Notices by asrafil@pod.geraspora.de (asrafil@pod.geraspora.de), page 12

elementary OS 6 Odin ya está disponible, y se trata de la mayor actualización de la plataforma hasta la fecha, según sus propios creadores. La nueva versión de la distribución Linux es una que llega cargada de novedades y opciones que ofrecen más control al usuario.

Con Odin, elementary OS se planta firmemente como una muy buena opción para usuarios que vengan tanto de Windows como de macOS, con una interfaz amigable y fácil de usar, una buena batería de aplicaciones y bastante más control sobre tu sistema de lo que ofrecen las otras dos plataformas.

Microsoft ha lanzado su actualización habitual del segundo martes de cada mes (Patch Tuesday), y con ella se han corregido 44 vulnerabilidades, siete de las cuales estaban clasificadas como críticas, tres eran zero days, y 37 eran importantes.

Quizás lo más destacado aquí es que finalmente PrintNightmare tiene un parche definitivo. Recordemos que se trata de una vulnerabilidad en el sistema de cola de impresión que afecta a todas las versiones de Windows y que permite a un atacante ejecutar código de forma remota en el sistema con privilegios elevados.

PrintNightmare fue descubierto a finales de junio y Microsoft comenzó a investigar el problema casi de inmediato. Sin embargo, no solo tardaron en ofrecer un parche, sino que fue bastante accidentado su lanzamiento y su eficacia. Con el Patch Tuesday de agosto, finalmente se ha solucionado correctamente.

No es raro sorprenderse uno mismo descubriendo que las tecnologías que forman parte de nuestro día a día fueron en su momento meras alternativas minoritarias a otras, aparentemente más consolidadas, pero que ya no recuerda prácticamente nadie.

Le pasó al VHS (hasta que finalmente barrió del mercado al formato Betamax)… y también le ocurrió lo mismo a la WWW. Pero es probable que no sepas, siquiera, qué tecnología predominaba entonces, antes del auge del 'http://www.'.

Odio cuando los incautos mencionan que «la naturaleza es sabia». No porque se trate de una mentira, sino porque antes que sabia, la naturaleza es muchas otras cosas. «Implacable» me parece un término más apropiado. En el incesante curso de la evolución no existe lugar para los débiles. Quienes no sobreviven adaptándose o aprovechando sus ventajas, son eliminados del juego evolutivo. Su único destino es la muerte, extinción y el olvido.

Hace algunos años, los científicos estudiaron una especie de hongo que afecta particularmente a la cigarra. Hasta ese momento, desconocían los macabros detalles sobre el tema. Este hongo induce en el huésped un frenesí de apareamiento. Simultáneamente, destroza sus genitales y convierte su cuerpo en contenedor de una enfermedad letal que se disemina con el único fin de matar todo aquello que toca.

La máquina de movimiento perpetuo desarrollada por Charles Redheffer supuso un parteaguas en el tema. En el lejano 1812, el “inventor” estadounidense afirmó desarrollar una máquina de funcionamiento imposible. Muchos creían ciegamente en Redheffer y lo consideraban un genio visionario. Sin embargo, para sus detractores no era más que un vil charlatán. Te invitamos a profundizar en esta historia, y averiguar si realmente era un inventor excepcional o un auténtico fraude.

La gente de Pixeltrue, un pequeño estudio de diseño independiente que tiene un buen portafolio de trabajos online y que cada cierto tiempo lanza algunos recursos gráficos que se pueden descargar gratis, ofrece entre estos un gran paquete de ilustraciones animadas de gran calidad.

Es una colección de más de 60 fondos "escénicos" animados creados a partir de monumentos famosos en varios lugares alrededor del mundo. Todas son de uso libre, lo que quiere decir que las puedes usar en proyectos comerciales o personales sin necesidad de atribución.

Los navegadores de internet se han convertido en completos programas repletos de funciones que no paran de crecer y mejorar con el paso del tiempo y las actualizaciones. Entre estos podemos destacar propuestas tales como Firefox, Chrome o Edge de Microsoft.

No hace falta decir que Estas son las aplicaciones que nos permiten movernos por internet de la mejor manera y con relativa seguridad. Pero al mismo tiempo nos proponen una serie de funcionalidades y características que pretenden mejorar nuestra experiencia de usuario. Concretamente en estas líneas nos vamos a centrar en el software que nos ofrece Mozilla para todo ello, nos referimos al mencionado Firefox.

