Apple suspende el programa por el que terceros escuchaban conversaciones de los usuarios con Siri

Lo que puedan estar escuchando las compañías gracias a sus altavoces "inteligentes" u otros dispositivos sigue siendo un tema de actualidad. Se supo hace un par de meses que Google subcontrata a terceros para la escucha de fragmentos de audios recogidos por Google Home y algo similar ocurría con Apple, quienes ahora suspenden el programa de escucha de fragmentos recogidos por Siri por parte de terceros.

La información sobre la existencia de este programa la puso en manifiesto The Guardian. En ella explicaban que había informaciones que eran escuchadas por terceros en todo el mundo como parte de las comprobaciones del buen funcionamiento de Siri, pero la compañía ahora suspende este programa.

Para presumir de privacidad hay que respetarla

Apple ha hecho gala de salvaguardar la privacidad de sus usuarios desde hace un tiempo, hablando ya en 2016 de "privacidad diferencial" aunque no lo inventaron ellos ni mucho menos. Un sistema estadístico que permite recolectar datos y analizarlos sin comprometer la identidad y privacidad de los usuarios, y con el tiempo hemos visto que el respeto de la privacidad se enfatizaba en sus presentaciones.

Y la maniobra de la que hablamos ahora queda justamente en esta intención, intentando no preocupar a los usuarios en lo que respecta a su privacidad ras haberse sabido esto públicamente. Apple ha enviado un comunicado a TechCrunch en respuesta a las informaciones que hacía públicas The Guardian exponiendo que:

"Estamos comprometidos con proporcionar una gran experiencia con Siri al mismo tiempo que protegemos la privacidad del usuario. Mientras llevamos a cabo una exhaustiva revisión, hemos suspendido el programa global de calificación de Siri. Además, como parte de una futura actualización de software, los usuarios podrán elegir el participar en este programa" (Apple, vía TechCrunch)

¿Qué contenían los fragmentos de audio que se escuchan dentro de este programa? Según explicó la fuente a The Guardian, se trataba de audios que podían contener información personal, grabaciones de gente practicando sexo y otros detalles como negocios u operaciones con drogas.

La compañía ahora revisará los procesos que se emplean en ese llamado programa de calificación, en el cual los terceros se encargan de determinar si Siri está escuchando e interpretando bien las frases o se halla en un error. Pero lo clave es lo que apuntan a hacer partícipes a los usuarios de que elijan si sus conversaciones van a emplearse en este programa o no.

Que el usuario tenga claro qué se hace con su información

Así, según han explicado en algún momento se añadirá esa petición de permiso para usar las escuchas, de hecho como en otros casos la compañía ya pide permiso para enviar estadísticas de uso en el pre-load de sus dispositivos. Además de todo esto es posible que en los términos y condiciones de uso también se especifique mejor qué es lo que se hace con la información y hasta dónde llega, ya que ni éstos ni las otras compañías son demasiado claras en este sentido como ya vimos.



No es la única que ha tenido que pausar ese tipo de programa. Recientemente se supo que Google suspendería las escuchas por parte de terceros en Europa durante tres meses, tras iniciarse la investigación por parte de la comisión alemana encargada de la protección de datos del usuario.

Así, Apple es otra de las compañías que ha compartido con terceros la información recogida por su asistente de voz. Hace poco más de un mes sabíamos también que Amazon se queda con los datos por tiempo indefinido y además los comparte con terceros, veremos si también deciden detener o modificar su programa.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

System76, compañía que fabrica ordenadores potentes, algunos de ellos con sistemas operativos Linux, lanzará un nuevo ordenador la semana que viene. Llegará con el nombre de Adder WS y lo hará el próximo 8 de agosto. Lo que hace especial este lanzamiento es que será el primer ordenador Linux de la compañía en contar con una pantalla 4K, más concretamente una OLED que ofrecerá colores brillantes con colores negros muy realistas.

La pantalla 4K es algo que System76 usará como reclamo para vender su próximo ordenador pero, tal y como detallaremos más adelante, puede que esta especificación no sea la más importante de las que traerá el Adder WS. De hecho, contará con hasta 64GB de RAM (broma: suficiente para ejecutar Chrome) y 8TB de almacenamiento. A continuación tenéis algunas de las especificaciones del Adder WS que System76 lanzará la semana que viene.

Especificaciones técnicas del Adder WS de System76

- Procesador: Intel Core i7-9750H o i9-9980HK.
- GPU: NVIDIA GeForce RTX 2070.
- RAM: hasta 64GB.
- Almacenamiento: hasta 8TB.
Puertos:
- 1 USB 3.1 Gen.
- Puerto Thunderbolt 3 vía USB-C 3.1 Gen 2.
- 3 puertos de vídeo: HDMI, DisplayPort 1.3 vía USB-C 3.1 Gen 2 y mini DisplayPort1.3.
- Jack de audio 2 en 1.
- Lector de tarjetas SD.
- System76 clasifica al Adder WS como una estación de trabajo que estará disponible con dos sistemas operativos: Ubuntu 18.04 LTS o Pop!_OS 19.04, el sistema operativo que desarrolla la compañía, en este caso basado en Ubuntu 19.04. Tal y como leemos en Softpedia, el portátil estará disponible a partir del 8 de agosto, pero no será hasta el lunes que la compañía lo anunciará de manera oficial. Se desconoce el precio por el que saldrá a la venta.

En cuanto al Pop!_OS 19.04, podemos mencionar que se trata de una versión basada en Ubuntu 19.04 con una imagen propia que resulta muy atractiva.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Manjaro Webdev Edition es una versión especial de la distribución basada en Arch Linux. Está pensada específicamente para desarrolladores web y programadores. La compilación incluye la mayoría de los lenguajes de programación, compiladores, editores y entornos de Desarrollo Integrado (IDEs) más utilizados. Cómo interfaz gráfica utiliza el escritorio KDE.

Hay que aclarar que se trata del proyecto de un usuario particular y no de una alternativa soportada oficialmente



Qué incluye Manjaro Webdev Edition para diseñadores web y programadores

Como dije más arriba, el escritorio es KDE Plasma. Podemos configurarlo a nuestro gusto instalando cualquiera de los widgets de que dispone.
La instalación de software la podemos hacer vía Pamac, el gestor de paquetes gráfico basado en libalpm con soporte para AUR y Appstreamos.
A su vez, disponemos de gestores de paquetes específicos para instalar librerías utilizadas por los diferentes lenguajes de programación. Algunos de ellos son:

NPM: Gestor de paquetes para JavaScript.
Pip: Un gestor de paquetes para Python.
Gem: El gestor de paquetes del lenguaje Ruby.
Composer: Es el gestor de paquetes estándar para instalar módulos PHP.

Si eres programador y usas Linux, vas a trabajar múcho con el emulador de terminal. Yakuake es un terminal desplegable. Esto significa que puede presionar, por ejemplo, F12, y se desliza hacia abajo desde el borde superior de la pantalla. Después de que haya terminado, puede volver a presionar F12 y se desliza de nuevo en la parte superior.


Con el gestor de paquetes Pamac, podrás instalar muchas herramientas de programación y desarrollo desde los repositorios de Arch Linux.

Programas preinstalados
Algunos de los programas incluidos en la instalación por defecto son:

- Firefox Developer editión: Es una versión del navegador con el agregado de herrramientas para desarrolldores.
- Visual Studio Code: El  entorno integrado de desarrollo de MIcrosoft con soporte para múltiples lenguajes de programación.
- BueGriffon: Lo más parecido a Adobe Dreamweaver que podemos conseguir los usuarios de Linux. Es un editor visual de sitios web basado en el motor de renderizado de Firefox. Si quieres las prestaciones más avanzadas deberás pagar una licencia.



