Archives febrero 2022

En este articulo veremos las bases teórico y prácticas para comenzar a realizar pruebas de pentesting sobre una aplicación iOS.

Tal como venimos recorriendo en esta serie de publicaciones sobre el pentesting en aplicaciones iOS, hoy toca el turno de abordar temas relacionados con la metodología de análisis de seguridad en sí,  considerando, por ejemplo, las fuentes de donde puedan provenir las aplicaciones que queremos analizar y las metodologías de análisis asociadas según organizaciones como OWASP.

Ya tenemos nuestro dispositivo con jailbreak, pero ¿Qué sigue?, ¿qué herramientas utilizamos?, ¿cómo instalamos la aplicación que queremos analizar en nuestro dispositivo?, ¿qué pruebas comenzamos a ejecutar para llevar a cabo nuestros análisis? Todas estas preguntas, entre otras que irán surgiendo, son las que intentaremos desarrollar a lo largo del presente artículo a fin de abordar las bases del pentesting sobre aplicaciones iOS.

El entorno y escenario de trabajo

Tal como hemos visto en el post relacionado a jailbreaking, una vez que tenemos nuestro dispositivo con jailbreak es necesario comenzar a instalar las aplicaciones que nos servirán para llevar a cabo nuestras pruebas. Como también mencionamos, para esto será esencial el uso Cydia, un repositorio de software que funciona sobre la base de distintas fuentes que se pueden modificar para ampliar la cantidad de software disponible a la hora de instalar aplicaciones en nuestro dispositivo. El hecho de que Cydia funcione como repositorio nos hace muy sencillo el trabajo de instalar herramientas, dado que solo basta con ingresar a la herramienta, buscar la aplicación que queremos y la instalamos. Pasando a la acción, una de las primeras funcionalidades que necesitaremos incorporar a nuestro dispositivo será, sin dudas, el sistema SSH. De esta forma podremos tomar control del dispositivo desde nuestra PC, situación que veremos cómo llevar a cabo a continuación.

Tal como se muestra en las siguientes imágenes, nuestra intención será abrir Cydia y buscar OpenSSH para llevar a cabo su instalación.

Abrimos Cydia

Luego buscamos OpenSSH

Ejecutamos Instalar

Se despliega la Instalación

Una vez que tenemos instalado OpenSSH averiguaremos qué direccion IP tenemos asignada en nuestro dispositivo para luego poder conectarnos desde nuestra PC.

Identificamos nuestra red:

Identificamos nuestra red

Revisamos las propiedades de la red y encontraremos nuestra dirección IP, la cual debemos recordar para conectarnos más tarde desde nuestra PC por SSH.

Encontramos nuestra dirección IP

Una vez obtenida la direccion IP de nuestro dispositivo, desde nuestra PC abriremos un terminal y nos conectamos por SSH ejecutando la siguiente línea (ssh root@direccionIPdeldispositivo). Luego observaremos  que el sistema nos solicita la contraseña, la cual, tal como se observa en la imagen a continuación, por defecto es “alpine”.

Ingresando al dispositivo mediante SSHNota: Recordar cambiar la contraseña por defecto una vez que ingresamos al sistema.

Como podemos observar, estamos conectados desde nuestra PC al dispositivo con privilegios de root, lo cual, como sabemos, nos permite realizar multiples tareas.

Creo que queda claro lo sencillo que es incorporar aplicaciones en nuestro dispositivo mediante Cydia. Con esta misma lógica podemos instalar multiples aplicaciones, como APT Strict, que nos permite instalar software desde el terminal usando el clásico apt-get install u otro software que creamos conveniente para formar nuestro entorno de trabajo. Hay que considerar también que para muchas aplicaciones será necesario agregar las fuentes correspondientes a Cydia para llevar a cabo su instalación, tema con el que debemos tener máximo cuidado dado que hay muchas fuentes que descargan malware. Por lo tanto, antes de instalar una aplicación por medio de fuentes agregadas, siempre será necesario validar las mismas.

Sin dudas que hay muchas otras herramientas que podríamos instalar y esto siempre dependerá de nuestras necesidades, entre otras variables. Y aunque más adelante hablaremos de ello con más detalle, OWASP Mobile Security Project nos brinda diversas herramientas según el tipo de análisis que necesitemos ejecutar (Lista de herramientas). A su vez, estas se complementan con las herramientas propuestas por la guía MSTG, de la cual también hablaremos cuando llegue el turno.

Ahora bien, ya disponemos de nuestro dispositivo con jailbreak y algunas herramientas para comenzar a trabajar. Es hora de plantearnos algunas cuestiones. Por ejemplo, ¿cuál será nuestra aplicación de análisis?, ¿cómo vamos a instalarla en el dispositivo? A partir de estas preguntas surgirá sin dudas parte del escenario de trabajo. Antes de comenzar, es importante  destacar que a la hora de interactuar con un “cliente” que nos solicita un pentesting de una aplicación iOS, normalmente este nos proveerá de una aplicación en formato IPA que pude compartirla tanto por algún medio de transferencia de datos, donde tendremos concretamente el archivo .ipa, o bien nos puede brindar un enlace a un sistema tipo TestFlight, el cual nos obliga a descargar e instalar una aplicación desde AppleStore en nuestro dispositivo y a partir de allí abrir el enlace que el “cliente” nos envía para llevar acabo la instalación. Es decir que en este caso no tendríamos el archivo .ipa en sí, sino que lo instalamos por medio de TestFlight, y en un caso más black también puede suceder que  nos digan que  descarguemos directamente la aplicación desde AppleStore. Dependiendo de cada una de estas circunstancias veremos que a la hora de manipular una aplicación necesitaremos de distintas técnicas que nos ayuden, tanto a instalar la aplicación en el dispositivo como a desplegar las pruebas que necesitemos ejecutar.