Os decimos todo esto porque la firma de software planea cambiar el comportamiento su navegador en algo tan importante como es la descarga de ficheros. Para que os hagáis una idea planea introducir algunas novedades en lo referente a la apertura de archivos archivos descargados a partir de Firefox 91. En estos momentos, como sucede en la mayoría de los programas de este tipo, los usuarios pueden elegir entre guardar o abrir los archivos que descargan.

Linux tiene la capacidad de ser adaptado para cualquier propósito. Ello hace que tengamos distribuciones de lo más variadas, que van más allá de las típicas para escritorio y servidor que suelen protagonizan este portal. De ahí que tengamos a sistemas como Lakka, una distribución Linux ligera y orientada a convertir un ordenador en una consola de retrogaming.

Lakka, con su enfoque específico, pretende ser un sistema amigable para el usuario al ser fácil de configurar y usar; “poderoso” gracias a que está construido sobre RetroArch, el conocido frontend multiplataforma y software libre para emuladores, videojuegos, motores de videojuegos y reproductores multimedia; de bajo coste gracias a que soporta hardware como Raspberry Pi y otros mini-PC similares: cuenta con soporte para una gran cantidad de mandos por USB; y se trata de un proyecto Open Source (como no) dirigido de forma comunitaria. Está basado en LibreELEC, una distribución orientada a los mediacenters con Kodi.

Recientemente ha aparecido la versión 3.3 de Lakka, que frente a la versión de mantenimiento anterior, ha actualizado RetroArch de la versión 1.9.5 a la 1.9.7, que ha introducido escaneo optimizado de los grandes conjuntos de datos, añadido soporte para mapear múltiples controladores a un solo dispositivo de entrada y mejoras en el uso de los “tipos de analógico a digital”. También se han añadido la posibilidad de habilitar el soporte de secuenciador de MIDI, soporte de Gamecon y en Raspberry Pi se han inhabilitado los modos a 4K

Desde hace ya muchos años Windows es el sistema operativo predominante en la mayoría de los PCs de todo el mundo. Pero al mismo tiempo aunque en minoría, muchos se decantan por instalar en sus equipos algunas de las distribuciones de Linux que tenemos al alcance de la mano.

Gracias para que los desarrolladores de este sistema de código abierto están intentando facilitar su uso, cada vez son más los usuarios que quieren probar un Linux en su PC. Sin embargo tal y como muchos de vosotros ya sabréis, andar instalando y desinstalando sistemas operativos en el ordenador de casa, no es una tarea lo que se podría decir, divertida. Es más, aquellos que normalmente trabajan en Windows con su equipo, es muy probable que no quieran desinstalar este sistema para probar algún Linux.

Precisamente por todo esto que os comentamos, en el caso de que por una razón u otra queréis probar alguna distro sin desinstalar Windows, decir que hay soluciones alternativas. Es en esto en lo que nos vamos a centrar a continuación, por lo que si queréis probar algún Linux antes de instalarlo definitivamente en vuestro PC, estas soluciones que os daremos seguro que os resultarán más que interesantes.

Desde hace ya varias versiones de su sistema operativo, Microsoft nos permite utilizar el subsistema De Windows para Linux. De hecho esta útil funcionalidad con el paso de los meses y las actualizaciones ha ido mejor. Por tanto, los usuarios finales y los administradores de sistemas usan todo ello cada vez más.

Para empezar, os diremos que todos aquellos que quieran instalar el subsistema de Windows para Linux o WSL, en sus equipos, pueden hacerlo. Para lograrlo basta con que ejecuten un único comando en las versiones 2004 y posteriores del propio Windows 10. Llegados a este punto os diremos que Microsoft introdujo esta mejora en las compilaciones Insider allá por el mes de octubre de 2020.

Ahora ha lanzado la mejora en las recientes actualizaciones para las versiones 2004, 20H2 y 21H1 de Windows 10, es decir, en las más recientes versiones del sistema. En concreto la mejora de la que os vamos a hablar aquí se incluye en el parche KB5004296. Se trata de una actualización opcional para las versiones qué os hemos comentado de Windows 10. De esta manera la nueva funcionalidad para WSL se introduce en el mismo día de los parches de agosto de 2021. Esto llegará por tanto el martes día 10 para todos los dispositivos compatibles a través de Windows Update.

A finales de junio Will Schroeder(@harmj0y) y Lee Christensen (@tifkin_) publicaron un excelente paper "Certified Pre-Owned - Abusing Active Directory Certificate Services" en el que destacaba que los servicios de web enrollment de servidores ACDS - aka PKIs de Microsoft - eran vulnerables a NTLM relay (ESC8). Esto sumado a la explotación del servicio spooler MS-RPRN, que fuerza que un controlador de dominio envíe al atacante un hash de autenticación NTLM, podía derivar en una cadena de ataque que podría permitir la obtención de un certificado firmado con todo lo que conlleva: obtención de TGT y game over.