- GitG: Interfaz de usuario para el sistema de control de versiones Git
- PyCharm CE: Entorno de desarrollo integrado para Python.
- El creador de interfaces gráficas de QT.
- Scratch: Un entorno de desarrollo para el lenguaje de programación visual creado por el MIT

Para mi gusto faltan programas que un desarrollador web podría necesitar, como Inkscape para el manejo de gráficos SVG o  El Gimp para la manipulación de imágenes. Tampoco, en una web cada vez más multimedia, se incluye un editor de video. Por el otro se incluye un lanzador para la web de Microsoft Office 365 y se instala Calligra Suite,  una suite ofimática en la que no entiendo por qué el proyecto KDE sigue insistiendo. De todas formas, ya dije que se trata de un proyecto de unusuario individual y no de una variante apoyada oficialmente.


Inkscape es una herramienta para la manipulación de gráficos vectoriales. Si queremos utilizarla deberemos instalarla desde repositorios

Manjaro es una distribución que representa todas las virtudes del mundo Linux. No toman decisiones basadas enla ideología o el odio. Buscan las mejores opciones para los usuarios y la plasman en una distribución fácil de instalar y que da gusto usar.

Habrá que esperar a ver como  irá evolucionando Manjaro Webdev Edition, pero en este momento no es más que la versión KDE con programas agregados. Lo mejor es descargarse alguna de las versiones originales de Manjaro e instalarte las aplicaciones que más te gusten.


En la página web de Manjaro dispones de una variada gama de opciones para crear tu propia distribución para programar

Puedes descargar Manjaro Webdev Edition You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Vía: .linuxadictos.com

Siempre que navegamos por la red nos podemos topar con múltiples tipos de malware que comprometan nuestra seguridad y privacidad. Los piratas informáticos buscan constantemente la manera de perfeccionar sus técnicas y tener un mayor éxito. Hoy nos hacemos eco de SystemBC. Se trata de un nuevo malware que es capaz de ocultar el tráfico malicioso de la comunicación del servidor de control en el propio equipo de la víctima. Esto lo consigue al configurar una conexión proxy SOCKS5.

SystemBC, el malware que se oculta en el equipo de la víctima

Este malware denominado SystemBC está diseñado para llevar a cabo diferentes campañas de explotación de troyanos bancarios o envío de ransomware. Como sabemos, son dos de los tipos de amenazas más presentes hoy en día.

Según informan investigadores de seguridad de Proofpoint, este malware está presente desde al menos abril de 2019. Esto es así ya que el día 2 del mismo mes se toparon con un anuncio en la Deep Web donde promocionaban una amenaza que coincide con su descripción.

Este malware SystemBC, como ha sido denominado por Proofpoint, usa conexiones HTTP seguras para lograr cifrar la información que envía a los servidores de control desde el propio equipo de la víctima que ha sido infectado.

Como hemos mencionado, esta amenaza es capaz de configurar servidores proxy SOCKS5 en el dispositivo de la víctima. Posteriormente pueden ser utilizados por los ciberdelincuentes para ocultar el tráfico malicioso de otro tipo de malware. Así pueden obtener una vía libre de entrada al equipo.

Uno de los ejemplos que utilizan es el exploit Fallout. Se utiliza para descargar el troyano bancario Danabot. Utiliza un proxy SOCKS5 para que el software de seguridad no lo detecte como una amenaza.



Campaña dirigida a Windows
Hay que mencionar que este nuevo malware capaz de instalar un proxy en el equipo infectado está dirigido a sistemas operativos Windows. Como sabemos, los sistemas de Microsoft son hoy en día los más utilizados en equipos de escritorio. Por ello pueden ser muchos los usuarios que pueden verse infectados por esta amenaza.

Lo más preocupante es que esta amenaza lo normal es que no venga sola. Hemos visto que los piratas informáticos pueden utilizarlo para desplegar otro tipo de malware. Por tanto, si un usuario es víctima de SystemBC lo normal es que tenga también en su sistema un troyano bancario, ransomware o cualquier otra amenaza que comprometa su seguridad y privacidad.

También hay que destacar la dificultad para ser detectado. Esto sin duda abre la puerta a nuevas posibles amenazas que se basen en este malware que utiliza proxys para ocultar el tráfico.

Cómo evitar ser víctima de estas amenazas
Los usuarios podemos tener en cuenta una serie de consejos importantes para evitar la entrada de malware en nuestro sistema. Lo primero y más importante es contar siempre con aplicaciones de seguridad. Esto nos permite detectar la entrada de malware y poder frenar posibles ataques.

También es vital tener los sistemas actualizados a la última versión. A veces surgen vulnerabilidades que son aprovechadas por los ciberdelincuentes para llevar a cabo sus ataques. Es importante tener los últimos parches y actualizaciones para corregir esos fallos.

Pero sin duda el sentido común tiene que estar presente. Muchas de estas amenazas requieren de la interacción del usuario. Hablamos por ejemplo de descargar software fraudulento desde sitios de terceros o hacer clic en un enlace falso. Hay que estar siempre alerta.


Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si eres usuario de tarjetas VISA, estarás acostumbrado a no introducir el PIN de tu tarjeta cuando realices compras de menos de 20 euros. Pues bien, según apuntan Investigadores británicos, se ha conseguido hacer pagos de más de 100 euros sin introducir el PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA.

Y es que, los investigadores utilizaron un hardware especializado con el que han conseguido interceptar las comunicaciones entre la tarjeta y el lector, e insertar mensajes entre ellas de forma que consiguen realizar transacciones que superan el límite permitido sin que sea necesario introducir ningún método de verificación. como el PIN, a pesar de que la transacción de más de 30 libras lo requiriera. Después, le comunican al datáfono que la verificación ya se ha realizado por otro método.

¿Qué consecuencias puede tener este hackeo?

Tal y como afirman los investigadores que han realizado las pruebas, este hackeo pone en peligro a todos los usuarios de VISA, ya que, normalmente los bancos bloquean una tarjeta si se realizan varios cargos de pequeñas cantidades muy seguidos (porque se espera sea el comportamiento de un ladrón que, al no conocer el PIN no puede realizar pagos de más de 20 euros). Sin embargo, esta vulnerabilidad de las tarjetas VISA supone que puedan hacerse grandes transacciones sin verificación.

De momento no hay ninguna solución rápida, ya que este ataque man-in-the-middle afecta a la tarjeta y a los lectores de las mismas. Desde VISA no van a actualizar sus sistemas, ya que, afirman, el número de situaciones donde podría darse un caso como el mostrado por los investigadores británicos es muy limitado, y el ladrón tendría que tener la tarjeta en su poder.

Sin embargo, los investigadores disienten de esta afirmación, y dicen que tan sólo es necesario que un atacante esté cerca de la tarjeta para que se realice el pago. Lo cierto, es que si VISA no implanta ninguna medida al respecto, solo nos queda prestar especial atención a nuestra tarjeta de crédito y sus movimientos y usar una cartera con protección RFID que evite un posible comunicación errónea. Al menos, hasta la llegada de una nueva ley europea con la que se obligará a usar métodos de verificación en las transacciones contactless si se supera un determinado límite, que llegará en septiembre.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La botnet Mirai vuelve más peligrosa que nunca; ahora usa la red Tor para ganar anonimato

Son muchas las amenazas que podemos encontrarnos al navegar por la red. Muchos tipos de virus y malware en general que comprometen nuestros dispositivos. Uno de los malware más peligrosos de los últimos tiempos que han afectado a lo que conocemos como el Internet de las Cosas ha sido Mirai. Como sabemos, esta botnet formaba parte de millones de dispositivos en todo el mundo. Equipos que estaban desprotegidos en la red. Hoy nos hacemos eco de la vuelta de la botnet Mirai, pero de una forma peculiar y más peligrosa aún: utiliza la red Tor para proteger su anonimato.