Estructura e instalación de aplicaciones iOS

Tal como mencionamos anteriormente, a la hora de realizar pentesting sobre una aplicación iOS básicamente trabajaremos con un archivo de extensión .ipa. Por esta razón, antes de comenzar a manipular nuestra aplicación de estudio es necesario que mencionemos algunos aspectos de estos archivos. En principio, los archivos con la extensión IPA son archivos de aplicación iOS y funcionan como contenedores (como ZIP) para guardar los diversos datos que componen una aplicación iOS disponible para ser ejecutada en dispositivos que corren este sistema operativo.

Por otra parte, cabe destacar que, por lo general, los archivos .ipa se encriptan con la tecnología FairPlay DRM de Apple y, como veremos más adelante, estos archivos se pueden descomprimir cambiando la extensión a .zip para poder observar su contenido. La estructura de un archivo IPA es la misma para todas las aplicaciones. Por lo general encontraremos la carpeta Payload que contiene todos los datos de la aplicación, como los binarios de la misma. Si la aplicación está diseñada para su distribución a través de App Store, también tendrá algunos archivos de datos y metadatos tipo iTunesMetadata donde se guarda la información sobre el desarrollador y la aplicación, como sucede con el archivo iTunesMetadata.plist. Es común también que encontremos un archivo iTunesArtwork, que es un archivo PNG (a veces JPEG) que se utiliza como icono de la aplicación. Sin dudas esto es solo un pantallazo de la estructura de este tipo de archivos. Nos quedan por resolver varias interrogantes en cuanto a los sistemas de cifrado que se utilizan al generar estos archivos, así como también las características de los binarios que contienen y las arquitecturas y compiladores que estos manejan, Y aunque estos temas exceden los alcances de esta serie de artículos sobre pentesting en aplicaciones iOS, a medida que avancemos en los contenidos iremos complementando estos conocimientos según las pruebas de seguridad que necesitemos ejecutar.

Instalación de aplicación de estudio

Si bien existen diversas aplicaciones que son vulnerables y están preparadas para el ámbito académico, en nuestro caso utilizaremos DVIA (Damn Vulnerable IOS App), la cual utiliza un esquema de vulnerabilidades relacionado al OWASP Mobile Top 10 del cual hablaremos más tarde cuando hagamos referencia a las metodologías de análisis. En esta etapa nuestro objetivo será obtener el archivo .ipa de nuestra aplicación, para luego instalarlo en nuestro dispositivo. Si recordamos el post de Jailbreaking, ya hemos visto cómo instalar aplicaciones ipa en nuestro dispositivo, concretamente hemos visto que podíamos instalar nuestro ipa mediante la herramienta Cydia impactor o bien generando el proyecto con el IDE Xcode para firmar la aplicación. Y si bien estos métodos son absolutamente válidos, en esta oportunidad veremos un método distinto para instalar nuestra aplicación de estudio en el dispositivo. Como hemos mencionado más de una vez, es importante contar con diversas técnicas de manipulación y análisis dado que los escenarios siempre pueden ser muy relativos y pueden obligarnos, por ejemplo, a necesitar tener a mano distintas formas de instalar estos archivos.

Como mencionamos anteriormente, utilizaremos la aplicación DVIA para nuestro caso de estudio, la cual descargamos desde el siguiente enlace.

Abriendo DamnVulnerableiOSApp (DVIA)Nota: Una vez descargado nuestro archivo .ipa procedemos a guardarlo en algún directorio. Para este caso creamos una carpeta llamada Damn, en la cual guardamos el archivo .ipa.

Luego accederemos a un terminal y nos ubicaremos en el directorio donde se encuentra nuestro archivo .ipa, para más tarde ejecutar el comando unzip -x DamnVylnerableiOSApp.ipa y descomprimir el archivo .ipa (recodar que los archivos .ipa básicamente son “.zip”) tal como se muestra en la imagen.

Descomprimiendo el archivo .ipa descargado

Luego de descomprimir nuestro archivo .ipa, si hacemos un ls sobre el directorio veremos que se ha generado una carpeta llamda Payload y otra llamada Symbols, tal como se observa en la siguiente imagen.

Navegando archivos y directorios del archivo ipa descomprimido

Ingresando a la carpeta Payload veremos el directorio DamnVulnerableIOSApp.app, el cual contiene el binario que nos interesa tener en nuestro dispositivo para poder instalar la aplicación. Parados en el terminal sobre la carpeta Payload, nos vamos a ayudar del comando scp ejecutando la siguiente sintaxis scp -r DamnVulnerableiOSApp.app root@tudireccionip:/Applications/. Esto copiará el directorio de la aplicación desde nuestra PC al dispositivo.

Copiando la aplicación al dispositivo

Ingresando por SSH a nuestro dispositivo, si nos ubicamos en la carpeta /Applications y ejecutamos un ls, como lo muestra la siguiente imagen, veremos que se encuentra la aplicación que hemos copiado (DamnVulnerableIOSAPP.app).

Identificando la aplicación que copiamos a nuestro dispositivo

Como se observa, podemos identificar en el directorio Applications la aplicación que hemos copiado. Cabe destacar que en el directorio Applications se encuentran todas las aplicaciones que vienen instaladas por defecto con iOS y también las que están preinstaladas mediante Cydia. Llegado el momento veremos que existe otro directorio donde se guardan las aplicaciones que se instalan desde AppStore, Cydia e ipainstaller, entre otros.

Una vez ubicada nuestra aplicación en el directorio /Applications ingresaremos al directorio de nuestra aplicación y, tal como se muestra a continuación, le daremos permisos de ejecución al binario de la aplicación mediante la ejecución de chmod +x DanmVulnerableiOSApp. Luego, ejecutamos el comando uicache para refrescar el springboard y poder encontrar el icono de la aplicación en nuestro dispositivo.

Concediendo permisos de ejecución al binario de la aplicación que hemos copiado al dispositivo y refrescando el springboard

Tal como lo muestran las siguientes imágenes, una vez ejecutado el comando uicache vemos en el springboard de nuestro dispositivo que se agrega el ícono de la aplicación que nosotros hemos copiado, dando lugar a que podamos ejecutarla y dar por terminado el proceso de instalación.