Al menos, no era tan "grave" (por decir algo) porque explotar MS-RPRN requería autenticación previa y se solucionaba parando el servicio. Microsoft volvía a apuntar de nuevo hacia las mitigaciones genéricas contra el relay NTLM y los dos investigadores de Specterops lanzaron también una herramienta para chequear las distintos fallos en ACDS, dejando en el disparadero las herramientas ofensivas para la su charla de este miércoles en Las Vegas... pero los acontecimientos se precipitaron...

Por un lado el francés Lionel Gilles (@topotam77) descubrió que llamando a una función de MS-EFSRPC vía una pipe LSARPC también es posible forzar el envío de un hash NTLM, salvo que esta vez NO es necesario si quiera autenticación y, para más inri, no es posible mitigarlo parando un servicio. Había nacido el f*cking PetitPotam...

Aunque no lo parezca, el software libre tiene soluciones para todo, incluso servidores multimedia. Una de las soluciones más interesantes dentro de ese segmento es Gerbera, que es un servidor de multimedia Universal Plug & Play (UPnP) basado en MediaTomb que permite transmitir medios digitales a través de una red local.

Como bien habrán imaginado algunos, Gerbera permite transmitir vídeos y música a través de una gran variedad de dispositivos, que pueden ser televisores inteligentes, dispositivos de transmisión, consolas de videojuegos e incluso móviles. Es importante tener en cuenta que opera de manera diferente a competidores como Plex, Emby y Subsonic debido a que se limita a acceder a los medios digitales ubicados en los dispositivos del hogar.

Entre sus características básicas, Gerbera cuenta con soporte de navegación y reproducción de multimedia a través de una red local y hacia todo tipo de dispositivos; tiene una interfaz de usuario en formato web y con una vista de árbol de la base de datos y el sistema de ficheros, permitiendo agregar, eliminar, editar y explorar los medios; extracción de metadatos de ficheros MP3, OGG, AAC, M4A, FLAC y JPG; soporte miniaturas; transcodificación de formatos flexible a través de complementos y scripts; diseño del servidor definido por el usuario basado en la extracción de metadatos; además de soporte para URL externas.

Interfaz de usuario de Gerbera

Cuando pensamos en cibercriminales, con frecuencia en nuestra cabeza recurrimos al arquetipo ciberpunk del 'hacker', un experto total en redes y programación. Sin embargo, muchos de los que hacen un uso delictivo de la tecnología no son especialmente competentes en esas disciplinas, sino que se limitan a usar las herramientas que ponen a su disposición aquellos usuarios que sí cuentan con un alto nivel de habilidad.

Antes, la subcultura hacker tenía un nombre para esta clase de usuarios: 'lamers'. Ahora, en los bajos fondos de Internet, se les llama… clientes, pues ahora cualquiera que pague suficiente puede subcontratar un ciberataque.

Es lo que Europol bautizó en 2014 como "Crime-as-a-Service" (CaaS), una expresión basada en el paralelismo con servicios corporativos legítimos como Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) y Infraestructure-as-a-Service (IaaS).

Stack Overflow ha realizado un año más su encuesta mundial para conocer los lenguajes de programación favoritos de los desarrolladores. Como ya sucedió en la encuesta de 2020, Rust vuelve a triunfar e incluso ha sido aún más valorado que en 2020, con un 86,69% de desarrolladores que eligieron Rust como el lenguaje que más "aman".

Ahora bien, aunque Rust sea el lenguaje más "amado", hay otros dos en los que los programadores prefieren trabajar y son Python y Typescript. Esto tiene una sencilla explicación: aunque este 2021 haya sido un gran año para Rust, aún no es tan conocido.

Este ha sido un buen año para Rust. Destaca la creación de la Rust Foundation que busca apoyar el desarrollo del lenguaje de programación y su ecosistema y de la que forman parte directores provenientes de cada una de las empresas fundadoras de Rust (gigantes como Google, Microsoft, Amazon Web Services, Huawei y Mozilla).

Hoy en día, aprender inteligencia artificial casi se ha convertido en sinónimo de aprender a programar en Python. Este lenguaje de programación creado por Guido Van Rossum en 1991 es, con diferencia, el más usado hoy en día en proyectos de inteligencia artificial, sobre todo en el campo del 'machine learning'.