La botnet Mirai vuelve y utiliza la red Tor para ganar el anonimato

Cuando navegamos por la red dejamos rastro. Información y datos de los usuarios pueden estar presentes. Hay formas de proteger nuestra identidad y, en definitiva, navegar de forma anónima. La red Tor nos permiten eso. Ya vimos qué es la botnet Mirai y cómo protegernos.

Esta amenaza ataca dispositivos IoT. Podemos destacar televisiones, cámaras IP o reproductores de vídeo en Streaming, entre otros. Una vez la amenaza llega a estos dispositivos, los piratas informáticos pueden tener el control total. Se basan principalmente en vulnerabilidades existentes. Muchos usuarios mantienen las credenciales predeterminadas que vienen de fábrica. Esto es un error y puede provocar ataques de este tipo.

Lo que hacen ahora los ciberdelincuentes es utilizar un servidor de control que está alojado en la red Tor. Esto es algo novedoso y que no estaba presente en las anteriores versiones de Mirai. Algo que provoca un mayor riesgo para los usuarios, ya que es más difícil de detectar. El hecho de estar en la red Tor le otorga anonimato.

Un grupo de investigadores de Trend Micro ha analizado una muestra. La nueva botnet Mirai analiza los puertos TCP 9527 y 34567 en busca de dispositivos desprotegidos donde poder tener el control total de forma remota.



Cómo evitar ser víctima de esta nueva botnet Mirai y similares

Por suerte podemos proteger nuestros dispositivos para evitar ser víctima de esta nueva botnet Mirai y de otras similares. Lo primero y más importante es nunca mantener las contraseñas y credenciales de fábrica. Siempre hay que cambiar este tipo de valores y generar claves que sean fuertes y complejas.

También es vital que los sistemas estén actualizados. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para desplegar sus ataques. Son los propios fabricantes quienes lanzan parches y actualizaciones de seguridad. De esta forma podremos corregir esos fallos y evitar que puedan ser utilizados por los ciberdelincuentes para acceder a nuestros equipos.

Además, otra medida de seguridad que puede ser interesante es desactivar el control remoto. Lógicamente esto lo podremos poner en práctica si no vamos a utilizar esta opción. En ese caso evitaríamos que ese dispositivo pueda ser controlado de forma remota.

En definitiva, la botnet Mirai está de vuelta de una forma más peligrosa al utilizar la red Tor para mantener el anonimato. Hemos dado una serie de consejos y recomendaciones para evitar ser víctima de esta amenaza, así como de problemas similares que puedan comprometer nuestros dispositivos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Han pasado ni más ni menos que 23 años desde el lanzamiento de Diablo, la primera entrega de una de las sagas de rol y exploración de mazmorras más conocidas de todos los tiempos, la cual ahora, gracias a unos aficionados, podremos jugar de forma totalmente gratuita estemos donde estemos.

Y es que gracias al trabajo previamente hecho por GalaXyHaXz y el equipo de devilution, los chicos de Rivsoft han creado una versión totalmente gratuita de los primeros niveles de este juego, que podremos lanzar y jugar desde cualquier navegador web, incluido desde móviles y tabletas.

Así pues, si bien el juego original ya pedía uno requisitos realmente bajos para la actualidad, en esta ocasión no nos hará falta más que un navegador web actualizado, y una conexión a internet.Ligeramente diferente a lo que pudimos ver con la versión de navegador de Minecraft, y con el único motivo de no inflingir los derechos de autor del juego, en esta versión no se han incluido ninguno de los diálogos de los personajes, y tan sólo podremos jugar con la clase de Guerrero.

Y es que como bien se indica en la página, tan sólo necesitaremos un archivo de apenas 50KB (ofrecido por ellos mismos) para arrancar el juego. Además, siempre y cuando usemos este mismo archivo allá donde vayamos, podremos llevarnos con nosotros nuestras partidas guardadas.

Sin embargo, si todavía tenemos la edición original del Diablo, podremos desbloquear y jugar todos sus contenidos para esta versión de navegador.

Las dos únicas pegas son que sólo podremos acceder a la campaña para un jugador, sin contar con la posibilidad de utilizar los modos multijugador; y el hecho de que no esté implementada la compatibilidad con la expansión Hellfire. No obstante, aunque a falta de una confirmación por parte de sus desarrolladores, se trata de funcionalidades que puede (y esperamos) lleguen en el futuro.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ADATA se une al selecto club de fabricantes que están apostando por las SSD PCIe 4, las nuevas unidades de estado sólido de altísimo rendimiento al aprovechar la interfaz que por el momento solo está soportando por las nuevas placas base serie 500 para los procesadores Ryzen 3000.

La SSD PCIe 4 del fabricante taiwanés lleva por nombre de modelo XPG GAMMIX S50. Se ofrece en un formato estándar M.2 2280 y cuenta con un disipador de calor de aluminio que promete rebajar la temperatura de funcionamiento hasta en 10 grados.

Con soporte nativo para el protocolo NVMe 1.3 y conectado a un puerto PCIe 4 x4, la unidad ofrece un rendimiento altísimo con transferencias de datos en lectura/escritura secuencial de 5.000 / 4.400 Mbytes por segundo, diez veces el que ofrece una SSD conectada a SATA.
Otros datos técnicos hablan de almacenamiento en caché SLC y un búfer de caché DRAM de los que no se ha facilitado la cantidad. También ofrece protección de datos E2E (de extremo a extremo), comprobación de paridad de baja densidad (LDPC) y soporte RAID. ADATA asegura que esta XPG GAMMIX S50 «ha pasado por meticulosos exámenes, pruebas y certificaciones» y se ofrecerá con cinco años de garantía.



Esta nueva SSD PCIe 4, destinada a equipos grado entusiasta o estaciones de trabajo, es muy similar en prestaciones a otras como la GIGABYTE AORUS y se ofrecerá con comercializará en capacidades de almacenamiento de hasta 2 Tbytes. No se ha facilitado precio, pero son un tipo de componente a considerar si montas un nuevo PC basado en los Ryzen 3000 de AMD.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las comunidades de GNOME y KDE anuncian al unísono una nueva edición del Linux App Summit 2019, un evento enfocado en fortalecer el ecosistema de aplicaciones libres en Linux. La cita apunta a los días 12, 13, 14 y 15 de noviembre y se celebrará aquí en España, en Barcelona para ser más concretos.

Tal y como lo presentan en la página oficial del evento, Linux App Summit «está diseñado para acelerar el crecimiento del ecosistema de aplicaciones de Linux al reunir a todos los involucrados en la creación de una excelente experiencia de usuario de aplicaciones de Linux». Es decir, se trata principalmente de un encuentro para desarrolladores, aunque todo el mundo está invitado.

Por el momento se ha abierto una llamada a la participación para que cualquier interesado pueda proponer una charla si tiene algo que aportar. Los temas van de la creación de aplicaciones al empaquetado y distribución, diseño y usabilidad, comercialización, comunidad, plataforma y ecosistema de aplicaciones Linux.

Conocido anteriormente como Libre Application Summit, Linux App Summit (sin el GNU, sí) supone además una oportunidad para que los desarrolladores de proyectos distintos pero que trabajan en aplicaciones similares se reúnan físicamente y aborden los retos en conjunto, aunque lo cierto es que cuatro días dan para mucho. De ahí que KDE y GNOME, las dos grandes comunidades del escritorio Linux, sean las abanderadas del evento.

