Tag microsoft

¡Qué cosas! Hace casi treinta años que los desarrolladores de Wine trabajan para poder ejecutar aplicaciones de Windows en Linux, y en unos cinco años que lleva Windows Subsystem for Linux (WSL) en marcha, ya es posible hacerlo a la contra, es decir, ejecutar aplicaciones de Linux en Windows, según se acaba de publicar.

Por supuesto, la situación no es comparable y mientras que los desarrolladores de Wine tienen que lidiar con ingeniería inversa dado que Windows es software cien por cien privativo, los desarrolladores de Microsoft lo tienen mucho más fácil también por lo contrario: porque Linux es software libre. Sea como fuere, hablamos de una característica que se acaba de presentar a modo de previsualización inicial, pero que ya se puede probar.

Como sabrá todo el mundo, WSL es una capa de compatibilidad integrada en Windows 10 con la que es posible ejecutar aplicaciones de Linux en Windows, aunque hasta ahora no llegaba a tanto: se comenzó humildemente, facilitando la emulación de utilidades de terminal básicas de Linux; pero desde su segunda versión todo se ha acelerado y WSL ya permite ejecutar tanto un kernel completo, como las principales distribuciones Linux… incluyendo herramientas gráficas, sí.

Sin embargo, la ejecución de entornos y aplicaciones gráficas de Linux en Windows ha sido por lo general bastante rudimentaria… hasta ahora, cabe repetir. Y es que a WSL se la salido un compañero de viaje llamado WSLg, que viene a significar Windows Subsystem for Linux GUI. El nombre lo dice todo. Pero lo más importante son las capacidades que este ‘complemento’ ofrecerá a quienes estén interesados en ejecutar aplicaciones de Linux en Windows. Una imagen vale más que mil palabras.

Como se puede ver, si no intuir, WSLg va un paso más allá de los visto hasta el momento y permite ejecutar aplicaciones de Linux en Windows de manera independiente, esto es, independientes unas de otras e independientes de la distribución en la que se instalaron (la distribución va por debajo, pero ni se percibe) y que a su vez esté instalada a través de WSL. ¿Con qué propósito? Principalmente, con el de facilitar la vida a los desarrolladores.

Lo más interesante, sin embargo, son las mencionadas capacidades que WLSg pone a disposición del usuario: acceso pleno al sistema de archivos de Linux, soporte de X11 y Wayland, PulseAudio soporte de aceleración 3D por hardware, integración con el menú de aplicaciones de Windows… y hasta se ven bien, con los temas predeterminados del entorno de elección. No cabe duda de que Microsoft se está tomando muy en serio lo de llevarse Linux a Windows, y esto es solo una versión preliminar.

Pero, ¿qué valor tiene poder ejecutar aplicaciones de Linux en Windows, cuando la grandísima mayoría ofrecen versiones nativas para ambos sistemas? Lo dicho: facilitarle la vida al desarrollador, que sin salir de Windows tendrá todas las herramientas que necesite a su alcance y con compatibilidad absoluta con la instalación de Linux, pues ahí es donde están instaladas esas aplicaciones. El cliente siempre tiene la razón, ¿no?

A quien interese conocer todos los detalles acerca de WSLg, el desarrollador de Microsoft Craig Loewen lo explica todo en el anuncio de presentación, incluyendo el método de instalación y actualización, así como los contenidos de WSL BUILD 2020, cuyo lanzamiento estará listo para acompañar a Windows 10 May 2020 Update. Por supuesto, hay muchas más novedades al respecto. Aquí el repositorio de WSLg en GitHub. Cerramos con un vídeo de demostración publicado por el mismo Loewen.

Fuente: www.muylinux.com

El primer paquete de actualizaciones de este 2021 corrige una zero-day en Microsoft Defender que según la compañía ya fue explotada por atacantes previo al lanzamiento del parche.

El martes de esta semana Microsoft lanzó el primer paquete de actualizaciones del 2021. En esta edición del popularmente conocido Patch Tuesday, la compañía reparó un total de 83 vulnerabilidades presentes en distintos productos. Del total de vulnerabilidades reparadas, 10 fueron catalogadas como críticas.  Uno de los fallos corregidos es una zero-day que afecta a Microsoft Defender.

La zero-day (CVE-2021-1647) reparada está presente en la versión 1.1.17700.4 y anteriores del motor de protección contra malware de Microsoft Defender (mpengine.dll). Se trata de una vulnerabilidad crítica de ejecución remota de código que no requiere interacción por parte del usuario. Para obtener más información sobre cómo verificar la versión del motor de protección que actualmente corre en su dispositivo, Microsoft recomienda consultar la sección “Verifying Update Installation” aquí. La instalación de esta actualización se realiza automáticamente, por lo que no requiere interacción por parte del usuario a menos que esté bloqueada.

Si bien la compañía no precisó mayores detalles acerca de los casos detectados de explotación de esta vulnerabilidad y cómo se distribuyeron los ataques, dijo que la técnica utilizada no es funcional en todos los escenarios y que el código o técnica requiere modificaciones sustanciales por parte de los atacantes, por lo que considera que está a nivel de prueba de concepto.

Otros de los fallos reparados en este paquete de actualizaciones corresponde a la CVE-2021-1648, una vulnerabilidad de escalación de privilegios en Microsoft splwow64; la CVE-2021-1705, que es una vulnerabilidad de corrupción de memoria en el navegador Edge; y la CVE-2021-1674, que se trata de un fallo en el Windows Remote Desktop Protocol Core que permite a un atacante remoto evadir procesos de autenticación y obtener acceso a la aplicación.