Identificando y abriendo la aplicación desde nuestro dispositivo

Si bien es cierto que este método no es el más “prolijo” para instalar una aplicación, es una opción válida más que debemos aprovechar cuando tenemos un dispositivo con jailbreak, como es nuestro caso. Como hemos visto a lo largo de estas entregas, existen varios caminos para instalar un archivo .ipa a los que se les puede sumar el uso de herramientas como iFunbox o iTools, que también nos ofrecen recursos para llevar a cabo la instalación de estos archivos en nuestro dispositivo.

El análisis de aplicaciones

Aunque podríamos considerar que tenemos las herramientas básicas para comenzar con nuestros análisis, dado que tenemos nuestro dispositivo con Jailbreak, sabemos cómo instalar herramientas en nuestro dispositivo, y ya hemos instalado una aplicación de estudio que utilizaremos para realizar pruebas, es evidente que empezar a realizar pruebas al azar o sin un orden o fin determinado no tiene mucho sentido. Sin lugar a dudas necesitaremos apoyarnos de referencias que nos guíen por dónde comenzar y terminar nuestros análisis. Para ello hablaremos de OWASP Mobile Security Project, ya que desde este proyecto podemos encontrar no solo herramientas metodológicas, sino también técnicas en cuanto a cómo desplegar auditorías de seguridad sobre aplicaciones móviles, tanto para iOS como Android.

Este proyecto no solo contempla herramientas para auditores de seguridad, sino también para desarrolladores y equipos de seguridad, ofreciendo los recursos que se necesitan para crear y mantener aplicaciones móviles seguras. A través del proyecto, su objetivo es clasificar los riesgos de seguridad móvil y proporcionar controles de desarrollo para reducir su impacto o probabilidad de explotación. Por otra parte, el proyecto contempla un Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, por sus siglas en inglés) que puede ser utilizado por arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras, así como también por auditores de seguridad que quieren garantizar la integridad y coherencia de los resultados de sus pruebas.

Por otra parte, y más enfocados en nuestro rol de auditores, dentro del proyecto también encontraremos una guía llamada Mobile Security Testing Guide (MSTG, por sus siglas en inglés) el cual es un manual completo de pruebas de seguridad e ingeniería inversa en aplicaciones móviles, tanto para iOS como Android, y contempla en su contenido una serie de guías metodológico técnicas con ejemplos prácticos y recomendaciones de herramientas disponibles. Esta guía sin dudas es complementaria a lo que propone al standard MASVS, y también a otro tipo de recursos como las MobileAppSecurityChecklist, que nos servirán para ir contabilizando los controles que debemos ejecutar según lo que nos propone el Mobile Security Testing Guide. Dentro de otros recursos que podemos encontrar es importante mencionar también el OWASP Mobile Top Ten, que nos acerca una clasificación de los 10 riesgos más importantes a los que se ven afectadas las aplicaciones móviles ofreciéndonos una vista general de los controles más importante que debemos contemplar a la hora de realizar nuestros análisis.

Como vemos en la imagen, en la guia MSTG se encuentra un apartado dedicado a iOS.

Guía MSTG

Contenidos de la MSTG

Realmente es muy jugoso el contenido de esta guía, puesto que más allá de ofrecernos controles clasificados y numerados de pruebas, también nos aporta informacion en cuanto a cómo desplegar un ambiente de pruebas, ejemplos concretos tanto para pruebas de análisis dinámico como estático, así como recomendaciones y referencias, entre otra valiosa información.

Si ingresamos a la sección iOS Testing Guide de la MSTG veremos que en principio se despliga información relativa a la arquitectura de seguridad iOS, al entorno necesario de trabajo, y luego a las pruebas que se recomiendan ejecutar según las distintas fases de análisis. Como dijimos anteriormente, cada prueba que vayamos ejecutando según lo que nos recomienda la guía podemos ir contabilizándola en una checklist, tal como se muestra en la imagen a continuación.

Control MSTG-ARCH-2 que se encuentra en la guía MSTG ubicado en la checklist Mobile_App_Security_Checklists

En términos generales, MSTG nos propone la ejecución de unos 90 controles de seguridad correspondientes a los sistemas iOS, aunque por supuesto no siempre aplica la ejecución total de los mismos. Esto dependerá de la estructura de la aplicación, de sus funcionalidades, y del objetivo de análisis, entre otros aspectos que se podrían presentar. Por otra parte, si bien  MSTG estructura ordenadamente los diversos controles que podemos ejecutar, a la hora de ejecutar estos controles no debemos olvidar tener presente el OWASP Mobile Top 10, ya que es una manera de complementar los controles que propone MSTG de manera generalizada al exponer, como mencionábamos antes, los 10 riesgos de seguridad más críticos que podría tener nuestra aplicación.

OWASP Mobile Top 10

Pues bien, si bien podemos decir que a partir de esta documentación tenemos una serie de controles de seguridad ordenados que podemos ejecutar, también es cierto que durante todo el análisis tendremos que respetar las fases de un pentesting (recolección de información, búsqueda de vulnerabilidades, explotación de vulnerabilidades, etc.) contemplando llevar a cabo ordenadamente las distintas fases y enfoques de trabajo.

Conclusión

Como vimos, el proceso de realizar pentesting en una aplicación para iOS nos exige conocer sobre metodologías de pentesting y también sobre las tecnologías relacionadas a este tipo de aplicaciones. Fuera de todo estándar y metodología, la experiencia del pentester será radical en el resultado de los análisis, pues como podemos deducir, el pentesting no solo se compone de la ejecución de una serie de pruebas y controles de seguridad ordenados, sino que durante todo el proceso de ejecución hay un gran trabajo de análisis que excede a cualquier guía de ejecución y relaciona todas las fases de ejecución a fin de ser lo más minucioso posible.

Si bien como ya dijimos el formato de estas entregas no intenta ser un curso de pentesting, es interesante considerar estas generalidades que estamos desarrollando como puntos de partida o puntos orientativos para poder iniciarnos  en este maravilloso mundo. Siguiendo con esta intención de aportar información introductoria sobre el pentesting en aplicaciones iOS, aprovecharemos que tenemos una aplicación de estudio instalada para abordar en una próxima entrega distintos puntos teórico/prácticos que debemos considerar según la fase de análisis con la que estemos trabajando a fin de formar una serie de recomendaciones que nos pueden ser de utilidad a la hora de hacer pentesting en una aplicación.