«El objetivo es fomentar la creación de aplicaciones de calidad, buscar oportunidades de compensación para los desarrolladores de software libre y fomentar un mercado próspero para el sistema operativo Linux», señalan desde GNOME. «Estamos entusiasmados por combinar nuestros esfuerzos en el desarrollo de aplicaciones para Linux y nuestro objetivo es asumir un papel activo que lidere el camino hacia el futuro», añaden desde KDE.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Valve continúa apoyando el gaming en Linux. Prueba de ello es que sigue desarrollando y mejorando este gran proyecto que tiene el nombre Proton. Por si aún no lo conoces, esta implementación se basa en Wine para poder llevar los videojuegos nativos de Microsoft Windows al cliente Stream Play para Linux. Eso significa que podrás jugar fácilmente a los títulos para Windows de una forma sencilla como lo haría un cliente con Windows. Además, existe una gran lista de videojuegos soportados que funcionan al 100%.

Vavle ha anunciado el lanzamiento de Proton 4.11 para Steam Play. Una interesante mejora con importantes cambios, entre ellos miles de mejoras como algunas que afectan a bugs en versiones previas, problemas al jugar a ciertos videojuegos, y también para Vulkan (D9VK). Como efecto colateral, también habrá 154 parches procedentes de los avances en Proton que llegarán directamente a Wine, lo que es una gran noticia para estas comunidades, que se nutren mutuamente.
DXK ha sido actualizado a la versión 1.3, y los usuarios que les guste la realidad virutal también están de enhorabuena. Ahora está soportada la última versión del SDK OpenVR. Por otro lado, FAudio ha sido actualizada a v19.07 y los títulos GameMaker ha tenido algunas correcciones. También hay mejoras en cuanto al consumo de recursos de hardware que hace este software, optimizándolo para que reduzca la carga.

Más información sobre esta actualización de Proton 4.11 la puedes obtener en la página oficial de Steam de Valve

Por otro lado, como ya os hemos comentado en LxA, Valve no se contenta con solo eso. Seguramente conozcas otro de los proyectos de opensource que han surgido, en parte a Valve, como es xrdesktop. La compañía presiona para que llegue más y más soporte para Linux, y ahora los entornos de escritorio tradicionales como KDE Plasma y GNOME también podrán ser integrados con tecnologías de realidad virtual.


Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Intel Core de 10ª generación: ya conocemos los detalles de los primeros microprocesadores «Ice Lake»

Hace un mes escaso tuvimos la oportunidad de viajar al centro de investigación que tiene Intel en Haifa (Israel) para conocer los detalles de la microarquitectura Sunny Cove, que es la utilizada por los procesadores Intel Core de 10ª generación. Colocar en el mercado una nueva microarquitectura es siempre una apuesta importante, pero en esta ocasión lo es si cabe aún más porque Intel acaba de atravesar una etapa controvertida debido al desgaste que le han acarreado las vulnerabilidades de seguridad que conocemos como Spectre y Meltdown.

Dadas las circunstancias a la compañía de Santa Clara no le quedaba más remedio que «poner toda la carne en el asador». Y parece que es lo que ha hecho. No en vano Uri Frank, uno de los ingenieros de Intel responsables del diseño de la nueva implementación, asegura que «la microarquitectura Sunny Cove es la piedra angular sobre la que descansa el futuro de la familia de procesadores Intel Core». Ni más ni menos. Pero todo esto ya lo sabíamos. ¿Cuál es la novedad? Sencillamente, ya conocemos los detalles de los primeros microprocesadores «Ice Lake» que llegarán al mercado, así que ahora son más tangibles que nunca.

Especificaciones detalladas de los microprocesadores de las series Y y U

Antes de que repasemos las características de los nuevos procesadores Intel Core de 10ª generación nos viene bien recordar brevemente cuáles son las mejoras más interesantes introducidas por la nueva microarquitectura. La más contundente es, sin lugar a dudas, su nueva litografía de 10 nm, una innovación en la tecnología de integración que ha contribuido decisivamente a hacer factibles muchas de las mejoras que vamos a repasar a continuación.



De todas las mejoras que sobre el papel nos proponen los nuevos microprocesadores de Intel la que tendrá un impacto directo en nuestra experiencia será su IPC (refleja el número de instrucciones que una CPU es capaz de ejecutar en un solo ciclo de la señal de reloj). Según Intel el IPC de los núcleos Sunny Cove se ha incrementado un 18% frente al de Skylake, algo que comprobaremos tan pronto como caiga en nuestras manos uno de los primeros equipos gobernados por un microprocesador Intel Core de 10ª generación.

Según Intel el IPC de los núcleos Sunny Cove se ha incrementado un 18% frente al de Skylake, y las nuevas CPU tendrán un TDP (Thermal Design Power) que oscilará entre 9 y 28 vatios

Además, las nuevas CPU tendrán un TDP (Thermal Design Power) que oscilará entre 9 y 28 vatios, así como un máximo de cuatro núcleos y ocho hilos de ejecución (threads). Por otro lado, la nueva lógica gráfica tiene una capacidad de cálculo de operaciones en coma flotante ligeramente superior a 1 TFLOP, lo que según Intel le permite mover juegos como 'DiRT Rally 2' o 'Fortnite' a 1080p arrojando tasas de imágenes sostenidas cercanas a los 60 FPS.

En lo que concierne a la conectividad Intel ha implementado dentro del encapsulado una controladora Thunderbolt 3 y otra Wi-Fi 6 GIG+ que permitirán a los ensambladores prescindir de chips dedicados, lo que debería abaratar algo el precio de los ordenadores portátiles que incorporarán estos chips. Un apunte interesante: la lógica gráfica ocupa más espacio que los cuatro núcleos de CPU con microarquitectura Sunny Cove juntos, acaparando cerca del 40% de la superficie del chip.



En la captura que tenéis encima de estas líneas podéis ver las especificaciones detalladas y la denominación comercial de los primeros microprocesadores Intel Core de 10ª generación para ordenadores portátiles que llegarán al mercado. Los modelos de la serie Y tienen un TDP nominal de 9 vatios, por lo que probablemente los encontraremos en los ultraligeros y los ordenadores portátiles más compactos. El TDP nominal de los chips de la serie U asciende hasta los 15 vatios (con la única excepción de los 28 vatios del modelo Intel Core i7-1068G7), por lo que son los procesadores destinados a los ordenadores portátiles que deben ofrecernos un rendimiento tan alto como sea posible, pero manteniendo el consumo bajo control.

Por otro lado, los chips Intel Core i7 e i5 tienen cuatro núcleos físicos y son capaces de procesar simultáneamente ocho hilos de ejecución (threads), mientras que los Core i3 se conforman con dos núcleos físicos y cuatro hilos. En lo que concierne a la lógica gráfica solo los modelos más ambiciosos incorporan la nueva implementación Iris Plus (podéis identificarlos en la imagen que tenéis un poco más arriba). Y, por último, la caché de nivel 3 oscila entre los 8 MB de los chips Core i7 de las series Y y U, y los 4 MB de los Core i3.

Los primeros ordenadores equipados con estos microprocesadores comenzarán a llegar al mercado durante las próximas semanas, por lo que a partir de ese momento comprobaremos cómo rinden tanto frente a los anteriores microprocesadores Intel Core como a las últimas soluciones Ryzen de tercera generación de AMD. No cabe duda de que nos esperan unos meses emocionantes si nos ceñimos al mercado de los microprocesadores.



Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco Systems acordó pagar $ 8.6 millones para resolver una demanda que acusó a la compañía de vender a sabiendas un sistema de videovigilancia que contiene vulnerabilidades de seguridad severas a las agencias gubernamentales federales y estatales de los Estados Unidos.

Se cree que es el primer pago en un caso de ' Ley de Reclamaciones Falsas ' por incumplimiento de los estándares de seguridad cibernética.

La demanda comenzó hace ocho años, en el año 2011, cuando el subcontratista de Cisco se convirtió en denunciante, James Glenn, acusó a Cisco de continuar vendiendo una tecnología de videovigilancia a las agencias federales, incluso después de saber que el software era vulnerable a múltiples fallas de seguridad.

