Buenas,
haber si podéis echarme un cable que estoy en un mar de dudas.
Acabo de terminar un ciclo de grado superior de ASIR y me gustaría hacer certificaciones y no se por donde empezar ni si hacerlas presencialmente o online. Estoy interesado en CCNA, en las certificaciones de Linux (LPI Institute) y Python. No se de muchos sitios donde den este material de manera presencial y online veo mucho material en udemy, coursera, netacad, etc. Haber si alguien me puede aconsejar que camino tomar porque hay cursos que son carísimos de Linux o CCNA por ejemplo de 1000 euros y otros de mas de 1000 y es una barbaridad como por ejemplo he visto en PUE, clouftic y alguno mas. O si alguien puede recomendarme otro camino que me lo aconseje por favor. Universidad no me atrae ya que prefiero dedicarme a cosas en concreto en el mundo de la informática y no quiero perder mucho tiempo.
Un saludo.

Desde el inicio de los tiempos, todos nuestros profesores y colegas nos guiaron con la frase de que no existe un lenguaje de programación que sea omnipotente, sino más bien que cada uno sirve para diferentes propositos y tiene sus fortalezas y debilidades.

Dependiendo de la situación, el tamaño del proyecto, los tiempos, etc... podes hacer uso de herramientas y técnicas más modernas como de las más antiguas. En mi caso, yo suelo usar PHP para pequeños proyectos por costumbre y, si veo la necesidad, suelo agregar frameworks como Laravel o herramientas como Composer para sumar funcionalidades y obtener un mayor orden en el código. Conociendo de alternativas como Node.js y su infinidad de modulos o React y su capacidad de deploy en multiples plataformas.

Y si hablamos de backend puro; Python tiene un gran fuerte en el analisis de datos como .Net es excelente para desarrollar aplicaciones comerciales robustas y escalables.

Cada vez tenemos más opciones a la hora de elegir una plataforma de vídeo vía streaming y disfrutar de nuestras películas, series y documentales a la carta. Quizá una de las más populares en todo el mundo sea Netflix, aunque últimamente se ha rodeado bastante de polémica debido a las cuentas compartidas.

En el caso de que seáis clientes de esta propuesta streaming, seguramente ya sois conscientes del bloqueo ejercido con las cuentas compartidas fuera del hogar. Esta es una medida que ha generado mucha controversia y una buena huida de clientes tras las restricciones para compartir cuentas en multitud de países. Esto es algo contrario a lo que sucede con otras alternativas de la competencia que permiten llevar a cabo este tipo de tareas.

Evidentemente con estos cambios lo que Netflix en un principio pretende es ganar clientes que paguen por su propia suscripción. Todo ello eliminando las cuentas compartidas entre varios. Lo que no sabemos es si más tarde o más temprano esta es una medida que llegará a otros servicios online similares. Os contamos todo esto porque parece que otro de los gigantes del sector como es Amazon con su Prime Video, también se suma a esta medida.

La afirmación viene dada debido a la respuesta en redes sociales del gigante del comercio electrónico a una publicación de Netflix por estos bloqueos. La compañía de la gran N hizo una publicación rechazando el uso compartido de cuentas en Alemania, y Amazon parece ser que respaldó esta decisión. Por tanto, se podría traducir en que el servicio mencionado de Prime Video podría recibir un sistema de restricciones similar, pronto.

Amazon apoya el bloqueo de cuentas compartidas

Desde el punto de vista de estas plataformas de vídeo, compartir cuentas entre varios usuarios es una pérdida importante de beneficios. No hace falta decir que de manera paralela los propios usuarios ahorran parte de la suscripción compartiendo su coste. De ahí que con el apoyo que Amazon ha dado a Netflix acerca de su bloqueo de cuentas compartidas fuera del hogar, nos esté intentando decir algo.


La publicación de apoyo a esta medida de bloqueo, Amazon la hizo en la popular red social de Twitter. Sin embargo, poco después eliminó el tweet a pesar del apoyo que recibió. Tal y como vemos en la imagen, el gigante de las compras nos mostraba una selección de perfiles de Amazon Prime Video con el mensaje que se podría traducir como Todo el mundo con su propia contraseña.