Fuente: https://www.welivesecurity.com/

Intel ha dado un golpe de autoridad con Alder Lake, la última generación de sus procesadores. Después de un tiempo en el que la compañía se veía un tanto superada por AMD, ha sabido reaccionar de buenas maneras con el 12600K, que al menos en noviembre de 2021 fue capaz de plantarle cara hasta al Ryzen 7 5800X de AMD para erigirse como un procesador top dentro de la gama media.

Sin embargo, cuando aplicamos la revolución que ha supuesto Alder Lake a los sistemas operativos, los resultados resultaron ser, en un principio, decepcionantes para los usuarios de Linux, que vieron cómo Windows 11 mostraba un rendimiento superior en una comparativa realizada por Phoronix en el mismo mes de noviembre de 2021.

Los resultados de aquella comparativa entre Linux y Windows 11 sobre Alder Lake despertó las críticas de algunos usuarios del sistema de código abierto, que acusaron a Intel de haber creado su última generación de procesadores centrándose exclusivamente en Windows. La razón de la derrota de Linux, que muchas veces vence en estas comparativas, fue debido a que todavía tenía cosas por pulir, sobre todo en lo referido a repartir las cargas de trabajo entre los núcleos de alto rendimiento y los de bajo rendimiento.

A pesar de haber centrado sus esfuerzos inicialmente en Windows debido a que ahí está, y con gran diferencia, la mayor cuota de usuarios, eso no significó que Intel hubiese dejado tirado a Linux. Por suerte, con la versión 5.16 del kernel el panorama ha cambiado, lo suficiente como para que la situación frente a Windows 11 se haya invertido según pruebas más recientes realizadas por Phoronix.

Si bien todavía quedan cosas por pulir, Linux 5.16 ha traído importantes mejoras en la gestión y distribución de las cargas de trabajo en los procesadores Alder Lake, las cuales han sido suficientes para doblegar a su rival. Merece la pena mencionar que en Phoronix no se ha empleado el Intel Core i5-12600K, sino el Core i9 12900K, que está orientado al escritorio de gama alta.

En cuanto a las distribuciones que se han enfrentado a Windows 11 en la segunda comparativa, la única que ha logrado superarlo con cierta diferencia ha sido Clear Linux, el sistema “experimental” de Intel. Sendas versiones modificadas de Ubuntu también han logrado superar a Windows 11, mientras que la versión diaria y estándar de la distribución de Canonical ha quedado en última posición.

Si Linux 5.16 ha dado muestras de remontar frente a Windows, lo mejor podría estar por llegar con la futura versión 5.18 del kernel, la cual incorporará, o al menos así está planeado, la Interfaz de Retroalimentación de Hardware Mejorada (Enhanced Hardware Feedback Interface/EHFI), que debería de mejorar todavía más el rendimiento y la eficiencia de los procesadores híbridos Alder Lake.

A pesar de las críticas que recibe desde ciertos círculos, la realidad es que Intel es posiblemente el fabricante que mejor cuida su soporte de Linux, además de ser uno de los principales contribuidores del kernel.

Fuente: https://www.muylinux.com/

El grupo se responsabilizó de inhabilitar la página web del canal RT en inglés y RT en ruso.

El colectivo de ciberactivistas Anonymous anunció que le declaró la guerra a las autoridades de Rusia, después que Vladímir Putin comunicara en la madrugada de este jueves su decisión de realizar «una operación militar especial» para defender a los habitantes del Donbass.

«El colectivo Anonymous está oficialmente en guerra cibernética contra el Gobierno ruso«, reza la publicación del grupo en su cuenta de Twitter.

The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine

— Anonymous (@YourAnonOne) February 24, 2022

En sustentación de su amenaza, el grupo de ‘hackers’ se responsabilizó por la inhabilitación de las páginas web del canal RT en inglés y RT en ruso, a las que no había acceso a las 2:30 de este viernes (GMT). Asimismo, alegó haber atacado «varios» sitios web del Gobierno ruso.

Mientras tanto, en otra cuenta en Twitter que también se atribuye al grupo y cuenta con más de 6 millones de seguidores, apareció una serie de publicaciones sobre sus «operaciones contra la Federación de Rusia». «Hay inevitabilidad de que el sector privado muy probablemente también será afectado», reza uno de los tuits. «Nosotros, como colectivo, solo queremos la paz en el mundo. Queremos un futuro para toda la humanidad. Así, mientras la gente en todo el mundo rompe en pedazos a sus proveedores de Internet, entiendan que esto está totalmente dirigido a las acciones del Gobierno ruso y Putin», destacó.

En paralelo, el Centro de Coordinación Nacional de Rusia para Incidentes Informáticos catalogó como «crítica» la posibilidad de amenaza de ataques cibernéticos en el espacio ruso de información. «Amenaza de ciberataques a los recursos de información rusos. Nivel de amenaza: crítico», informa un boletín del organismo, datado el 24 de febrero.

Durante la jornada anterior, el organismo advirtió sobre un aumento en la intensidad de los ataques informáticos contra los recursos de información rusos, incluyendo algunos de infraestructura crítica informativa en el contexto de la operación militar especial de Rusia para defender el Donbass.

Previamente el jueves a la madrugada, Vladímir Putin anunció su decisión de realizar «una operación militar especial» para defender Donbass. «He tomado la decisión de llevar a cabo una operación militar especial», declaró el mandatario durante un mensaje especial a los ciudadanos rusos, detallando que el objetivo del operativo es «proteger a las personas que han sido objeto de abusos y genocidio por parte del régimen de Kiev durante ocho años». 

El Ministerio de Defensa de Rusia aseguró que las Fuerzas Armadas rusas apuntan a la infraestructura militar ucraniana y no están atacando a las tropas rendidas ni a la población civil.