Según los documentos judiciales vistos por The Hacker News, Glenn y uno de sus colegas descubrieron múltiples vulnerabilidades en CiscoLa suite Video Surveillance Manager (VSM) en septiembre de 2008 e intentó informarlos a la compañía en octubre de 2008.

La suite Cisco Video Surveillance Manager (VSM) permite a los clientes administrar múltiples cámaras de video en diferentes ubicaciones físicas a través de un servidor centralizado, al que se puede acceder de forma remota.

Según los informes, las vulnerabilidades podrían haber permitido que los piratas informáticos remotos obtuvieran acceso no autorizado al sistema de videovigilancia de forma permanente, lo que eventualmente les permitiría acceder a todas las fuentes de video, a todos los datos almacenados en el sistema, modificar o eliminar fuentes de video y eludir las medidas de seguridad.


Aparentemente, Net Design, el contratista de Cisco donde Glenn trabajaba en ese momento, lo despidió poco después de informar sobre las violaciones de seguridad de Cisco, que la compañía describió oficialmente como una medida de reducción de costos.

Sin embargo, en 2010, cuando Glenn se dio cuenta de que Cisco nunca solucionó esos problemas ni notificó a sus clientes, informó a la agencia federal de EE. UU., Que luego lanzó una demanda alegando que Cisco había defraudado a los gobiernos federales, estatales y locales de EE. UU. Que compraron el producto.

Cisco, directa e indirectamente, vendió su traje de software VSM a departamentos de policía, escuelas, tribunales, oficinas municipales y aeropuertos, así como a muchas agencias gubernamentales, incluido el Departamento de Seguridad Nacional de los EE. UU., El Servicio Secreto, la Armada, el Ejército, el Aire Force, el Cuerpo de Marines y la Agencia Federal para el Manejo de Emergencias (FEMA).

"Cisco ha sabido de estas fallas críticas de seguridad durante al menos dos años y medio; no ha notificado a las entidades gubernamentales que han comprado y continúan usando VSM de la vulnerabilidad", indica la demanda.

"Así, por ejemplo, un usuario no autorizado podría cerrar efectivamente un aeropuerto completo al tomar el control de todas las cámaras de seguridad y apagarlas. Alternativamente, tal hacker podría acceder a los archivos de video de una gran entidad para ocultar o eliminar evidencia de robo en video o espionaje ".

Después de que se presentó la demanda, la compañía reconoció las vulnerabilidades (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) y lanzó una versión actualizada de su demanda de software VSM.
Como parte de la demanda, Cisco finalmente acordó pagar $ 8.6 millones en el acuerdo, de los cuales Glenn y sus abogados recibirán $ 1.6 millones y el resto $ 7 millones para el gobierno federal y los 16 estados que compraron el producto afectado.

En respuesta al último acuerdo, Cisco emitió una declaración oficial el miércoles diciendo que estaba "complacido de haber resuelto" la disputa de 2011 y que "no hubo ninguna acusación o evidencia de que se produjo un acceso no autorizado al video de los clientes" como resultado de su VSM La arquitectura del traje.

Sin embargo, la compañía agregó que las transmisiones de video podrían "teóricamente haber sido objeto de piratería", aunque la demanda no ha afirmado que nadie haya explotado las vulnerabilidades descubiertas por Glenn.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La privacidad siempre es un motivo de preocupación en aplicaciones de mensajería, sobre todo si está Facebook de por medio, empresa de sobra conocida por los varios escándalos acaecidos en los últimos años en torno a la seguridad de sus aplicaciones y a los datos de sus usuarios.

Por eso es especialmente preocupante la noticia que llega desde esta compañía, que al parecer se estaría planteando muy seriamente establecer un control mucho más férreo sobre los mensajes que se envían por WhatsApp, aplicación de su propiedad.

Según señala Forbes, WhatsApp y sus mensajes pasarán por un escaneo completo por parte de Facebook antes de que dichos mensajes sean enviados a su destinatario. De esta forma, dicen, quieren evitar violaciones de los términos de uso.

El problema es que supuestamente los mensajes de WhatsApp van cifrados y son completamente privados, de forma que de salir adelante este cambio, sería Facebook quien estaría violando los propios términos y condiciones de uso de su aplicación.

Al introducir un control intermedio entre el envío y la recepción, pondría en bandeja a sus moderadores la capacidad de decisión sobre qué mensajes merecen la pena ser leídos y moderados y cuáles no.

Se trataría de un algoritmo el encargado de decidir qué mensajes son peligrosos potencialmente para enviarlos a revisión a la compañía.

El terrorismo, en el punto de mira

Pese a que Facebook se ha negado a hacer comentarios al respecto, por lo que se extrae del artículo original de Forbes, se trata de una medida que tiene como intención poner coto al terrorismo y la difusión de otros contenidos a través de WhatsApp, como por ejemplo la pornografía infantil.

Es una loable intención, aunque tiene un problema básico y fundamental: este nuevo filtrado vía algoritmo y revisión de los mensajes anula prácticamente al completo el cifrado.

Es cierto que terceras personas no podrán interceptar tráfico de WhatsApp y descifrar los mensajes, pero en la práctica supone que el texto deja de ser completamente privado, si es que alguna vez lo ha sido, aunque esa es otra cuestión.

Cuando se aplique esta novedad en WhatsApp, seguramente habrá quien prefiera dar el salto a otras apps de mensajería alternativa, como por ejemplo Signal o directamente Telegram.



Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

The Khronos Group es el grupo que gestiona algunas de las APIs de código abierto más importantes, como ya deberías saber. Entre ellas está OpenCL, OpenGL, Vulkan, etc. Pero la noticia que nos interesa ahora es sobre otra API bastante más reciente, me estoy refiriendo a OpenXR. Pues bien, ahora han lanzado una nueva versión OpenXR 1.0 de esta especificación para unificar el mundo de la realidad virtual y la realidad aumentada.

Para los que aún no conozcan OpenXR, decir que agrega algo más que una API para los desarrolladores de apps de este tipo, ya que también ha sido implementada para proporcionar una capa de controladores para el hardware destinado a la realidad virtual y a la realidad aumentada, presentando una interfaz de abstracción con el propio dispositivo. Y para ello cuenta con colaboradores de la talla de AMD, ARM, Collabora, Google, Epic Games, HP, HTC, Huawei, Imagination Technology, Intel, LG, Logitech, MediaTek, Microsoft, Mozilla, Nokia, NVIDIA, Oculus, Qualcomm, Razer, Samsung, Sony, VIA, etc.

OpenXR brinda varias posibilidades para interactuar con la VR y la AR. Cada vez se están convirtiendo en algo más común y utilizado para diversos fines, tanto simulaciones, como videojuegos y otras aplicaciones. Por eso es importante contar con una API común en la industria y de código abierto para tratar con la realidad virtual y la realidad aumentada. Ahora, con OpenXR 1.0 se han agregado interesantes mejoras y soporte para Valve, AMD, NVIDIA, Epic Games, ARM, Oculus, HTC, Microsoft y más.

Esto es importante también para el gaming en Linux, ya que afectará de forma indirecta a él. Epic Games ya dijo que están planteándose la compatibilidad con OpenXR 1.0 en Unreal Engine, lo mismo que parece que está haciendo Valve y SteamVR. Además, ahora, como ya hemos comentado, Collabora está trabajando en Monado, el XR runtime de código abierto para Linux.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace justo dos semanas, KDE Community lanzó la versión v4.2.3 de Krita, una versión que corregía un total de 29 fallos e añadía la posibilidad de girar capas con un doble toque en el panel táctil. Hoy, KDE ha lanzado Krita 4.2.4, otra versión de mantenimiento, pero que corrige menos fallos que la anterior. Sus desarrolladores dicen que hay más correcciones en camino, pero éstas llegarán ya junto al próximo Krita 4.2.5 que será lanzado el próximo 14 de agosto.