Eso sí, debemos tener muy presente que Amazon hasta la fecha no ha hecho ningún comunicado oficial acerca de la publicación en Twitter ni de su eliminación. Con todo y con ello la propia empresa afirma que compartir cuentas está prohibido en las condiciones de su servicio. En concreto en las mismas encontramos que nos dejan claro que son los propios clientes de Amazon Prime Video los responsables de asegurar la confidencialidad de la cuenta y su contraseña. Básicamente podemos traducir que compartir la cuenta y contraseña con terceros viola las políticas de uso de la plataforma de vídeo.

De momento, tal y como ha sucedido recientemente en la mencionada Netflix, el gigante del comercio no ha impuesto ninguna función de bloqueo. De momento tan solo advierte que en sus políticas es de uso deja claro la prohibición de compartir cuentas. Veremos si dadas las circunstancias, en breve no nos encontremos con una característica integrada para restringir este uso, en Amazon Prime Video.

Fuente: Ghacks/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A ver, que Whatsapp los respalde una corporación multinacional es lo mejor que podía pasar, seamos realmente honestos, cuando Whatsapp cobraba solo 1 uss al año era muy raro como subsistía, mantenía sus servidores que realmente eran muy estables y el personal de la empresa, alguna otra forma de ganancia que no sabíamos tenían sin lugar a duda (vendiendo información de usuario sin consentimiento). Facebook es lo que es y nosotros lo seguimos usando, al igual que instagram y un montón de paginas mas que vulneran nuestra privacidad, que seamos honostos, ya esa palabra carece de significado.

Un genioo!! muchas graciias crack

El Python Package Index (PyPI) anunció la semana pasada que cada cuenta que mantenga un proyecto en el repositorio oficial de software de terceros deberá activar la autenticación de dos factores (2FA) para fin de año.

"Entre ahora y fin de año, PyPI comenzará a bloquear el acceso a ciertas funcionalidades del sitio en función del uso de 2FA", dijo el administrador de PyPI, Donald Stufft. "Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para la aplicación temprana".

La aplicación también incluye a los mantenedores de la organización, pero no se extiende a todos los usuarios del servicio.

El objetivo es neutralizar las amenazas planteadas por los ataques de adquisición de cuentas, que un atacante puede aprovechar para distribuir versiones troyanizadas de paquetes populares para envenenar la cadena de suministro de software e implementar malware a gran escala.

PyPI, al igual que otros repositorios de código abierto como npm, ha sido testigo de innumerables casos de malware y suplantación de paquetes.

A principios de este mes, Fortinet FortiGuard Labs descubrió más de 30 bibliotecas de Python que incorporaban varias características para conectarse a URL remotas arbitrarias y robar datos confidenciales de máquinas comprometidas.

El desarrollo se produce casi un año después de que PyPI hiciera obligatoria la 2FA para los mantenedores críticos del proyecto. El registro alberga 457.125 proyectos y 704.458 usuarios.

Según el proveedor de servicios de monitoreo en la nube Datadog, 9,580 usuarios y 4,541 proyectos han sido identificados como críticos, con 2FA habilitado en total para 38,248 usuarios hasta la fecha.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores han descubierto una técnica de ataque de bajo costo que podría aprovecharse para las huellas dactilares de fuerza bruta en los teléfonos inteligentes para eludir la autenticación del usuario y tomar el control de los dispositivos.

El enfoque, denominado BrutePrint, evita los límites establecidos para contrarrestar los intentos fallidos de autenticación biométrica al convertir en armas dos vulnerabilidades de día cero en el marco de autenticación de huellas dactilares de teléfonos inteligentes (SFA).

Las fallas, Cancel-After-Match-Fail (CAMF) y Match-After-Lock (MAL), aprovechan los defectos lógicos en el marco de autenticación, que surgen debido a la protección insuficiente de los datos de huellas dactilares en la interfaz periférica serie (SPI) de los sensores de huellas dactilares.