Fuente: www.welivesecurity.com

systemd es el init de la discordia que ha dividido a la comunidad de usuarios de GNU/Linux. Sus defensores argumentan que es un instrumento que permite aprovechar al máximo el potencial del sistema operativo y elogian su enfoque modular, mientras que sus detractores lo acusan de quebrantar la filosofía Unix y de ser un “Windows gratis”, y posiblemente para muchos así sea a partir de hoy viendo lo que trae la reciente versión 246 del init. Con todo, es el init utilizado por la gran mayoría de distribuciones Linux.

Sí, systemd 246 ya está con nosotros con al menos un par de contribuciones relacionadas con Microsoft, la compañía detrás de Windows, Microsoft Office, el framework .NET y el popular editor de código Visual Studio Code. Pero además de mencionar lo que podrían ser las partes más morbosas de este lanzamiento (por quién está detrás de algunas contribuciones), también abarcaremos otras novedades de interés.

Para empezar, de systemd 246 sobresale el hecho de que systemd-journald soporta comprensión mediante Zstd para los ficheros journal del init, cosa que se ha implementado de forma similar para los coredumps recolectados por systemd-coredump. Por su parte, los montajes Tmpfs que son creados automáticamente por systemd tienen ahora un tamaño y límites de inodo aplicados, de un 50% de la RAM para ‘/tmp’ y ‘/dev/shm’ y de un 10% de la RAM para otros montajes.

systemd-homed es una de las incorporaciones más interesantes que ha recibido el init (o framework de sistema, según se vea) en los últimos tiempos, y aunque para algunos puede resultar intrusivo, es un componente que ayuda a facilitar la administración segura del directorio personal del usuario. A partir de systemd 246 el backend de LUKS puede descartar automáticamente los bloques de sistema vacíos cuando el usuario cierra la sesión, además de ofrecer una mejor protección contra los potenciales escenarios de doble cifrado de datos y soportar el desbloqueo de los directorios de usuario utilizando tokens de seguridad FIOD2.

Continuamos, ahora sí, con la parte “polémica” de este lanzamiento, las contribuciones relacionadas con Microsoft. Por un lado, el propio gigante de Redmond ha introducido un cambio que permitirá exponer parte de la información de la máquina anfitriona a los contenedores, mientras que por otro systemd-cryptsetup puede a partir de la versión del init que nos ocupa activar volúmenes de Microsoft BitLocker durante el arranque.

¿Qué más hay en systemd 246? Pues nos encontramos con cosas como el nuevo comando systemd-xdg-autostart-generator para generar archivos de unidad de systemd a partir de ficheros de inicio automático XDG con extensión ‘.desktop’, que también puede “ser usado para permitir que la instancia de usuario systemd administre servicios que son inciados automáticamente como parte de la sesión de escritorio”. A partir de este lanzamiento el nombre del host (hostname) puede ser establecido en el momento del arranque con la opción del kernel ‘systemd.hostname=’ y hay nuevas opciones para la línea de comandos del kernel como ‘systemd.swap=’ para alternar en caso de que la SWAP esté habilitada y ‘systemd.clock-usec=’ para especificar el tiempo de Unix en el arranque.

systemd-networkd ha recibido algunas mejoras, al igual que systemd-resolved, que ahora tiene validación de SNI para el soporte de DNS-over-TLS. Para terminar, otras novedades destacadas son la posibilidad de avisar de los procesos que quedan en una unidad después de que esa unidad se haya detenido, soporte básico para el congelador de cgroup v2 y PID1 puede cargar automáticamente las políticas de AppArmor precompiladas durante el arranque temprano.

El init suele ser un componente un tanto ajeno para el usuario común, que lo ve simplemente como un medio para hacer funcionar el sistema operativo. Así que la llegada de systemd 246 no es algo que importe a la mayoría, salvo ciertos usuarios avanzados, administradores de sistema y a aquellos con “versionitis”. Ya se sabe, una rolling como Arch Linux es la vía más sencilla para hacer uso de él si no se quiere pasar por el tortuoso proceso de la compilación.

Fuente: www.muylinux.com

Nueva York (CNN Business) — Microsoft dice que todavía está discutiendo una posible compra de TikTok, días después de que el presidente Donald Trump dijo que prohibiría que la popular aplicación de video de formato corto opere en Estados Unidos.

En una publicación de blog el domingo, Microsoft dijo que su presidente ejecutivo, Satya Nadella, habló con Trump sobre la compra de la aplicación, que es propiedad de la nueva empresa china ByteDance. Los formuladores de políticas estadounidenses han expresado durante semanas su preocupación por la aplicación a medida que aumentan las tensiones entre Estados Unidos y China, y muchos afirman que podría representar un riesgo para la seguridad nacional.

«[Microsoft] se compromete a adquirir TikTok sujeto a una revisión de seguridad completa y proporcionar los beneficios económicos adecuados a Estados Unidos, incluido el [Departamento del] Tesoro de Estados Unidos», dijo la compañía, y agregó que «se moverá rápidamente» para hablar con ByteDance «en cuestión de semanas».

«Durante este proceso, Microsoft espera continuar el diálogo con el Gobierno de Estados Unidos, incluso con el presidente», agregó la compañía.

