Archive

Archive for August 17, 2019

KNOB un nuevo ataque para interceptar tráfico cifrado de Bluetooth

August 17, 2019 Leave a comment

bluetooth KNOB

Recientemente se dio a conocer información importante sobre un nuevo ataque llamado KNOB (Key Negotiation Of Bluetooth), que le permite a un atacante poder organizar la intercepción y la sustitución de la información en el tráfico cifrado de Bluetooth.

Al tener la capacidad de bloquear la transmisión directa de paquetes en el proceso de negociación de la conexión de dispositivos Bluetooth, el atacante puede lograr el uso de claves que contienen solo 1 byte de entropía para la sesión, lo que le permite poder utilizar el método de fuerza bruta para determinar la clave de cifrado.

Sobre KNOB

Daniele Antonioli de SUTD, el Dr. Nils Tippenhauer de CISPA y el profesor Kasper Rasmussen de la Universidad de Oxford descubrieron esta nueva vulnerabilidad de KNOB y afecta a dispositivos Bluetooth BR / EDR, también conocidos como Bluetooth Classic, utilizando las versiones de especificación 1.0 – 5.1.

Los investigadores informaron la vulnerabilidad a los miembros de ICASI, Microsoft, Apple, Intel, Cisco y Amazon, quienes emitieron una divulgación coordinada de la vulnerabilidad.

El problema (CVE-2019-9506) es causado por fallas  en la especificación Bluetooth BR / EDR Core 5.1 y versiones anteriores que permiten el uso de claves de cifrado que son demasiado cortas y no evitan que un atacante interfiera con el paso de negociación de conexión para revertir a esas claves poco confiables (los paquetes pueden ser sustituidos por un atacante no autenticado ).

Se puede realizar un ataque al momento de negociar la conexión de un dispositivo (las sesiones ya establecidas no se pueden atacar) y es efectivo solo para conexiones en los modos BR / EDR (Velocidad básica de Bluetooth / Velocidad de datos mejorada) si ambos dispositivos son vulnerables.

Si la clave se selecciona con éxito, el atacante puede descifrar los datos transmitidos y silenciosamente de la víctima realizar una sustitución de texto cifrado arbitrario en el tráfico.

¿Como funciona el ataque?

Para reproducir la vulnerabilidad en el laboratorio (la actividad del atacante se emitió en uno de los dispositivos), se propuso un kit de herramientas prototipo para llevar a cabo el ataque.

Para un ataque real, el atacante debe estar en la zona de recepción de los dispositivos de las víctimas y tener la capacidad de bloquear brevemente la señal de cada dispositivo, que se propone implementar mediante la manipulación de la señal o la interferencia reactiva.

Explotar esta vulnerabilidad no es una tarea fácil, ya que requiere que se establezcan condiciones específicas. Esto incluye:

  • Ambos dispositivos deben ser Bluetooth BR/EDR.
  • Un atacante necesitaría estar dentro del alcance de los dispositivos mientras establecen una conexión.
  • “El dispositivo atacante necesitaría interceptar, manipular y retransmitir mensajes de negociación de longitud de clave entre los dos dispositivos y al mismo tiempo bloquear las transmisiones de ambos, todo dentro de una ventana de tiempo estrecha”.
  • La clave de cifrado necesitaría ser acortada con éxito y luego forzada a descifrar la clave de descifrado.
  • El atacante necesitaría repetir este ataque cada vez que los dispositivos se emparejaran.

Al establecer una conexión entre dos controladores Bluetooth A y B, el controlador A, después de la autenticación con una clave de canal (clave de enlace), puede ofrecer utilizar 16 bytes de entropía para la clave de cifrado, y el controlador B puede aceptar este valor o especificar un valor inferior, en si no es posible generar una clave del tamaño propuesto.

En respuesta, el controlador A puede aceptar la respuesta y activar el canal de comunicación encriptado.

En esta etapa de la negociación de parámetros, el cifrado no se aplica, por lo que el atacante tiene la oportunidad de meterse en el intercambio de datos entre controladores y reemplazar el paquete con el tamaño de entropía propuesto.

Como el tamaño de clave permitido varía de 1 a 16 bytes, el segundo controlador aceptará este valor y enviará su confirmación con una indicación de un tamaño similar.

La organización Bluetooth SIG responsable del desarrollo de los estándares de Bluetooth ha publicado una actualización de la especificación con el número 11838, en la que los fabricantes han propuesto medidas para bloquear la vulnerabilidad (el tamaño mínimo de la clave de cifrado se ha incrementado de 1 a 7).

Para el Kernel de Linux se propuso en el kernel stack una solución que le permite cambiar el tamaño mínimo de una clave de cifrado.

from Linux Adictos https://ift.tt/2KDd78X
via IFTTT

Categories: Internet, Linux Tags: , ,

Llega KDE Applications 19.08 y estas son las mejoras que nos ofrecen

August 17, 2019 Leave a comment

KDE_applications

Hace pocos días los desarrolladores del proyecto de KDE dieron a conocer mediante una publicación en su blog, la liberación de la nueva versión de KDE Applications 19.08, incluida una selección de aplicaciones de usuario adaptadas para trabajar con KDE Frameworks 5.