El resultado es un "enfoque de hardware para realizar ataques man-in-the-middle (MitM) para el secuestro de imágenes de huellas dactilares", dijeron los investigadores Yu Chen y Yiling He en un trabajo de investigación. "BrutePrint actúa como intermediario entre el sensor de huellas dactilares y TEE [Trusted Execution Environment]".

El objetivo, en esencia, es poder realizar un número ilimitado de presentaciones de imágenes de huellas dactilares hasta que haya una coincidencia. Sin embargo, presupone que un actor de amenazas ya está en posesión del dispositivo objetivo en cuestión.

Además, requiere que el adversario esté en posesión de una base de datos de huellas dactilares y una configuración que comprende una placa de microcontrolador y un clicker automático que puede secuestrar los datos enviados por un sensor de huellas dactilares para llevar a cabo el ataque por tan solo $ 15.

La primera de las dos vulnerabilidades que hacen posible este ataque es CAMF, que permite aumentar las capacidades de tolerancia a fallos del sistema al invalidar la suma de comprobación de los datos de la huella digital, dando así a un atacante intentos ilimitados.

MAL, por otro lado, explota un canal lateral para inferir coincidencias de las imágenes de huellas dactilares en los dispositivos de destino, incluso cuando entra en un modo de bloqueo después de demasiados intentos repetidos de inicio de sesión.

"Aunque el modo de bloqueo se verifica aún más en Keyguard para deshabilitar el desbloqueo, el resultado de la autenticación ha sido realizado por TEE", explicaron los investigadores.

"Como el resultado de la autenticación de éxito se devuelve inmediatamente cuando se cumple una muestra coincidente, es posible que los ataques de canal lateral deduzcan el resultado de comportamientos como el tiempo de respuesta y el número de imágenes adquiridas".

En una configuración experimental, BrutePrint se evaluó contra 10 modelos diferentes de teléfonos inteligentes de Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi y vivo, produciendo infinitos intentos en Android y HarmonyOS, y 10 intentos adicionales en dispositivos iOS.

Los hallazgos se producen cuando un grupo de académicos detalló un canal lateral híbrido que aprovecha la "compensación de tres vías entre la velocidad de ejecución (es decir, la frecuencia), el consumo de energía y la temperatura" en los modernos sistemas en chips (SoC) y GPU para llevar a cabo "ataques de robo de píxeles e historial basados en navegador" contra Chrome 108 y Safari 16.2.

El ataque, llamado Hot Pixels, aprovecha este comportamiento para montar ataques de huellas dactilares de sitios web y emplear código JavaScript para recopilar el historial de navegación de un usuario.

Esto se logra diseñando un filtro SVG computacionalmente pesado para filtrar colores de píxeles midiendo los tiempos de renderizado y recolectando sigilosamente la información con una precisión de hasta el 94%.

Los problemas han sido reconocidos por Apple, Google, AMD, Intel, Nvidia, Qualcomm. Los investigadores también recomiendan "prohibir que se apliquen filtros SVG a iframes o hipervínculos" y evitar el acceso sin privilegios a las lecturas de los sensores.

BrutePrint y Hot Pixels también siguen el descubrimiento de Google de 10 defectos de seguridad en las extensiones de dominio de confianza (TDX) de Intel que podrían conducir a la ejecución de código arbitrario, condiciones de denegación de servicio y pérdida de integridad.

En una nota relacionada, las CPU Intel también se han encontrado susceptibles a un ataque de canal lateral que hace uso de las variaciones en el tiempo de ejecución causadas por el cambio del registro EFLAGS durante la ejecución transitoria para decodificar datos sin depender de la memoria caché.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta interesante el post, me sirvió de guia, hace un tiempo quería armar un foro pero dedicado mas a hardware y recomendaciones, pero puse en pausa ese proyecto.
Pero si, tienes razón que se requiere de un equipo y una ruta de que rumbo quieres tomar.

Hay hackers que crean bots con ese objetivo y son muy funcionales. Cobran por ello, y es fácil de encontrar en Telegram.

Por otro lado hay ciertos trucos que si busca en el apartado del Foro Hacking lo encontrará.