La publicación en el blog de la firma con sede en el estado de Washington sugiere que TikTok podría evitar el bloqueo con el que Trump amenazó el viernes por la noche, cuando dijo que podía usar poderes económicos de emergencia o un decreto para bloquear el funcionamiento de la aplicación en Estados Unidos. Los comentarios de Microsoft también se producen después de que el diario financiero The Wall Street Journal informara que las conversaciones de la compañía con ByteDance se habían suspendido después de los comentarios de Trump.

Un acuerdo crearía una nueva estructura en la que Microsoft sería propietario y operaría los servicios de TikTok en Estados Unidos, Canadá, Australia y Nueva Zelandia. Como parte del acuerdo, Microsoft dijo que garantizaría que todos los datos privados de los usuarios estadounidenses de TikTok fueran transferidos y permanecieran en Estados Unidos.

TikTok ha enfatizado previamente que sus datos de usuarios de Estados Unidos ya están almacenados en servidores con sede en ese país y están respaldados en Singapur, y por lo tanto no están sujetos a la ley china, como algunos funcionarios estadounidenses han temido.

«Esta nueva estructura se basaría en la experiencia que los usuarios de TikTok adoran actualmente, a la vez que agrega protecciones de seguridad, privacidad y seguridad digital de clase mundial», dijo Microsoft. «El modelo operativo para el servicio se construiría para garantizar la transparencia a los usuarios, así como la adecuada supervisión de la seguridad por parte de los gobiernos en estos países».

La compañía agregó que «en cualquier caso» terminaría de hablar con ByteDance a más tardar el 15 de septiembre.

ByteDance no respondió de inmediato a una solicitud de comentarios sobre la publicación de Microsoft. Pero la compañía dijo en un comunicado publicado el domingo en Toutiao, el sitio chino de medios sociales que posee, que «siempre se ha comprometido a convertirse en una compañía global».

«En este proceso, nos enfrentamos a todo tipo de dificultades complejas e inimaginables», agregó la compañía citando un «ambiente político internacional tenso», entre otros temas.

«Pero aún nos adherimos a la visión de la globalización y seguimos aumentando la inversión en los mercados de todo el mundo, incluida China, para crear valor para los usuarios de todo el mundo», dijo ByteDance. «Cumplimos estrictamente las leyes locales y utilizaremos activamente los derechos que nos otorga la ley para salvaguardar los derechos legales de la empresa».

TikTok no respondió de inmediato a una solicitud de comentarios el domingo por la noche, pero un portavoz de TikTok dijo en un comunicado a CNN Business el sábado que está «confiado en el éxito a largo plazo» de la aplicación. La compañía ha contratado a casi 1.000 personas para su equipo estadounidense este año y planea contratar a otros 10.000 empleados en todo Estados Unidos, dijo el vocero. También anunció recientemente un «Fondo de creadores» para atraer a los mejores talentos para crear contenido para la aplicación.

Beijing, mientras tanto, criticó a Washington después de que Trump hablara sobre el bloqueo de la aplicación.

«Estados Unidos ha estado estirando el concepto de seguridad nacional, sin ninguna evidencia, y solo basado en la presunción de culpa. Está amenazando a ciertas empresas», dijo el lunes el portavoz del Ministerio de Relaciones Exteriores, Wang Wenbin, a periodistas. «China se opone firmemente a esto».

TikTok podría ser el «socio adecuado en el momento adecuado» para Microsoft, según el analista de Wedbush Securities Daniel Ives, quien fijó la valoración de la aplicación en aproximadamente US$ 50.000 millones. (Añadió, sin embargo, que el valor de TikTok podría verse afectado considerablemente si se bloquea en Estados Unidos).

Ives agregó que si la venta es exitosa, Microsoft también recibiría una «joya de la corona» en las redes sociales en un momento en que los pares de tecnología como Alphabet, el padre de Facebook y Google se enfrentan a un escrutinio regulatorio, lo que les dificulta considerar TikTok.

Fuente: cnnespanol.cnn.com

Microsoft lanzó el martes el parche que repara una vulnerabilidad crítica que afecta a Windows 10, Windows Server 2016 y Windows Server 2019. Dos días después ya se publicaron pruebas de concepto que explotan el fallo. Se recomienda actualizar cuanto antes.

Microsoft lanzó parche el pasado martes que reparar una vulnerabilidad severa reportada por la NSA. El parche fue incluido en el paquete de actualizaciones popularmente conocido como Patch Tuesday que todos los meses lanza la compañía el segundo martes de cada mes cada mes.

Se trata de una vulnerabilidad del tipo spoofing que afecta a Microsoft CryptoAPI, un componente incluido en el sistema operativo. Según la descripción del fallo (CVE-2020-0601), “existe una vulnerabilidad de spoofing en la forma en que Windows CryptoAPI (Crypt32.dll) valida los Certificados de Criptografía de Curva Elíptica (ECC, por sus siglas en inglés)”, explicó Microsoft.

En este sentido, “un atacante podría explotar la vulnerabilidad mediante el uso de un falso código de certificado de firma para firmar un ejecutable malicioso y hacer que parezca que el archivo proviene de una fuente confiable y legítima”. Por lo tanto, “en caso de lograr explotar el error de manera exitosa un atacante podría llevar adelante un ataque de Man In The Middle y lograr de esta manera descifrar información confidencial”, explica la compañía.

Este fallo descubierto por la Agencia Nacional de Seguridad de los Estados Unidos, más conocida como la NSA, fue reportado de manera conjunta entre la NSA y Microsoft y está presente en Windows 10, Windows Server 2016 y en Windows Server 2019.