Fuente: https://actualidad.rt.com/

¿Están los días contados para contraseñas como ‘123456’? Mientras que Microsoft impulsa un mundo lejos de las contraseñas, esto es lo que su organización debe considerar antes de desprenderse de ellas.

El concepto “sin contraseña” promete hacer la vida mucho más fácil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo cibernético. Sin embargo, a pesar de estos llamativos beneficios, su implementación tanto para las empresas del sector B2C (acrónimo de Business to consumer, en inglés) como para el sector B2B (Business to business) no ha sido tan fuerte como podría haberse esperado.

No obstante, cuando la compañía de software más grande del mundo decide respaldar un nuevo paradigma tecnológico, al menos hay que tomar nota. Hace bastante que Microsoft describió a las contraseñas como “inconvenientes, inseguras y costosas”. En marzo de 2021, la compañía introdujo una solución de autenticación sin contraseña para clientes comerciales. Y, en septiembre, anunció que extendería el soporte para todos los usuarios. Por lo cual, se podría decir que la era de la autenticación sin contraseña finalmente ha llegado.

Cuando las contraseñas ya no son adecuadas para su propósito

Las contraseñas han existido durante casi tanto tiempo como las computadoras y su desaparición ha sido predicha muchas veces. Pero, sin embargo, todavía siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en línea, el correo electrónico y cuentas de comercio electrónico.

El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimación sugiere que el 57% de los trabajadores estadounidenses han anotado contraseñas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamérica que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel. Y el número crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimación de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseñas, casi un 25% más que antes de que comenzara la pandemia.

Desde una perspectiva de ciberseguridad, el desafío con las contraseñas está bien documentado: Proporcionan a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legítimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 días.

Los administradores de contraseñas y métodos como el inicio de sesión único (en inglés, Single Sign-on) ofrecen alguna forma de contención para estos desafíos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todavía no son universalmente populares entre los consumidores. ¿El resultado? Los usuarios reutilizan en múltiples cuentas credenciales que son fáciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.

No se trata solo de riesgos de seguridad. Las contraseñas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una fricción adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volúmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.

Cómo la eliminación de las contraseñas puede beneficiar a su negocio

En este contexto, la autenticación sin contraseña ofrece un gran salto. Mediante el uso de una aplicación de autenticación biométrica, como el reconocimiento facial o una clave de seguridad, o un código único enviado por correo electrónico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administración asociados con las credenciales estáticas.

Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:

• Mejorar la experiencia del usuario: Haciendo que los inicios de sesión sean más fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseñas. Esto incluso podría impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesión.
• Mejorar la seguridad: Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
• Reducción en los costos y el daño a la reputación: al minimizar los daños financieros provocados por los ataques de ransomware y las brechas de datos. También reducirá los costos de administración IT asociados con el restablecimiento de contraseñas y la investigación de incidentes. Un informe indica que podría costar hasta 150 euros (200 dólares) por el restablecimiento de cada contraseña y unas 30.000 horas en pérdida de productividad por año. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podrían emplearse en tareas de mayor valor.

¿Qué está frenando la autenticación sin contraseña?

Sin embargo, “sin contraseñas” no es sinónimo de panacea. Aún existen varias barreras para su implementación, incluyendo:

• La seguridad no está 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados vía mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y máquinas, por ejemplo, vía spyware, también podrían interceptar estos códigos de un solo uso.
• La biometría no es infalible: Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen.
• Altos costos: Las PyMEs (pequeñas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnología sin contraseña termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene más sentido, aunque habrá un costo de desarrollo interno asociado.
• Reticencia del usuario: Hay una razón por la cual las contraseñas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cómo usarlas. Superar el miedo a lo desconocido podría abordarse más fácilmente en un entorno empresarial, donde los usuarios no tendrán otra opción que seguir las reglas. Pero en un mundo B2C podría crear la suficiente fricción adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesión sea lo más fluido e intuitivo posible.

A medida que la era post pandemia efectivamente comience, hay dos tendencias que serán las que den forma al futuro sin contraseña: un aumento en el uso de servicios en línea para el consumidor y la aparición del trabajo híbrido. Con el dispositivo móvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseñas comience aquí.

Fuente: https://www.welivesecurity.com/

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

Fuente: https://www.muylinux.com/

Un fallo en Open Sea, la popular tienda de NFT, permitió que actores maliciosos compraran activos a un precio que tenían tiempo atrás con la intención de revenderlos más caros. Se estima que más de 1 millón de dólares en NFT se vendieron a un menor precio de mercado.

Actores maliciosos explotaron un bug en OpenSea que mantiene accesibles listados antiguos e inactivos que no fueron cancelados y permite a quien explote el fallo comprar NFT a precios más bajos, informó TheRecord el pasado lunes. Uno de los primeros en revelar el bug fue Rotem Yakir, desarrollador de DeFi en la compañía Orbs, quien explicó que este fallo permitía acceder a listas antiguas a través de la API, incluso si han sido eliminadas de la página principal, y alguien podría comprar activos al precio que tenían en ese momento.

Por su parte, la compañía de seguridad de blockchain, PeckShield, hacía referencia al fallo y mencionaba que los atacantes habían obtenido unos 332 ETH, cifra que equivalen a unos 745.000 dólares. Sin embargo, según informó el mismo lunes la compañía británica Elliptic, se identificaron al menos cinco atacantes que han explotado este fallo para comprar al menos 12 NFT por un valor menor al actual, entre ellos los NFT Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats y Cyberkongz. El valor de mercado de los NFT comprados abusando de este bug se estima que es de más de 1 millón de dólares.

Por ejemplo, el 24 de enero alguien compró un NFT de la colección Bored Ape Yacht Club por 0.77 ETH (equivalen a unos 1.800 dólares), que actualmente tienen un valor de aproximadamente 198.000 dólares, y minutos más tarde vendió el NFT por 84.2 ETH, que son aproximadamente 196.000 dólares, obteniendo una ganancia de unos 194.000.

Otro ejemplo que brindó la compañía fue el de un usuario de OpenSea que explotó el fallo para comprar un total de siete NFT por 133.000 y luego los vendió por el equivalente en ETH a 934.000 dólares. Luego, el usuario utilizó la plataforma Tornado Cash, un servicio utilizado para dificultar el seguimiento de transacciones de fondos en la blockchain.