En cuanto a números, Krita 4.2.4 introduce un total de 16 cambios, 14 de ellos marcados como "bug". Entre los cambios que no han marcado como bug tenemos una corrección en el selector de color que hace posible que el color de fondo sea transparente o que se ha reparado la referencia del nombre de archivo para los perfiles Rec.709. De hecho, los 16 cambios son correcciones de errores, pero los dos que no están marcados como tal no tenían expediente abierto.

Novedades incluidas en Krita 4.2.4

- Ahora se permite el uso de puntos en los nombres de archivo (hay que tener en cuenta que eso podría confundir al sistema operativo).

- Se ha corregido la regresión en el sensor de suavidad en la punta del pincel automático del círculo predeterminado.

- Ahora se pueden borrar los puntos sobrantes en la herramienta de línea en cada uso para que no haya falsos comienzos.

- Ya no restablece la opacidad a cero al mover más de una forma a la vez.

- Ya no se ignora la rotación en el motor del brochas.

- Se corrigió la deriva del cursor cuando se usa panorámica/zoom/rotación.

- Solucionado un bloqueo al crear una imagen RGB después de que el último modelo de color utilizado fuera CMYK.

- Ahora se puede usar el filtro de importación/exportación de imágenes QImageIO de Qt para archivos PPM en lugar de nuestra propia implementación rota.

- Se corrigió la actualización del tamaño del pincel en la barra de herramientas mediante accesos directos o arrastre.

- Ahora se puede hacer que los nombres de gradiente generados sean traducibles

- Solucionado un bloqueo que podría ocurrir al cerrar Krita después de eliminar una sesión.

- Corregido un error en el selector de color que hacía posible que el color de primer plano activo fuera transparente.

- Solucionado un error lógico en el complemento de imagen separada.

- Actualizadas las notas para el perfil de color LargeRGB.

- Arreglada la referencia de nombre de archivo para los perfiles Rec.709.

- Añadida una solución alternativa para la afirmación KisShortcutsMatcher.

Ya disponible para Windows, macOS y Linux

- Krita 4.2.4 ya está disponible para Windows, macOS y Linux. Lo que descargaremos los usuarios de Linux  es la AppImage del programa, pero también tenemos disponibles la versión Flatpak, la versión Snap (aún por actualizar), el repositorio de Ubuntu y la versión para Gentoo.


Vía: .linuxadictos.com

Una "prueba" de Netflix solicita permisos para saber si estás caminando o corriendo mientras utilizas la app.

En los últimos años, tanto Android como iOS han ido mejorando la manera en que las aplicaciones solicitan permisos para acceder a ciertos datos o cómo utilizan algunos sensores del dispositivo.

Ahora, cuando ejecutamos por primera vez una app, nos preguntarán si queremos concederle permiso para acceder a cierta información. Eso puede ocasionar situaciones un tanto extrañas, como que Netflix quiera conocer tu actividad física.

Todo es parte de una "prueba"

Hace unos días, un investigador de seguridad publicó un tweet con una captura de pantalla de su dispositivo con Android. Como podemos ver, la app de Netflix le pide permiso para acceder a los sensores que controlan nuestra actividad física:



Un periodista en The Next Web asegura que lo comprobó en su Pixel 3XL y que este permiso lo tiene activado sin ningún aviso previo, y asegura que "es bastante extraño que un servicio de streaming quiera saber si estás caminando o corriendo".

Yo he revisado los ajustes en mi Galaxy S8 y no aparece este permiso activado (a partir de Android Q los desarrolladores pueden solicitar si estás en movimiento cuando estás utilizando sus apps).

"Android Q introduce un nuevo permiso ACTIVITY_RECOGNITION de tiempo de ejecución para las apps que necesitan detectar el recuento de pasos del usuario o clasificar su actividad física, como cuando camina, anda en bicicleta o está en un vehículo. Está diseñado para darles a los usuarios mayor visibilidad sobre cómo se usan los datos del sensor del dispositivo en Configuración".

Lo cierto es que es bastante llamativo que Netflix quiera saber qué tipo de actividad física estás realizando, cuando la mayoría consumimos su contenido estando quietos.

Un representante de Netflix ha contestado al periodista de The Next Web, asegurando que están "continuamente probando maneras de dar a nuestros miembros una mejor experiencia". Al parecer, todo se trata de una "prueba":

"Esto fue parte de una prueba para ver cómo podemos mejorar la calidad de reproducción de vídeo cuando un miembro está en movimiento.

Sólo algunas cuentas están en la prueba, y actualmente no tenemos planes para implementarlo".

Como vemos, ese sería el principal motivo por el cual sólo han solicitado este permiso a algunos usuarios. No queda claro cómo quiere utilizar Netflix esta información (quizás para almacenar en el buffer la mayor cantidad de datos y que no se corte la reproducción), y tendremos que esperar para saber si lo acaban implementando de manera oficial.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pack de contraseñas: así es el último servicio que ofrecen los piratas informáticos en foros de la Deep Web.


Al navegar por la red nuestros datos corren peligro si no tomamos las medidas adecuadas. Podemos encontrarnos con alguna variedad de malware o ataque Phishing, por ejemplo, que podrían robar nuestras credenciales y acabar a la venta en foros de Internet. En este artículo nos hacemos eco del último servicio que ofrecen los piratas informáticos en foros de la Deep Web: pack de contraseñas robadas. Vamos a explicar en qué consiste y, lo más importante, cómo evitar ser víctimas de este problema.

Los ciberdelincuentes ofrecen pack de contraseñas en foros de la Deep Web

Hasta ahora hemos visto que en foros clandestinos de Internet es posible encontrar contraseñas de usuarios de redes sociales, cuentas bancarias, correo electrónico... Una gran variedad de opciones.

Sin embargo según un grupo de investigadores de seguridad de Photon, los piratas informáticos ahora venden pack o listas combinadas de contraseñas de los usuarios. Lógicamente tiene un valor añadido. De esta forma no solo ofrecen una cuenta de correo, red social o algo en concreto, sino que permiten al comprador obtener una lista variada de claves.

Ofrecen incluso suscripciones mensuales por unos 50 euros que permiten acceder a una lista de contraseñas por un mes. De esta forma podrían tener el control de cuentas muy variadas, como pueden ser juegos online, cuentas de correos, etc. Esto hace que la forma de actuar cambie. Antes un pirata informático podía ofrece una cuenta en concreto o incluso una lista de varias cuentas. Ahora este proceso se automatiza, ya que el comprador tiene que registrarse y tener una cuenta, comprar tokens y, gracias a ello, poder acceder a ese pack de claves.

Lógicamente el modo de uso de estos pack de contraseñas puede ser muy variado. Podría dar lugar a tener un control total sobre las cuentas bancarias de una víctima, por ejemplo. También acceder a sus redes sociales, e-mail... Cualquier cosa que esté a la venta.


Cómo roban las contraseñas y qué hacer para evitarlo

Los piratas informáticos utilizan diferentes métodos para robar las contraseñas y tener el control sobre esas cuentas. Pueden utilizar troyanos, por ejemplo. También llevar a cabo ataques Phishing y de ingeniería social. Por ello el sentido común de los usuarios juega un papel fundamental.

Es importante tener en cuenta una serie de consejos para evitar que nuestras contraseñas acaben en alguno de estos pack que mencionamos. Es vital mantener nuestro sistema libre de amenazas y perfectamente actualizado. Por un lado necesitamos contar con software de seguridad. Un buen antivirus puede prevenir la entrada de amenazas. Pero también es importante que el equipo esté actualizado correctamente. Solo así podremos corregir las posibles vulnerabilidades que son aprovechadas por los ciberdelincuentes.