En un comunicado publicado por la NSA, el organismo explica que este grave fallo pone en riesgo a los equipos que utilicen Windows a un amplio rango de vectores de explotación, por lo que es importante que instalen el parche que lanzó Microsoft lo antes posible para mitigar el error ante la posibilidad de que cibercriminales creen herramientas que exploten remotamente el mismo.

Si bien hasta el momento no hay conocimiento de la presencia de ningún exploit que se esté utilizando de manera activa para aprovecharse del error, recientemente se conoció la existencia de al menos dos pruebas de concepto (PoC) que explotan la vulnerabilidad que algunos sectores de la industria han comenzado a denominar como CurveBall o NSACrypt. Asimismo, al menos dos de estas PoC están disponibles de manera públicas.

Además, según publicaron especialistas en Twitter, se detectó que ya hay quienes están experimentando formas de explotar esta vulnerabilidad.

people start playing with CVE-2020-0601 https://t.co/MkAJeHLm92 https://t.co/cvzSUPYnIohttps://t.co/3ctcrxvghI pic.twitter.com/FzOvmhZ4uz

— Bernardo Quintero (@bquintero) January 16, 2020

Por otra parte, investigadores chinos revelaron hoy que realizaron pruebas exitosas con un ransomware y lograron explotar el fallo y pasar el proceso de verificación de certificados.

Instalar el parche cuanto antes

Estos últimos hechos dan cuenta de la importancia de instalar esta actualización lo antes posible para evitar riesgos, no solo por la criticidad de la vulnerabilidad, sino por al alta probabilidad de que en un futuro no muy lejano comiencen a detectarse ataques intentando explotarla.

El último paquete de actualizaciones que lanzó Microsoft para Windows reparó un total de 49 vulnerabilidades presentes en el sistema operativo, entre ellas, la CVE-2020-0601.  Si bien Windows envía automáticamente los parches con las actualizaciones, en caso de que no hayas instalado el parche podrás encontrar la actualización a este fallo aquí especificado para cada versión de Windows.

Fuente: www.welivesecurity.com

Además de la vulnerabilidad que afecta al proceso de validación de certificados de Windows, otras vulnerabilidades críticas en RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft.

Como mencionamos en el artículo sobre la importancia de instalar el último paquete de actualizaciones que lanzó Windows, ya que uno de los parches repara una vulnerabilidad (CVE-2020-0601) crítica en el proceso de validación de certificados que realiza Windows 10 y Windows Server 2016/2019, además de este fallo, otras 48 vulnerabilidades más fueron mitigadas con los últimos parches de seguridad que lanzó la compañía. Entre estas, dos vulnerabilidades también consideradas críticas que permitirían a un atacante ejecutar código de manera remota en servidores RDP y acceder a una red sin necesidad de tener que pasar por un proceso de autenticación.

Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601.

Estas dos vulnerabilidades tienen un impacto similar a BlueKeep (CVE-2019-0708), una vulnerabilidad que como hemos visto, fue reportada en mayo del 2019 por Microsoft y hacia finales del año comenzaron a crecer los ataques que intentaban explotarla. Por si fuera poco, se estima que este año continuarán los intentos de ataque aprovechando este fallo con el riesgo de que intenten distribuir amenazas más peligrosas que las que hasta el momento han logrado distribuir.

Además de estas dos vulnerabilidades críticas, otras tres vulnerabilidades relacionadas al RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft el último martes.

Cómo mencionó el investigador de ESET, Aryeh Goretsky en un completo artículo (que incluye un white paper) publicado recientemente en el que explica por qué desconectar RDP de Internet para evitar ser víctima de un ataque, durante los últimos años se han visto cada vez más incidentes de seguridad en los que los atacantes se han conectado remotamente a un servidor de Windows de Internet utilizando RDP e iniciando sesión como administrador de la computadora, lo que permitía a los cibercriminales realizar una gran cantidad de acciones maliciosas, como deshabilitar el software de seguridad, instalar programas de criptominería o incluso amenazas más peligrosas, como un ransomware, entre otras tantas.

Lamentablemente, tal como fue en el caso de WannaCry y como también ha pasado en gran medida después de que se comunicó la existencia de BlueKeep, pese a que se lanzó el parche para cada una de las vulnerabilidades que permitían llevar adelante estos ataques, muchos equipos permanecían sin parchear tiempo después, quedando expuestos a posibles ataques.

Dicho esto, aconsejamos a los usuarios instalar el último paquete de actualizaciones cuanto antes para estar protegidos y tomar consciencia sobre la importancia de instalar las actualizaciones de seguridad.

Fuente: www.welivesecurity.com

Como saben, Windows 7 se queda sin soporte el próximo 14 de enero. Falta menos de un mes y seguir usando el sistema -cualquiera, en realidad, pero mucho más un Windows- es una muy mala idea. Desafortunadamente, millones de usuarios la llevarán a cabo, si que es se cumplen los pronósticos y este se convierte en un caso similar al de Windows XP.

Quedarse en Windows 7 una vez haya finalizado el soporte es muy mala idea porque supone exponerse sin necesidad, cuando hay alternativas. La primera y más conformista, la actualización hacia Windows 10, que se puede seguir aplicando de manera gratuita. La segunda y más inteligente, siempre que no exista un impedimento insalvable, es pasarse a Linux.