Según Yakir, quien explicó en un hilo de Twitter los detalles técnicos de este bug, para asegurarse que usted está a salvo de este fallo puede verificar en orders.rarible.com y ver si sus listas previas aún están ahí, pero para estar a salvo de que no le afectará recomienda transferir sus NFT a una billetera diferente.

OpenSea actualizó un artículo en el que explica qué son las listas inactivas y cómo gestionarlas, y recuerda que la plataforma no puede crear o cancelar listas en nombre del usuario. Para poder cancelar una lista inactiva, el usuario debe ir a su perfil, seleccionar la pestaña listas y ahí elegir la opción inactivas. Asimismo, la plataforma anunció esta semana el lanzamiento de un nuevo administrador de listas.

Por último, un vocero de OpenSea dijo a Blockworks que están contactándose con los afectados de manera activa y reembolsando el dinero.

Fuente: https://www.welivesecurity.com/

Lamentablemente, muchas personas siguen utilizando pocas contraseñas para acceder a todas sus cuentas online, y esto supone un gran riesgo.

Las contraseñas son un dolor de cabeza para todos, pero aceptémoslo, las necesitamos. Y no van a desaparecer tan rápido como Microsoft podría querer. Por el momento, seguiremos dependiendo de ellas para el impredecible futuro. Es posible que usted tenga 50, 100 o incluso 200 cuentas online, pero ¿cuántas contraseñas tiene? ¿todas son únicas? A continuación, comparto una anécdota que sugiere que las personas siguen utilizando unas pocas contraseñas personalizadas para acceder a todas sus cuentas.

Hace unos meses asistí a una conferencia organizada por una empresa de gestión de patrimonios a la que me habían invitado para hablar sobre ciberseguridad. La audiencia estaba compuesta por más de 50 personas y, cuando mencioné “las contraseñas”, hicieron lo que la mayoría de la gente hace cuando me refiero al tema: comenzaron a mirar hacia los costados, evitando el contacto visual, con la esperanza de que no los señale para hablar. Instantáneamente me di cuenta de que su lenguaje corporal me estaba diciendo que no seguían las mejores prácticas en cuanto al uso y creación de contraseñas, así que decidí profundizar un poco más y les hice preguntas sobre cómo gestionaban sus credenciales. Algunas de las respuestas fueron muy interesantes.

En primer lugar, pregunté si alguien utilizaba un administrador de contraseñas. Un miembro de la audiencia levantó la mano y dijo que lo hacía solamente porque había escuchado una de mis charlas en el pasado (¡me sentí honrado!). Por lo tanto, el 98% de las personas en la sala no habían usado un gestor de contraseñas ni tenían un sistema para cuidar sus cuentas. Luego les pregunté cómo administraban sus cuentas online y varios señalaron que utilizaban las mismas tres o cuatro contraseñas, en las cuáles incluían información personal como fechas especiales o nombres significativos. Sí, fue terrible.Lectura relacionada: Las contraseñas más comunes del 2021 son también las más inseguras

Decidí realizar un pequeño experimento sobre la marcha con la ayuda de un voluntario. He comprobado en varias oportunidades que en momentos como estos los experimentos “de la vida real” sirven de maravilla porque, si funcionan, generan que los miembros de la audiencia hagan su tarea antes de irse a la cama esa misma noche.

Con su permiso, busqué a este caballero en Facebook y lo encontré rápidamente. Localicé todo su contenido público e hice una lista en la pizarra de las posibles contraseñas que imaginé que podría estar usando. Anoté lugares de interés, nombres de mascotas, nombres de los hijos, fechas de interés, equipos deportivos, libros, música… en fin, todas las posibilidades clásicas. Tenía alrededor de 20 palabras y números diferentes en una lista y aquí viene la parte impactante en la que sentí que había encontrado un tesoro enterrado.

Mientras me miraba boquiabierto, dijo que no solo había descifrado una de sus contraseñas, sino que incluso había encontrado iteraciones de tres de las cuatro contraseñas que “usa para todo”. Más tarde descubrí que a las iteraciones les faltaba una letra mayúscula al principio y un número al final (típico, ¿no?). Este número siempre era el mismo: la fecha del mes en que nació. La multitud estaba perpleja de que yo hubiera descifrado sus contraseñas, pero yo no. Este es un comportamiento estándar, y los ciberdelincuentes también lo saben.

Entonces, surge la pregunta de por qué una persona, y especialmente si tiene acceso a una gran cantidad de riqueza, datos y medios de vida, aún hoy elegiría usar una contraseña que es débil en tantos niveles.

El futuro

¿Cuál es el futuro de las contraseñas? ¿Somos verdaderamente capaces de ir a donde los humanos aún no se han aventurado e intentar vivir en una sociedad sin contraseñas? ¿O crees, como yo, que, las contraseñas y el uso de frases como contraseña en realidad tienen un lugar en la cibersociedad y, cuando son bien utilizadas, en realidad son una ventaja? A diferencia de los datos biométricos, no hay un límite para la cantidad de contraseñas que una persona puede tener, además de que es posible almacenarlas en un administrador de contraseñas e incluso usarlo para que genere claves. Además, es extremadamente fácil acceder a una cuenta utilizando una contraseña en combinación con el doble factor de autenticación, como puede ser el uso de una aplicación de autenticación o una clave de seguridad, incluso para un usuario básico. De hecho, mis padres, a mediados de sus 70 años, utilizan gestores de contraseñas junto con aplicaciones de autenticación basadas en el teléfono para todas las cuentas que se los permiten, ¡y siempre me repiten lo fácil que les resulta!