Por otra parte la seguridad de nuestras claves es fundamental. Es muy importante que siempre utilicemos contraseñas únicas, ya que si por algún motivo averiguan la clave de una cuenta, podría producirse un efecto dominó y acabar afectando al resto. Esta contraseña tiene que ser totalmente aleatoria y contener letras (mayúsculas y minúsculas), números y otros caracteres especiales.

Hay que evitar siempre introducir datos personales. También es recomendable actualizar la clave de forma periódica y utilizar gestores de contraseñas para administrarlas mejor.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad cibernética de Google finalmente han revelado detalles y exploits de prueba de concepto para 4 de cada 5 vulnerabilidades de seguridad que podrían permitir a los atacantes remotos apuntar a dispositivos Apple iOS simplemente enviando un mensaje creado maliciosamente a través de iMessage.

Samuel Groß y Natalie Silvanovich de Google Project Zero, que la compañía parchó la semana pasada con el lanzamiento de la última actualización de iOS 12.4 , informaron de manera responsable a Apple sobre todas las vulnerabilidades, que no requerían ninguna interacción del usuario .

Cuatro de estas vulnerabilidades son problemas de "interacción sin uso" después de uso y daños en la memoria que podrían permitir a los atacantes remotos lograr la ejecución de código arbitrario en los dispositivos iOS afectados.

Sin embargo, los investigadores aún han publicado detalles y exploits para tres de estas cuatro vulnerabilidades críticas de RCE y mantuvieron una (CVE-2019-8641) privada porque la última actualización del parche no abordó por completo este problema.

La quinta vulnerabilidad (CVE-2019-8646), una lectura fuera de los límites, también se puede ejecutar de forma remota simplemente enviando un mensaje con formato incorrecto a través de iMessage. Pero en lugar de la ejecución del código, este error permite al atacante leer el contenido de los archivos almacenados en el dispositivo iOS de la víctima a través de la memoria filtrada.

A continuación, puede encontrar detalles breves, enlaces al aviso de seguridad y vulnerabilidades de PoC para las cuatro vulnerabilidades:

- CVE-2019-8647 (RCE a través de iMessage): esta es una vulnerabilidad sin uso que reside en el marco de Core Data de iOS que puede causar la ejecución de código arbitrario debido a la deserialización insegura cuando se usa el método NSArray initWithCoder.

- CVE-2019-8662 (RCE a través de iMessage): esta falla también es similar a la vulnerabilidad anterior de uso libre y reside en el componente QuickLook de iOS, que también se puede activar de forma remota a través de iMessage.

- CVE-2019-8660 (RCE a través de iMessage): este es un problema de corrupción de memoria que reside en el marco Core Data y el componente Siri, que si se explota con éxito, podría permitir a los atacantes remotos causar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

- CVE-2019-8646 (Lectura de archivos a través de iMessage): esta falla, que también reside en los componentes iOS Siri y Core Data, podría permitir a un atacante leer el contenido de los archivos almacenados en dispositivos iOS de forma remota sin interacciones del usuario, como usuario móvil con sin caja de arena.

Además de estas 5 vulnerabilidades, Silvanovich también publicó la semana pasada detalles y una vulnerabilidad de PoC para otra vulnerabilidad de lectura fuera de límites que también permite a los atacantes remotos perder memoria y leer archivos desde un dispositivo remoto.

a vulnerabilidad, asignada como CVE-2019-8624 , reside en el componente Digital Touch de watchOS y afecta a Apple Watch Series 1 y posterior. Apple ha solucionado el problema este mes con el lanzamiento de watchOS 5.3.

Dado que las vulnerabilidades de prueba de concepto para estas seis vulnerabilidades de seguridad ahora están disponibles para el público, se recomienda a los usuarios que actualicen sus dispositivos Apple a la última versión del software lo antes posible.

Además de las vulnerabilidades de seguridad, las tan esperadas actualizaciones de iOS 12.4 para iPhone, iPad y iPod touch también presentaron algunas características nuevas, incluida la capacidad de transferir datos de forma inalámbrica y migrar directamente desde un iPhone antiguo a un nuevo iPhone durante la configuración.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los gigantes de la web definitivamente están atravesando un período de agitación violenta. Hace solo un mes, se informó que los senadores estadounidenses habían presentado un proyecto de ley para obligar a las empresas de tecnología a revelar el valor neto de los datos personales a los usuarios que recogen en ellos.

Poco antes, un juez del Tribunal de la Cancillería de Delaware ordenó a la compañía de Mark Zuckerberg divulgar a los accionistas información y documentos sobre cómo se procesan, protegen y explotan los datos personales de los usuarios.

Estos dos eventos aparentemente aislados son, de hecho, solo enlaces en una cadena nacida de la pérdida generalizada de confianza en la capacidad de los titanes de la web para proteger los datos de los usuarios que recopilan.

Otro evento que sucede a los dos primeros en un período de tiempo relativamente corto es la amenaza que se cierne sobre la gran tecnología, especialmente Facebook y Google en particular, en Australia.

De hecho, tras una encuesta realizada durante un año y medio en las dos compañías, la Comisión Australiana de Competencia y Consumidores (ACCC), la Comisión concluyó la necesidad de un regulador reforzado, con poder para controlar el funcionamiento de Google y Facebook.

Pues en la Comisión se cree que debería ser capaz de "controlar de forma proactiva" si los algoritmos de los gigantes de la tecnología están ahogando la competencia. Las dos compañías podrían verse obligadas a revelar muy pronto todos los secretos de los algoritmos que hicieron su éxito.

Lo cual, en sí mismo, podría ser un ejercicio profundamente desagradable tanto para Google como para Facebook, ya que ambos son conocidos por mantenerse en silencio el en torno a los detalles de cómo funcionan sus algoritmos. Si se implementa, las recomendaciones del informe de ACCC serían una de las regulaciones menos indulgentes del mundo.

Sin embargo, los medios por los cuales las autoridades australianas planean diseccionar los algoritmos de Google y Facebook para evaluar su impacto en la competencia siguen siendo un misterio. Por otro lado, el informe recomienda la creación de una nueva organización dentro de la ACCC.

Esta sería una "Subdivisión de Plataformas Digitales" que monitorearía proactivamente el comportamiento de las plataformas digitales e investigaría el comportamiento potencialmente anticompetitivo de las plataformas digitales.

Entonces, para permitir que esta vigilancia se realice sin problemas y, sobre todo, para ser realmente eficiente, el informe recomienda que el gobierno australiano inicie una investigación pública destinada a obligar a las empresas a revelar toda la información que necesitan para comprender cómo funcionan. internamente.

"A ACCC también le preocupa la gran cantidad y diversidad de datos recopilados por plataformas digitales como Google y Facebook sobre los consumidores australianos, que van más allá de los datos que los usuarios proporcionan activamente cuando los usan plataformas digitales "

La comisión también examinó el caso de noticias falsas por el que abogó por la adopción de un nuevo código de conducta al que todas las plataformas digitales estarían sujetas con más de un millón de usuarios mensuales.

Y, finalmente el informe del regulador australiano obviamente está de vuelta en la tendencia recurrente de Google de colocar sus propios servicios como servicios predeterminados en millones de dispositivos Android.

Recomendó que se requiera que la compañía de Silicon Valley ofrezca a los usuarios australianos la opción de elegir si, por ejemplo, quieren usar Google Chrome de manera predeterminada o no.

Según el Wall Street Journal, un representante de Google dijo que la compañía "se involucraría con el gobierno con recomendaciones".

La respuesta de Facebook aún se espera, informa el periódico. Lo que no esperó, son las opiniones de los internautas. La tendencia es bastante unánime en sus filas.