Así lo consideramos por aquí y así lo consideran en otros sitios. En esta ocasión me refiero a los desarrolladores del navegador web Vivaldi, en cuyo blog oficial han publicado un artículo titulado por qué deberías reemplazar Windows 7 con Linux. ¿Por qué deberias? Antes de entrar en eso, me gustaría abrir un paréntesis para recoger un dato que dan que es bastante llamativo.

A saber, el artículo empieza hablando del fin de Windows 7 y de lo poco aconsejable que es seguir utilizando el sistema… Incluso mencionan la posibilidad de que se repita el caso de Windows XP que he comentado más arriba. Y dicen: «En Vivaldi, alrededor del 15% de todos los usuarios están en Windows 7. Esos son muchos usuarios». Y cuando pasan a animar al lector a pasarse a Linux, dicen: «El 14% de los usuarios de Vivaldi ya están ahí, ya que nuestro navegador tiene un excelente soporte para Linux». Una pena que no digan cuántos usuarios tiene Vivaldi en total.

Dejando a un lado la curiosidad, los desarrolladores de Vivaldi defienden el cambio de sistema con argumentos como que «casi cualquier ordenador con Linux funcionará más rápido y será más seguro que con Windows«, o que «hay distros diseñadas específicamente para ejecutarse en hardware antiguo», por lo que a pesar de que «la cantidad puede ser abrumadora al principio» todo es ponerse.

No solo eso: recomiendan dos distribuciones concretas: Ubuntu y… Solus. Así que ya sabemos qué distros son las preferidas por los desarrolladores de Vivaldi, muchos de ellos linuxeros en su día a día, según confirman en el artículo. Tal vez después de señalar el tema de los recursos no son la opciones ideales, pero son las que dan. En MC afinamos un poco más.

«Hasta hace poco, para el usuario promedio de Windows, reemplazar Windows con Linux era una opción imposible. Pero ten la seguridad de que las cosas han avanzado en el mundo de Linux. Se ha vuelto mucho más accesible para el usuario común. Si, como la mayoría de los usuarios comunes utilizas el ordenador para navegar por Internet, ver películas y trabajar en algunos documentos, entonces estarás bien«, añaden.

Fuente: www.muylinux.com

La compañía ha sido elegida por el Gobierno de EE. UU. para que controle a los hackers más peligrosos del mundo. Además de los expertos que hay en su equipo, la compañía dispone de otro superpoder: la omnipresencia de sus productos le permiten ver y oír casi todo lo que pasa en internet

Recientemente, el Pentágono concedió a Microsoft un contrato de cerca de 9.000 millones de euros para transformar y los sistemas de computación en la nube de las fuerzas armadas de EE. UU. y alojarlos. Pero esa montaña de dinero venía con un desafío implícito: ¿Podría Microsoft mantener la seguridad de los sistemas del Pentágono frente algunos de los hackers más persistentes, sofisticados y con mejores recursos del mundo? El vicepresidente del Centro de Estudios Estratégicos e Internacionales, James Lewis, afirma: «Reciben un ataque cada hora todos los días». 

El lucrativo contrato se ha convertido en la última victoria de Microsoft sobre Amazon, su rival en la nube. Pero también en su gran responsabilidad de cara a la seguridad nacional, un área que, hasta ahora, se ejecutaba casi en exclusiva en la capital, Washington D. C. (EE. UU.). Ahora docenas de ingenieros y analistas de inteligencia de Microsoft se dedican a vigilar y a detener la proliferación de los hackers financiados por gobiernos de todo el mundo.

Los miembros del equipo, llamado MSTIC (siglas en inglés de Centro de Inteligencia de Amenazas de Microsoft), controlan distintas amenazas. Hay un grupo responsable de los hackers rusos con su nombre en código Strontium, otro controla a los hackers norcoreanos con su nombre en clave Zinc, y otro sigue a los hackers iraníes con nombre en clave Holmio. MSTIC rastrea a más de 70 grupos de amenazas financiados por diferentes gobiernos.

Atacar y defender

John Lambert

La sede de Microsoft es tan enorme y laberíntica como cualquier instalación gubernamental, con cientos de edificios y miles de empleados. Fui ahí a conocer al equipo de Microsoft que rastrea a los hackers más peligrosos del mundo. John Lambert lleva trabajando en Microsoft desde 2000, cuando vio por primera vez una nueva realidad de ciberseguridad que se hizo patente tanto en la capital de Washington como en la sede de Microsoft del estado de Washington. 

En aquel entonces, Microsoft era una compañía especialmente poderosa, ya que monopolizaba el software para PC, y se había dado cuenta de la importancia de internet. A pesar de que Windows XP era increíblemente inseguro, estaba conquistando el mundo. El equipo fue testigo de una serie de enormes y vergonzosos errores de seguridad, incluidos los gusanos que se reproducían como Code Red y Nimda. Esos errores afectaron a muchísimos clientes públicos y privados de su enorme cartera, poniendo en peligro su negocio principal. Pero en 2002, Bill Gates envió su famoso memorando en el que insistía en la importancia de una «computación fiable».

Fue entonces cuando Redmond tuvo que empezar a lidiar con la verdadera importancia de la ciberseguridad. También fue cuando Lambert descubrió con asombro el lado ofensivo del cibermundo. El responsable detalla: «Los límites de ataque y defensa deben ser perfectos. Para defenderse bien, es necesario poder atacar. También hay que tener la mentalidad ofensiva; no se puede pensar solo en la defensa si no sabemos ser creativos a la hora de atacar».