Una brecha de datos que sufra un servicio en el cual tiene una cuenta puede ser suficiente para que un criminal tenga acceso a todas sus cuentas, si es que usted suele reutilizar sus contraseñas. Por lo cual, es posible que quiera mantener sus contraseñas en un lugar seguro. Muchas personas utilizan el gestor de claves de Apple o simplemente las guardan en su navegador. Sin embargo, si alguna vez su dispositivo es robado y no tiene cifrado de disco completo, si llega a las manos equivocadas podrían tener acceso al mismo, aún sin estar viendo cuál es la contraseña. Por esta razón, el uso de un administrador de contraseñas de terceros en varios dispositivos puede ser más beneficioso.Lectura recomendada: 5 herramientas para administrar la seguridad de tus datos

En los dispositivos de Apple, otro consejo importante para mantener sus datos seguros y lejos de las miradas indiscretas o las filtraciones de datos es utilizar una función que permite ocultar su dirección de correo electrónico para externos. “Iniciar sesión con Apple” le permite anonimizar su dirección al iniciar sesión en los servicios que admiten la función. De hecho, recientemente se ha lanzado una actualización en la que permite a los usuarios de iCloud hacer uso de la función “Hide My Email”, que en español significa ocultar mi correo electrónico, que hace exactamente lo que su nombre indica al permitirle generar una dirección de un solo uso, que reenvía los correos entrantes a su cuenta real. De esta forma, si alguna vez los datos se ven comprometidos, ¡su dirección de correo electrónico permanecerá segura!

Fuente: https://www.welivesecurity.com/

Este tutorial trata sobre cómo reducir la tensión en los ojos en Linux Ubuntu. Haremos todo lo posible para que comprenda esta guía. Espero que les guste este blog Cómo reducir la tensión en los ojos en Linux Ubuntu . Si su respuesta es sí, por favor comparta después de leer esto

Compruebe cómo reducir la tensión en los ojos en Linux Ubuntu

Cuando pasas largas horas mirando la pantalla de la computadora, es normal que los ojos de tu computadora se cansen. En este artículo, le mostraré una herramienta ingeniosa que puede usar para reducir la fatiga visual de la computadora en Linux. Pero primero veamos qué es la fatiga ocular informática. La fatiga ocular informática o fatiga ocular digital es el término genérico para todos los problemas oculares causados ​​por largas horas frente a la pantalla de una computadora.

Según este estudio, el 68% de los millennials se quejaron de fatiga visual por la computadora. La cuestión es que a la mayoría de la gente simplemente no le importa porque trabajar con computadoras se ha convertido en una parte inseparable de nuestras vidas. Si bien trabajar en una computadora es inevitable (especialmente si eso es lo que hace para ganarse la vida), hay varias formas de reducir la fatiga visual mientras continúa trabajando en la pantalla de la computadora.

Cómo reducir la fatiga visual en Linux Ubuntu

Inicie descansos breves en el trabajo y reduzca la fatiga visual en Ubuntu
Para comenzar descansos breves en Ubuntu para proteger sus ojos de la fatiga, debe instalar un software llamado Safe Eyes. Use los siguientes comandos para descargar e instalar esta herramienta:

Una vez que la herramienta está instalada, puede iniciarla buscando Safe Eyes en Ubuntu Dash.

La acción de inicio no genera inmediatamente una GUI, sino que inyecta silenciosamente el ícono de Safe Eyes en la bandeja del sistema de su caja de Ubuntu. La siguiente captura de pantalla muestra las opciones de menú que se generan cuando se hace clic en el icono.

La primera opción no es más que el tiempo que falta para el próximo descanso. La segunda opción «Habilitar ojos seguros» está seleccionada de manera predeterminada, pero puede hacer clic nuevamente para deshabilitar la herramienta. Luego hay una opción de «Configuración». Al hacer clic en él, aparece el menú de configuración de la herramienta.

Aquí puede ver que hay dos tipos de pausas de Safe Eyes: largas (para ejercicios de cuerpo completo) y cortas (para ejercicios solo para los ojos). Puede ajustar la duración de ambos tipos de pausas aquí. Luego, también hay una opción para establecer el intervalo entre dos pausas, la cantidad de pausas cortas entre dos pausas largas y el tiempo que la herramienta le da al usuario antes de comenzar una pausa.

La pantalla de interrupción generalmente incluye un botón de omisión en caso de que suceda algo realmente urgente y no pueda permitirse el lujo de retrasarlo. Pero si lo desea, puede hacer que el retraso de Safe Eyes sea obligatorio habilitando la opción «Pausa dura» en el menú «Configuración». Esta opción es especialmente útil cuando está configurando la herramienta en la computadora de su hijo y quiere asegurarse de que su hijo obedezca la herramienta.

Aquí hay algunas capturas de pantalla para darle una idea de cómo la herramienta emite notificaciones antes de que comience una interrupción y cómo se ve la pantalla de interrupción real.

Como puede ver en la captura de pantalla anterior (perdón por la mala calidad porque tuve que tomarla con mi teléfono móvil), la herramienta también recuerda a los usuarios algunos ejercicios oculares útiles para hacer durante este tiempo. Además de poner los ojos en blanco, algunas de las otras sugerencias de ejercicios que vi fueron cerrar los ojos con fuerza, girar los ojos en el sentido de las agujas del reloj y caminar un poco.

La siguiente es la lista completa de características que ofrece Safe Eyes:

• Breves pausas con ejercicios para los ojos.
• Descansos largos para cambiar de posición física y calentar
• Ruptura estricta para adictos a la computadora
• altamente personalizable
• No molestar cuando se trabaja con aplicaciones de pantalla completa (por ejemplo, viendo películas)
• Deshabilitar el teclado durante el descanso
• Notificaciones antes de cada descanso
• Soporte para múltiples espacios de trabajo
• Soporte para múltiples monitores
• Diseño elegante y personalizable
• soporte multilingüe

Palabras finales: Cómo reducir la tensión en los ojos en Linux Ubuntu

Espero que entienda este artículo Cómo reducir la tensión en los ojos en Linux Ubuntu , si su respuesta es no, entonces puede preguntar cualquier cosa a través de la sección del foro de contacto relacionada con este artículo. Y si su respuesta es sí, comparta este artículo con su familia y amigos.

Fuente: https://www.somoslibres.org/

Se trata de una vulnerabilidad de escalación de privilegios y de fácil explotación en Linux que puede proporcionar acceso root. Ya está circulando un exploit.

