En abril de pasado año, después de que la administración estadounidense declarara a los Cuerpos de la Guardia Revolucionaria Islámica como organización terrorista, Instragram cerró la cuenta de Soleimani en esta red social.

Ahora, después de su muerte, lo que empezaron a desaparecer de la plataforma eran publicaciones en apoyo al poderoso militar iraní como, por ejemplo, la que realizó el futbolista iraní Alireza Jahanbakhsh cuya cuenta se encuentra verificada. De ello se quejó, durante los primeros días de enero, un portavoz del Gobierno de Irán a través de Twitter tachándola de "acción antidemocrática y desenfrenada".

"Operamos bajo las leyes de sanciones de Estados Unidos", resaltó un portavoz de Facebook, empresa propietaria de Instagram.

En declaraciones de Facebook a CNN, la compañía dirigida por Mark Zuckerberg ha asegurado que la eliminación de publicaciones que expresan reconocimiento a Soleimani responde al cumplimiento de las sanciones impuestas por Estados Unidos y al cumplimiento de la legislación del país. "Operamos bajo las leyes de sanciones de Estados Unidos", resaltó un portavoz de la compañía.

Según CNN, que cita a medios estatales iraníes, el Gobierno iraní ha pedido una acción legal a nivel nacional contra Instagram en respuesta e incluso se contempla "la creación de un portal en un sitio web gubernamental para que los usuarios de la aplicación presenten ejemplos de las publicaciones eliminadas"

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sólo 1 de cada 10 sitios web europeos cumple con la normativa de cookies: la mayoría manipula al usuario para que las acepte

En 2012 entraba en vigor en España la polémica 'Ley de cookies' (adaptación nacional de una directiva europea de 2009) y, seis años más tarde, en 2018, el nuevo Reglamento General Europeo de Protección de Datos estableció normas estrictas para la obtención del consentimiento explícito que afectaban directamente al modo en que estas empresas solicitaban la admisión de las cookies.

En este tiempo, muchas empresas webs han delegado el cumplimiento de dichos requisitos por parte de sus sitios web en CMPs externos (Consent Management Platforms, o plataformas de gestión del consentimiento), que se encargan de todo lo necesario para la obtención de la cesión de datos personales y de navegación.

Pero ahora, investigadores del CSAL del MIT, de la Universidad de Aarhus (Dinamarca) y del University College de Londres se han preguntado qué nivel de cumplimiento ha logrado cosechar esta normativa europea... y la conclusión resulta bastante descorazonadora.

1 de cada 3 sitios web se conforma con el (ilegal) "consentimiento implícito"

Su estudio ha llegado a la conclusión de que la mayoría de los sitios webs online están incumpliendo la normativa europea a la hora de gestionar las cookies. Concretamente, tan sólo el 11,8% de los 10.000 sitios web analizados (poco más de 1 de cada 10) recurren a técnicas que se ajusten completamente a las exigencias de la normativa europea.

La forma más común de gestionar el consentimiento por parte de estas webs es recurrir al "consentimiento implícito", en el que los gestores de la web asumen que si estás visitando la misma es que necesariamente estás aceptando las cookies que la integran. Prácticamente 3 de cada 10 páginas (el 32,5%) apuestan por esta práctica.

Una aclaración en este punto: según la última versión de la 'Guía sobre el uso de las cookies' de la AEPD, en España se considera que la acción de seguir navegando es en determinadas condiciones (por ejemplo, que exista en el aviso de cookies un botón que permita "Rechazar" todas las cookies) un consentimiento "válido"... criterio no compartido por otras autoridades de control europeas ni por el EDPB (Comité Europeo de Protección de Datos).

Al margen de la excepción española, legalmente se considera que los usuarios deben realizar alguna acción que evidencie su voluntad informada de aceptar las cookies (como clicar un botón) y deben tener y dejar claro qué están aceptando. Sin embargo, el diseño de los sistemas de aceptación de cookies manipulan sutilmente al usuario, incitándolo a aceptar éstas. Es lo que conocemos como 'patrones oscuros'.

De nuevo, según la norma, si existen varios elementos a aceptar, éstos deben ser igualmente sencillos de rechazar o aceptar, sin que quepan 'trampas' como las casillas preseleccionadas. Pero sólo el 12,6% de los sitios web que incluyen un botón de "Aceptar todas las cookies" ofrecen también otro para rechazarlas todas, como sería preceptivo.

Un ejemplo de la efectividad de los citados 'patrones oscuros': los investigadores descubrieron, por ejemplo, que cuando el sitio web no ofrece de un botón de "rechazar todo" en la primera ventana (muchos recurren a esconderlo mediante clics extra) se incrementa en un 23% la cantidad de usuarios que aceptan el seguimiento mediante cookies.

Según los investigadores, la aplicación de la normativa "brilla por su ausencia": "Los proveedores de CMP hacen la vista gorda -o peor, incluso, incentivan- ante configuraciones claramente ilegales en sus plataformas", concluyen los investigadores.

Y proponen, dado que las autoridades de protección de datos parecen no ser capaces de detectar este incumplimiento masivo, que recurran a herramientas automatizadas como la desarrollada para la realización del estudio.

***Actualizado el 14/01/2020 para aclarar la excepción de la normativa española que permite prescindir en algunos casos del consentimiento explícito.

Vía:  TechCrunch

Adobe lanzó hoy actualizaciones de software para parchear un total de 9 nuevas vulnerabilidades de seguridad en dos de sus aplicaciones ampliamente utilizadas, Adobe Experience Manager y Adobe Illustrator.

Es el primer Patch Tuesday del año 2020 y uno de los lanzamientos de parches más ligeros en mucho tiempo para los usuarios de Adobe.

Además, ninguna de las vulnerabilidades de seguridad parcheadas este mes se divulgó públicamente o se descubrió que se explotaba activamente en la naturaleza.

5 de las 9 vulnerabilidades de seguridad son 'críticas' en severidad, y todas ellas afectan a Adobe Illustrator CC versiones 24.0 y anteriores, que fueron reportadas a la compañía por el investigador de Fortinet Guard Labs, Honggang Ren.

Según un aviso publicado por Adobe, los cinco problemas críticos en el software Adobe Illustrator son errores de corrupción de memoria que podrían permitir a un atacante ejecutar código arbitrario en sistemas específicos en el contexto del usuario actual.

Las 4 vulnerabilidades de seguridad restantes afectan a Adobe Experience Manager , una solución integral de administración de contenido para crear sitios web, aplicaciones móviles y formularios, ninguno de los cuales es crítico en severidad pero debe ser parcheado lo antes posible.

Esto también se debe a que Adobe ha marcado actualizaciones de seguridad para Adobe Experience Manager con una calificación de prioridad de 2, lo que significa que anteriormente se han visto fallas similares explotadas en la naturaleza, pero por ahora, la compañía no ha encontrado evidencia de ninguna explotación de estas vulnerabilidades en el salvaje.

Estos problemas informados, que incluyen: secuencias de comandos entre sitios reflejadas, inyección de interfaz de usuario e inyección de lenguaje de expresión, afectan a múltiples versiones de Adobe Experience Manager, y todas conducen a la divulgación de información confidencial, donde tres de ellas son importantes en gravedad y una moderada.

Adobe lanzó hoy Illustrator CC 2019 versión 24.0.2 para el sistema operativo Windows y parches para Adobe Experience Manager versiones 6.3, 6.4 y 6.5.

Adobe recomienda a los usuarios finales y administradores que instalen las últimas actualizaciones de seguridad lo antes posible para proteger sus sistemas y empresas de posibles ataques cibernéticos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login