Al ver el aumento del número de ciberataques financiados por gobiernos, Lambert utilizó esta mentalidad ofensiva para impulsar cambios fundamentales en la forma en la que Microsoft abordaba el problema. El objetivo era pasar del desconocido «mundo en la sombra», en el que los equipos de defensa observaban, frustrados, cómo los hackers más sofisticados penetraban en las redes con fuertes «vulnerabilidades desde el día cero», a un dominio en el que Microsoft podría verlo casi todo.

Lambert se preguntaba: «¿Cuáles son los superpoderes de Microsoft?». La respuesta estaba en su omnipresente su sistema operativo Windows, lo que daba a la empresa las herramientas para detectar lo que ocurre en enormes regiones de internet. Por supuesto, ese superpoder también plantea cuestiones de privacidad que aún no hemos resuelto. Pero, en cuanto la seguridad se trata de una gran ventaja.

Los productos de Microsoft ya disponían sistemas de Informe de errores de Windows para tratar de comprender los errores generales y el malfuncionamiento. Pero fueron Lambert y su equipo quienes convirtieron estos sistemas en poderosas herramientas de seguridad y con una complejidad mucho menor. Anteriormente, los equipos de seguridad tenían que recorrer el mundo para encontrar las máquinas afectadas, copiar sus discos duros y sumergirse lentamente en sus incidentes. Ahora esas máquinas simplemente se comunican con Microsoft. Prácticamente todos los accidentes y comportamientos inesperados se comunican a la empresa, que clasifica esa gran cantidad de datos y suele encontrar el malware antes que nadie.

El malware conocido como Bad Rabbit, que en 2017 fingió ser una actualización de Adobe Flash para borrar el disco duro de una víctima, es un ejemplo de cómo Microsoft transformó una debilidad en un punto fuerte. A los 14 minutos de la introducción del ransomware, los algoritmos de aprendizaje automático repasaron los datos y rápidamente empezaron a comprender el ataque. Windows Defender comenzó a bloquearlo automáticamente, mucho antes de que cualquier humano supiera lo que ocurría.

Bad Rabbit fue visto principalmente en Rusia y Ucrania en 2017. Esta es la nota de rescate que recibían las víctimas. Créditos: Kasperky Labs

El antiguo miembro de la Agencia de Seguridad Nacional Jake Williams afirma: «Es algo que no tiene nadie más: visibilidad y datos. Los datos que no tiene nadie más están relacionados con los fallos de las aplicaciones en el sistema operativo y la capa de software. Incluso para fallos de terceros, la telemetría puede solucionarlos. A medida que se empiezan a buscar los objetivos del ataque, Microsoft ya dispone de esa capacidad a través de su telemetría». Esa telemetría ha convertido a cada máquina y producto de Windows en una fuente de datos y registros de Microsoft, que funciona al instante y en todo el mundo. 

El experto, quien luego fundó la empresa de ciberseguridad Rendition Infosec, añade: «Microsoft ve cosas que nadie más ve. Encontramos algo de forma rutinaria, por ejemplo, como las marcas para las IP maliciosas en Office 365 que Microsoft señala, pero durante meses no lo vimos en ningún otro lugar».

Conectar los puntos

La inteligencia de las ciberamenazas requiere una disciplina de rastrear a los adversarios, seguir sus rastros y crear datos que se puedan usar para ayudar a los equipos y dificultar la vida del enemigo. Para lograrlo, el equipo de MSTIC, que ya lleva cinco años trabajando, incluye a antiguos espías y operadores de inteligencia del Gobierno, cuya experiencia en lugares como Fort Meade, el hogar de la Agencia de Seguridad Nacional de EE. UU. y el Comando Cibernético de Estados Unidos, se traduce inmediatamente en su importante papel en Microsoft.

MSTIC da nombre a docenas de amenazas, pero la geopolítica es complicada: China y Estados Unidos, dos de los jugadores más importantes del ciberespacio y las dos economías más grandes del mundo, nunca se mencionan con tanta frecuencia como ocurre con países como Irán, Rusia y Corea del Norte. 

El director de programas estratégicos y asociaciones de MSTIC, Jeremy Dallman, afirma: «Nuestro equipo utiliza los datos, conecta los puntos, cuenta la historia, rastrea al autor y sus comportamientos. Caza a los atacantes, sigue sus movimientos, sus planes y sus objetivos, y se adelanta a todo eso».

El director de investigación avanzada de protección contra las amenazas del equipo de Microsoft Defender, Tanmay Ganacharya, trabaja en crear nuevas capas de defensa aplicando ciencia de datos a la gran cantidad de señales entrantes. El responsable señala: «Como tenemos productos en todos los campos, disponemos de sensores que nos traen el tipo correcto de señales. El problema consistía en abordarlos todos».

Microsoft, al igual que otros gigantes tecnológicos como Google y Facebook, informa regularmente a las personas atacadas por hackers gubernamentales, lo que ofrece a las víctimas la oportunidad de defenderse. En el último año, MSTIC notificó a unos 10.000 clientes de Microsoft que estaban sufriendo ataques de hackers gubernamentales. 

Nuevos objetivos

En agosto MSTIC descubrió lo que se conoce como una campaña de descubrimiento de contraseñas. Un grupo hacker adivinó alrededor de 2.700 contraseñas de cuentas asociadas a la campaña de elecciones presidenciales de EE. UU., de los funcionarios del Gobierno, de los periodistas y de iraníes de alto perfil que vivían fuera de Irán. Cuatro cuentas fueron afectadas en este ataque. Los analistas de MSTIC identificaron los ataques rastreando una infraestructura que Microsoft sabía que estaba controlada exclusivamente por el grupo iraní de hackers llamado Phosphorus. 