Descubrieron una vulnerabilidad en Polkit, un componente para controlar sistemas con todos los privilegios presente en la mayoría de las distribuciones de Linux. Este componente cuenta con pkexec, una herramienta que permite a un usuario sin privilegios ejecutar comandos como si fuera otro usuario y con los máximos privilegios. La vulnerabilidad fue registrada como CVE-2021-4034 y apodada PwnKit. Una particularidad es que existe desde 2009, por lo que afecta a todas las versiones de Polkit.

La explotación exitosa de esta CVE permite a un usuario local sin privilegios obtener acceso root en el host vulnerable. Además, investigadores de Qualys, responsables del hallazgo, desarrollaron un exploit y comprobaron que podían obtener privilegios root en Ubuntu, Debian, Fedora y CentOS. También aseguran que probablemente otras distribuciones de Linux sean vulnerables a PwnKit.

Si bien los investigadores mencionan que la explotación del fallo es sencilla, no deja de sorprender que menos de tres horas después de se publicara el análisis técnico de la vulnerabilidad por parte de Qualys, se haya publicado un exploit que medios como BleepingComputer confirman que funciona y permite obtener privilegios root en un sistema. Asimismo, Will Dorman, analista del CERT Coordination Center confirmó que funciona en sistemas ARM64.

El error radica en que pkexec no manipula correctamente los parámetros de llamada y termina intentando ejecutar variables de entorno como comandos. Los investigadores recomiendan instalar los parches que publicaron los autores de Polkit. La mayoría de los distribuidores de Linux están trabajando en un parche que estiman saldrá a la brevedad. Ubuntu ya lanzó un parche que corrige la vulnerabilidad para las versiones ESM 14.04 y 16.04 y para las versiones 18.04, 20.04 y 21.10.

Si bien no puede ser explotada remotamente y es necesario que el atacante obtenga acceso local a una cuenta, se trata de una vulnerabilidad importante. Además, si bien ya se lanzó un exploit, es esperable que aparezcan otros.

Fuente: https://www.welivesecurity.com/

El acuerdo de datos en línea «Escudo de Privacidad» entre Europa y EE. UU. fue invalidado en julio de 2020 en una decisión del máximo tribunal de la UE, arrojando a multinacionales tecnológicas a la incertidumbre legal.

Meta, la empresa matriz de Facebook e Instagram, amenazó con la posibilidad de cerrar sus servicios en los países de la Unión Europea (UE) a causa de una sentencia judicial que le impide transferir datos de los usuarios europeos a su sede en Estados Unidos.

En su último informe ante la Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés), la empresa de Menlo Park (California, EE. UU.) explica que el fallo del Tribunal de Justicia de la Unión Europea (TJUE) del 16 de julio de 2020 podría tener consecuencias para su «capacidad de proveer servicios».

Personalización de los anuncios online

«Si no nos permiten transferir datos entre países y regiones en las que operamos, o si nos restringen la capacidad de compartir datos entre nuestros productos y servicios, la capacidad para proveer nuestros servicios podría verse afectada», indicó la compañía que dirige Mark Zuckerberg.

La razón fundamental de esta posible «afectación» a sus servicios es la dificultad que las mayores restricciones de privacidad suponen para poder personalizar los anuncios online, que es la principal fuente de ingresos de Meta.

La empresa matriz de Facebook, Meta, dijo, no obstante, que no tiene el deseo de retirar sus servicios de Europa.

«No tenemos ningún deseo ni planes de retirarnos de Europa, pero la simple realidad es que Meta, y muchas otras empresas, organizaciones y servicios, dependen de las transferencias de datos entre la UE y Estados Unidos para poder operar servicios globales», dijo la empresa en un comunicado.0 seconds of 0 secondsVolume 90%Ver el video00:55

Francia inflige multas millonarias a Google y Facebook multadas a causa de sus «cookies»

«Escudo de protección»

En concreto, la firma que hasta octubre del año pasado se llamaba Facebook citó la invalidación por parte de la Justicia europea del conocido como «escudo de protección», un acuerdo entre la UE y EE. UU. para que las empresas puedan transferir los datos de los usuarios entre continentes.

El «escudo de protección» fue invalidado por el TJUE en julio de 2020 al considerar que posibilitaba injerencias en los derechos fundamentales de los ciudadanos europeos cuyos datos se transfieren al país norteamericano y no otorgaba el nivel adecuado de garantías que pretende asegurar el Reglamento General de Protección de Datos (RGDP) de la Unión Europea. 

En virtud de ese acuerdo, las empresas estadounidenses que procesaban datos personales que proviniesen de la UE debían estar dadas de alta en el sistema en el Departamento de Comercio de Estados Unidos y respetar compromisos como informar del derecho al dueño de los datos, si pretendían transferirlos a terceras partes y los motivos, o no utilizar nunca los datos con un fin distinto al original.

La decisión de la corte obliga a la Comisión Europea (CE) a revisar la normativa, que está trabajando para adaptar el RGPD al caso específico de Estados Unidos, donde están radicadas gran parte de las multinacionales tecnológicas, entre ellas, Meta.

La Comisión también mantiene abiertas negociaciones con el Gobierno estadounidense para alcanzar un nuevo acuerdo sucesor del «escudo de protección» que cumpla con la resolución judicial, según la información más actual de su página web. 

Facebook sufre la peor caída de su historia

El gigante de las redes sociales sufrió recientemente la peor caída de su historia en el valor de mercado, tras unos resultados trimestrales decepcionantes que plantearon dudas sobre su futuro.

Su emblemática plataforma de Facebook experimentó un pequeño descenso en el número de usuarios diarios en todo el mundo a finales de 2021, el primer descenso de este tipo para una plataforma implacablemente centrada en el crecimiento.

La preocupación de la compañía por sumar usuarios fue central en el escándalo de los denunciantes el año pasado, en el que documentos internos filtrados apuntalaron informes de prensa que decían que la compañía priorizaba el crecimiento sobre la seguridad.

Fuente: https://www.dw.com/