Ayuda a ello, además de su popularidad como lenguaje de programación generalista (y también en campos relacionados, como el análisis de datos) que todas las grandes bibliotecas de IA (Keras, TensorFlow, SciPy, Pandas, Scikit-learn, etc) estén diseñadas para trabajar con Python.

Sin embargo, la inteligencia artificial es mucho más antigua que Python, y hubo otros lenguajes que destacaron en este campo durante décadas antes de su desembarco. Echemos un vistazo a los mismos:

A pesar de arrastrar todavía ciertas carencias, el formato de paquetes Flatpak está mejorando de manera constante y poco a poco se está haciendo un hueco entre los usuarios de GNU/Linux. Dentro del espectro de Fedora, mediante Flathub compite con RPMFusion, ya que ambos repositorios ponen a disposición las mismas aplicaciones para muchos frentes, pero suministradas de forma diferente.

Desde hace muchísimo tiempo, la configuración de RPMFusion ha sido y sigue siendo algo imprescindible para los usuarios de Fedora, sobre todo si se pretende usar el sistema como un escritorio común o para videojuegos. Debido a que Fedora no suministra software privativo más allá del necesario para hacer funcionar el hardware, el usuario tiene que configurar RPMFusion para tener acceso a Steam, el driver oficial de NVIDIA, los códecs privativos y el descompresor UNRAR. El repositorio también pone a disposición aplicaciones Open Source que no son proporcionadas por Fedora, como OBS Studio, Kdenlive, DeaDBeef, Shotcut, SMPlayer y VLC.

Las agencias de inteligencia de Australia, Reino Unido y los EE. UU. publicaron un boletín conjunto que detalla las vulnerabilidades más explotadas en 2020 y 2021, demostrando una vez más cómo los threat actors pueden rápidamente convertir en armas los fallos publicados en su beneficio.

"Los actores continúan explotando vulnerabilidades de software conocidas públicamente, y a menudo anticuadas, contra un amplio conjunto de objetivos, incluidas las organizaciones del sector público y privado en todo el mundo", señalaban la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Centro Australiano de Seguridad Cibernética (ACSC), el El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Oficina Federal de Investigaciones de los Estados Unidos (FBI).

Cada vez más, los desarrolladores recurren a repositorios y gestores de paquetes para gestionar las dependencias de muchos de sus proyectos de programación. Así, los usuarios de NodeJS cuentan con NPM (siglas de 'Node Package Manager'), y los de Python cuentan con varios repositorios, como Conda o PyPI (Python Package Index).

Por desgracia, además de facilitar enormemente la vida a muchos desarrolladores, esta clase de plataformas ofrecen también destacadas puertas de entrada al malware. En palabras del CTO de JFrog, Asaf Karas,

"El descubrimiento continuo de paquetes de software malicioso en repositorios populares como PyPI es una tendencia alarmante que puede conducir a ataques generalizados en la cadena de suministro. […] Estamos ante una amenaza sistémica".

Podemos encontrar casi cualquier cosa en Internet: sólo hace falta recurrir a un buscador y tendremos en unos segundos esa noticia, receta o artículo de enciclopedia que queríamos consultar. Pero, ¿y si eres un hacker y lo que te interesa de los sitios web no son los textos ni imágenes que alberga, sino las vulnerabilidades que ofrece a potenciales atacantes?

Pues bien: esta clase de usuarios también contará, a partir de la próxima semana, con un buscador especializado destinado a tal fin. Su nombre es PunkSpider, y será lanzado la semana que viene, con ocasión de la popular conferencia hacker Defcon.

O, más que 'lanzado' habría que decir 'resucitado', pues este mismo buscador ya estuvo en activo entre 2013 y 2015 (y llegó a recibir fondos de DARPA, la Agencia de Proyectos de Investigación Avanzados de Defensa).

A raíz de la pandemia, que los restaurantes ofrezcan el menú a través de un código QR pegado en la mesa no es extraño. Esta tecnología vive una nueva etapa, donde muchos usuarios se han acostumbrado a leer desde el móvil la carta. Pero al tiempo que crece su uso, también vuelven a primera línea sus riesgos.

El New York Times informa que estos códigos QR están facilitando a las empresas poder rastrear y analizar el comportamiento de los clientes, pudiendo con algunas aplicaciones recopilar datos personales como el historial de pedidos, el número de teléfono y los correos electrónicos. Todo un conjunto de datos muy jugosos para las empresas de publicidad y que los obtienen, en algunos casos, en el momento que hacemos algo aparentemente tan inocente como abrir un código QR.