Dallman explica: «Cuando conseguimos comprender su infraestructura, tenemos una dirección IP que sabemos que es suya y que usan con fines maliciosos, podemos empezar a buscar los registros DNS, los dominios creados, el tráfico de la plataforma. Cuando empiezan a usar esa infraestructura para este tipo de ataques, lo vemos porque ya estamos rastreándola como un indicador conocido del comportamiento de ese actor». 

Después de realizar un considerable trabajo de reconocimiento, Phosphorus intentó explotar el proceso de recuperación de la cuenta utilizando los números de teléfono reales de sus objetivos. MSTIC ha descubierto que Phosphorus y otros hackers patrocinados por gobiernos, incluido el Fancy Bear de Rusia, utilizan esa táctica sistemáticamente para intentar descubrir los códigos de autenticación de dos factores para objetivos de alto nivel.

Lo que en esta ocasión elevó la alarma de Microsoft por encima de lo normal fue que Phosphorus varió su procedimiento operativo estándar de perseguir a ONG y otras organizaciones de sanciones. El enfoque cambió, las tácticas también y el alcance aumentó. Dallman detalla: «Esto no es infrecuente, la diferencia reside en que su escala era significativamente mayor de lo que habíamos visto antes. Se dirigen a este tipo de personas con frecuencia, lo diferente fue la escala y la gran cantidad de trabajo de reconocimiento que habían realizado para esta campaña. Y finalmente, todo se redujo a las personas que fueron su objetivo, incluida la persona central de la campaña presidencial». La investigación de Microsoft finalmente señaló como responsables a hackers iraníes, tal y como informó Reuters.

El campus de Microsoft en Redmond es enorme. Con más de 8 millones de pies cuadrados (casi 750.000 metros cuadrados), cuenta con más de 50.000 empleados. Créditos: Microsoft

«Hemos visto los patrones»

En las dos décadas que Lambert lleva en Microsoft, las herramientas y las armas cibernéticas han proliferado en docenas de países, hay cientos de grupos capaces de ejecutar ciberdelitos y cada vez más empresas del sector venden vulnerabilidades a compradores dispuestos a pagar bastante. Lambert alerta: «Esta proliferación significa una gama mucho más amplia de víctimas. Más actores para rastrear».

Esto es lo que ocurre en los hackeos políticos. Una consecuencia de las elecciones estadounidenses de 2016 ha sido el aumento del gran número de actores que luchan para hackear partidos políticos, campañas y grupos de expertos, sin mencionar al propio Gobierno. Los hackeos relacionados con las elecciones han sido típicamente relacionados con los «cuatro grandes»: Rusia, China, Irán y Corea del Norte. Pero se está extendiendo a otros países, aunque los investigadores de Microsoft se negaron a especificar lo que han visto últimamente.

El director general de proyectos en MSTIC, Jason Norton, explica: «La novedad son los nuevos países que se unen a la batalla y que no estaban allí antes. Sobre los dos grandes [Rusia y China], ahora, sí que podemos decir que llevan dedicándose a esto desde mucho antes de las elecciones de 2016. Pero ahora vemos otros países haciendo lo mismo, pinchando y presionando para conocer las piezas correctas con el fin de tener un impacto o influencia en el futuro». 

Dallman coincide: «El campo se está llenando. Los hackers aprenden unos de otros. Y a medida que aprenden las tácticas más conocidas, las cambian y las utilizan». 

Las próximas elecciones estadounidenses también son diferentes, dado que ya nadie se sorprende de actividad maliciosa. Antes de 2016, la ciberactividad rusa fue recibida con una ingenuidad atónita colectiva, lo que contribuyó a la parálisis y a una respuesta insegura. Esta vez no será así. Dallman señala: «La diferencia estriba en que ahora sabemos lo que va a suceder«. 

Y añade: «En aquel entonces, se trataba más de algo desconocido, y no estábamos seguros de cómo se desarrollarían las tácticas. Ahora sí que lo sabemos porque hemos visto los patrones. Lo vimos en 2016, vimos lo que hicieron en Alemania, los vimos en las elecciones francesas, todos siguiendo el mismo modus operandi. En la mitad de la legislatura del Gobierno de EE.UU. de 2018 lo vimos también, aunque en menor grado, algunos de los mismos modus operandi, los mismos actores, los mismos tiempos, las mismas técnicas. Ahora sí que sabemos que este es el modus operandi que estamos buscando para 2020. Y ya hemos empezado a ver a otros países con otras tácticas».

La nueva norma es que las empresas de ciberinteligencia de la industria tienden a liderar este tipo de actividad de seguridad pública mientras el Gobierno las sigue. En 2016, CrowdStrike fue el primero que investigó y señaló la actividad rusa con el objetivo de interferir con las elecciones estadounidenses. Las fuerzas policiales y de inteligencia de EE. UU. confirmaron más tarde los hallazgos de esta compañía y finalmente, tras la investigación de Robert Mueller, acusaron a los hackers rusos y detallaron la campaña de Moscú (Rusia).