En su mayor parte, piensan que este informe es solo otro esfuerzo de regulación que no conducirá a nada, ya que las autoridades australianas no tienen, en su opinión, una forma real de obligar a Google y Facebook a revelar los algoritmos reales.

Para ellos, las dos compañías podrían dar a las autoridades australianas 10 años de algoritmos que solo verían disparar.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han descubierto casi una docena de vulnerabilidades de día cero en VxWorks, uno de los sistemas operativos en tiempo real (RTOS) más utilizados para dispositivos integrados que alimenta más de 2 mil millones de dispositivos en la industria aeroespacial, defensa, industrial, médica, automotriz, electrónica de consumo. , redes y otras industrias críticas.

Según un nuevo informe que los investigadores de Armis compartieron con The Hacker News antes de su lanzamiento, las vulnerabilidades se denominan colectivamente como URGENT / 11, ya que son 11 en total, 6 de las cuales son de gravedad crítica y provocan ataques cibernéticos 'devastadores'.
Armis Labs es la misma compañía de seguridad de IoT que descubrió previamente las vulnerabilidades de BlueBorne. en el protocolo Bluetooth que impactó a más de 5.3 mil millones de dispositivos, desde Android, iOS, Windows y Linux hasta Internet de las cosas (IoT).

Estas vulnerabilidades podrían permitir a los atacantes remotos eludir las soluciones de seguridad tradicionales y tomar el control total sobre los dispositivos afectados o "causar interrupciones en una escala similar a la resultante de la vulnerabilidad EternalBlue ", sin requerir ninguna interacción del usuario, dijeron los investigadores a The Hacker News.

Es probable que muchos de ustedes nunca hayan oído hablar de este sistema operativo, pero Wind River VxWorks se está utilizando para ejecutar muchas cosas cotidianas de Internet, como su cámara web, conmutadores de red, enrutadores, firewalls, teléfonos VOIP, impresoras y productos de videoconferencia, así como semáforos.

Además de esto, VxWorks también está siendo utilizado por sistemas de misión crítica que incluyen SCADA, trenes, elevadores y controladores industriales, monitores de pacientes, máquinas de resonancia magnética, módems satelitales, sistemas WiFi en vuelo e incluso los rovers de Marte.

URGENTE / 11 ⁠— Vulnerabilidades en VxWorks RTOS

Las vulnerabilidades URGENT / 11 reportadas residen en la pila de red IPnet TCP / IP del RTOS que se incluyó en VxWorks desde su versión 6.5, aparentemente dejando a todas las versiones de VxWorks lanzadas en los últimos 13 años vulnerables a ataques de toma de control de dispositivos.


Las 6 vulnerabilidades críticas permiten a los atacantes desencadenar ataques de ejecución remota de código (RCE), y las fallas restantes podrían conducir a la denegación de servicio, fugas de información o fallas lógicas.

Fallas críticas de ejecución remota de código:

- Desbordamiento de pila en el análisis de las opciones de IPv4 (CVE-2019-12256)

- Cuatro vulnerabilidades de corrupción de memoria derivadas del manejo erróneo del campo de puntero urgente de TCP (CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263)

- Desbordamiento de pila en el análisis de la oferta DHCP / ACK en ipdhcpc (CVE-2019-12257)

DoS, fuga de información y fallas lógicas:

- Conexión TCP DoS a través de opciones TCP mal formadas (CVE-2019-12258)

- Manejo de respuestas ARP inversas no solicitadas (falla lógica) (CVE-2019-12262)

- Defecto lógico en la asignación de IPv4 por el cliente DHCP ipdhcpc (CVE-2019-12264)

- DoS a través de la anulación de referencia NULL en el análisis IGMP (CVE-2019-12259)

- Fuga de información IGMP a través del informe de membresía específico IGMPv3 (CVE-2019-12265)

Todos estos defectos pueden ser explotados por un atacante remoto no autenticado simplemente enviando un paquete TCP especialmente diseñado a un dispositivo afectado sin requerir ninguna interacción del usuario o información previa con respecto al dispositivo objetivo.

Sin embargo, cada versión de VxWorks desde 6.5 no es vulnerable a los 11 defectos, pero al menos un defecto crítico de RCE afecta a cada versión del sistema operativo en tiempo real.

"VxWorks incluye algunas mitigaciones opcionales que podrían hacer que algunas de las vulnerabilidades URGENT / 11 sean más difíciles de explotar, pero estas mitigaciones rara vez son utilizadas por los fabricantes de dispositivos", dicen los investigadores.

Los investigadores de Armis creen que los defectos de URGENT / 11 podrían afectar también a los dispositivos que utilizan otros sistemas operativos en tiempo real, ya que IPnet se utilizó en otros sistemas operativos antes de su adquisición por VxWorks en 2006.

¿Cómo pueden los atacantes remotos explotar los defectos de VxWorks?

La explotación de las vulnerabilidades de IPnet de VxWorks también depende de la ubicación de un atacante y el dispositivo vulnerable objetivo; después de todo, los paquetes de red del atacante deberían llegar al sistema vulnerable.


Según los investigadores, la superficie de amenaza de defectos URGENTES / 11 se puede dividir en 3 escenarios de ataque, como se explica a continuación:

Escenario 1: atacar las defensas de la red

Dado que VxWorks también alimenta dispositivos de red y seguridad como conmutadores, enrutadores y cortafuegos a los que generalmente se puede acceder a través de Internet pública, un atacante remoto puede lanzar un ataque directo contra dichos dispositivos, tomando el control completo sobre ellos y, posteriormente, sobre las redes detrás ellos.


Por ejemplo, hay más de 775,000 firewalls SonicWall conectados a Internet en el momento de la escritura que ejecuta VxWorks RTOS, según el motor de búsqueda Shodan.



Escenario 2: Atacar desde fuera de la red sin pasar por la seguridad


Además de apuntar a dispositivos conectados a Internet, un atacante también puede intentar apuntar a dispositivos IoT que no están conectados directamente a Internet pero que se comunican con su aplicación basada en la nube protegida detrás de un firewall o solución NAT.


Según los investigadores, un atacante potencial puede usar el malware de cambio de DNS o ataques de hombre en el medio para interceptar la conexión TCP de un dispositivo objetivo a la nube y lanzar un ataque de ejecución de código remoto.

Escenario 3: Atacar desde dentro de la red

En este escenario, un atacante que ya se ha posicionado dentro de la red como resultado de un ataque previo puede lanzar ataques contra dispositivos alimentados por VxWorks afectados simultáneamente, incluso cuando no tienen conexión directa a Internet.

"Las vulnerabilidades en estos dispositivos no administrados y de IoT se pueden aprovechar para manipular datos, alterar los equipos del mundo físico y poner en riesgo la vida de las personas", dijo Yevgeny Dibrov, CEO y cofundador de Armis.
"Un controlador industrial comprometido podría cerrar una fábrica, y un monitor de paciente pwned podría tener un efecto potencialmente mortal".
"Según el conocimiento de ambas compañías, no hay indicios de que las vulnerabilidades URGENT / 11 hayan sido explotadas".

Sin embargo, los investigadores también confirmaron que estas vulnerabilidades no afectan otras variantes de VxWorks diseñadas para la certificación, como VxWorks 653 y VxWorks Cert Edition.
Armis informó estas vulnerabilidades a Wind River Systems de manera responsable, y la compañía ya notificó a varios fabricantes de dispositivos y lanzó parches para abordar las vulnerabilidades el mes pasado.

Mientras tanto, los proveedores de productos afectados también están en el proceso de lanzar parches para sus clientes, lo que los investigadores creen que llevará tiempo y será difícil, como suele ser el caso cuando se trata de IoT y actualizaciones críticas de infraestructura. SonicWall y Xerox ya han lanzado parches para sus dispositivos de firewall e impresoras, respectivamente.



Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login