Con un tamaño total cercano a los 1.000 millones de euros, Microsoft es ahora un orden de magnitud más grande, lo que le permite aportar enormes recursos al desafío de la seguridad. Y el gigante tecnológico tiene otra gran ventaja: sus ojos, oídos y software están en todas partes. Como diría Lambert, ese es su superpoder.

Fuente: www.technologyreview.es

Lo sabemos: algunos estáis hasta el gorro de estas noticias, pero…, reconozcámoslo, es difícil resistirse cuando desde el gigante del software privativo nos llegan declaraciones como estas. La cuestión es, ¿seguimos llamándolo así, el «gigante del software privativo»? Porque en Microsoft no están de acuerdo.

Todo viene a cuento de una de las frases más lapidarias, para mal, que en su día se dijeron desde Redmond. Nos referimos al tristemente ilustre comentario de Steve Ballmer, «Linux en un cáncer«. Es cierto que él mismo se retractó de sus palabras, admitiendo primero que Linux ya no era un cáncer, sino un rival a tener en cuenta; concediendo después que no solo no consideraba a Linux un cáncer, sino que lo amaba. Y, como bien es sabido, no ha sido el único que ha dicho eso desde dentro de Microsoft.

Sin embargo, la cita de marras les persigue hasta día de hoy, y de hecho una de las sugerencias que hizo Richard Stallman en su reciente charla para Microsoft, fue la de retractarse de este comentario. Entre otros. Sea como fuere ha llovido mucho desde entonces y no pierden la oportunidad de recordarlo, como ha sucedido en el Red Hat Forum 2019 celebrado en Melbourne con la participación de Lee Hickin, CTO de Microsoft Australia, según recogen en ZDNet.

«Reconozco la ironía de Microsoft aquí en un evento comunitario de código abierto. Estoy realmente orgulloso de hacerlo, y me siento honrado y privilegiado de poder estar en el escenario con Red Hat para compartir nuestra historia«, comenta Hickin. «Lo digo con la mano en mi corazón de una manera muy seria: somos una empresa de código abierto, estamos comprometidos con el código abierto, estamos comprometidos con Red Hat y estamos comprometidos con nuestro compromiso y nuestro apoyo a una amplia comunidad de código abierto a través de una gama de tecnologías, entre las cuales GitHub es una de ellas«.

Y añade: «No somos la compañía propietaria de Windows; somos la nube de código abierto que tiene una gama de servicios en una gran cantidad de herramientas y tecnologías«.

Es, en todo caso, un episodio más en la ya larga historia de relación entre Microsoft y el código abierto: del «amamos el Open Source» al repetido «amamos a Linux«, pasando por la que ha sido la declaración más rotunda que hayan hecho a este respecto, llegando a autoproclamarse los número uno del código abierto… y a tenor de las cifras en bruto, algo de razón tienen. Pero no es ningún misterio, tal y como han reconocido en diferentes ocasiones: van donde están los clientes y, si funciona, apuestan por ello de manera decidida.

Por supuesto, hay quien sigue sin fiarse de Microsoft, pero como señalaban hace poco algunos de los principales desarrolladores de Linus, Linus Torvalds incluido: por más que a Microsoft le gustase controlar Linux, no hay de qué preocuparse.

Fuente: www.muylinux.com

Llega la versión estable de Insync 3, la renovada aplicación de sincronización de archivos gracias a la cual usar Google Drive en Linux es coser y cantar. Pero no solo de la nube de Google vive el linuxero y con este lanzamiento se estrena una anunciada y esperada característica: soporte para Microsoft OneDrive.

Lo primero y más importante es que los usuarios de Insync 1.5, la hasta ahora versión estable del cliente, deben fijarse en un par de detalles antes de actualizar a Insync 3, para lo cual se ha publicado una sencilla guía de migración que conviene repasar para evitar problemas.

El porqué del salto de versión lo explican con que Insync 2 fue la versión en desarrollo y para esta nueva han rehecho el motor de sincronización, llamado Core 3 y escrito en Python 3. Sus ventajas, facilidad para añadir nuevas características más fácilmente, lanzar nueva versiones y cazar errores más rápidamente, además de ofrecer una sincronización más fiable y rápida.

Pero sin duda la gran novedad de Insync 3 es el soporte de OneDrive, incluyendo OneDrive for Business y SharePoint. La razón es que si bien existen alternativas para usar el servicio de Microsoft en Linux, no son especialmente accesibles para el usuario que no quiere liarse con configuraciones intrincadas. Es lo mismo que sucede con Google Drive, y en ambos casos Insync ha sabido proponer una solución que no implica quebraderos de cabeza.

Por lo demás, Insync 3 trae diferentes mejoras de usabilidad y personalización con la sincronización selectiva, las carpetas predeterminadas, así como optimizaciones a nivel visual. Más información en el anuncio oficial.

Por último, os recordamos que Insync es software de pago único por cuenta (29,99 dólares euros), pero si dependéis de los servicios mencionados, vale la pena porque va muy bien y tiene muchas opciones interesantes, según podéis ver en la página de descarga. Otro dato a tener en consideración es que Insync es software privativo, pero lleva mucho tiempo de actividad, está aceptado por Google y utiliza autenticación segura.

Servicios de almacenamiento y sincronización de archivos en la nube con soporte para Linux hay unos cuantos, pero siguen faltando dos de los más populares del mercado: Google Drive y Microsoft OneDrive, cuyos respectivos propietarios ignoran por norma al sistema por el que tanto amor profesan para otras cosas. Es por ello que Insync es tan apreciado por estos lares.

Fuente: www.muylinux.com