Con la llegada de esta nueva version las principales aplicaciones del entorno de escritorio de KDE han recibido una significante mejora para su uso y funcionamiento, de entre estas aplicaciones el gestor de archivos llega con la esperada multi-pestañas.

Principales novedades de KDE Applications 19.08

Dolphin recibió mejoras, pues los desarrolladores implementaron y habilitaron de manera predeterminada la capacidad de abrir una nueva pestaña en una ventana existente del administrador de archivos (en lugar de abrir una nueva ventana con una instancia de Dolphin separada) al intentar abrir un directorio desde otra aplicación.

Otra mejora es el soporte para la tecla de acceso rápido global Meta + E, que permite llamar al administrador de archivos en cualquier momento.

Se han realizado mejoras en el panel de información correcto: Soporte agregado para permitir la reproducción automática de archivos multimedia resaltados en el panel principal.

dolphin_bookmark

Se ha agregado un bloque de configuración incorporado que permite cambiar el contenido que se muestra en el panel sin abrir una ventana de configuración separada.

Para Konsole se han ampliado las posibilidades del diseño de la ventana de mosaico: la ventana principal ahora se puede dividir en partes en cualquier forma, tanto vertical como horizontalmente.

A su vez, cada área obtenida después de la separación también se puede dividir o mover con el mouse a una nueva ubicación en modo arrastrar y soltar. La ventana de configuración se ha rediseñado, lo que se ha vuelto más claro y simple.

KMail proporciona integración con sistemas de revisión gramatical como LanguageTool y Grammalecte. Se agregó soporte para el marcado Markdown en la ventana de redacción del mensaje. Al planificar eventos, la eliminación automática de las cartas de invitación se detuvo después de escribir la respuesta.

Vídeo, imagen y PDF

Gwenview Image Viewer mejoro la visualización de miniaturas y el modo de bajo consumo de recursos, que utiliza miniaturas de baja resolución.

Este modo es significativamente más rápido y consume menos recursos al cargar miniaturas de imágenes JPEG y RAW.

Además, se resolvieron los problemas con la creación de miniaturas de las cámaras Sony y Canon y se amplió la información que se muestra sobre la base de metadatos EXIF ​​para imágenes RAW.

Okular mejoro el trabajo con anotaciones, por ejemplo, ha sido posible contraer y expandir todas las anotaciones a la vez, se ha rediseñado el diálogo de configuración y se ha agregado la función de enmarcar los extremos de las etiquetas lineales (por ejemplo, puede mostrar una flecha).

Mientras que con Spectacle al crear una instantánea con un retraso en el encabezado y el botón en el panel del administrador de tareas proporciona una indicación del tiempo restante antes de que se tome la instantánea.

Cuando se abre la ventana Spectacle, mientras espera la imagen, ahora aparece un botón para cancelar la acción. Después de guardar la imagen, se muestra un mensaje que le permite abrir la imagen o el directorio en el que se guarda.

Kdenlive presenta nuevas secuencias de escape de teclado y mouse. Por ejemplo, si gira la rueda mientras mantiene presionada la tecla Mayús en la línea de tiempo, cambiará la velocidad del clip, y al mover el cursor sobre las miniaturas del clip mientras mantiene presionada la tecla Shift se activará la vista previa del vídeo.

Las operaciones de edición de tres puntos se han unificado con otros editores de vídeo. Al intentar abrir un nuevo documento en el editor de texto de Kate, la instancia ya lanzada del editor aparece en primer plano. En el modo “Apertura rápida”, los elementos se ordenan por el momento en que se abrieron por última vez y el elemento superior de la lista se selecciona de forma predeterminada.

Finalmente, esta nueva actualización estará llegando de manera gradual a las diferentes distribuciones de Linux. Aunque también es posible probar los diferentes componentes por separado con ayuda de la tecnología de los paquetes de Flatpak.

from Linux Adictos https://ift.tt/2Mnivit
via IFTTT

Categories: Internet, Linux Tags: , ,

Al mercado de los móviles plegables aún le faltan 5 años para alcanzar la “moderada” cifra de 50 millones

August 17, 2019 Leave a comment
Categories: Internet Tags: , ,

Una funda de titanio, tecnología aeroespacial y 1.300 euros, ¿se nos va de las manos?

August 17, 2019 Leave a comment
Categories: Internet Tags: , ,

Pro vs Plus: qué significa cada versión y cuál es la que suelen usar las marcas

August 17, 2019 Leave a comment
Categories: Internet Tags: , ,

El cliente de Rust dejará de estar disponible para linux. Ofrecerán reembolsos

August 17, 2019 Leave a comment

Rust: imagen juego de supervivencia

El cliente de Rust, un juego de supervivencia multijugador dejará pronto de tener una versión para Linux. En compensación  ofrecerá reembolsos a aquellos que lo utilicen actualmente. En un artículo publicado en su blog explican que la versión Linux se transformó en un “santuario de los tramposos”.

A esto hay que sumar que una actualización que incorporaba mejoras en el rendimiento y la seguridad, y que se liberó en setiembre no funcionaba en Linux. Sin embargo, los desarrolladores siguen queriendo tener una versión que si lo haga.

Al principio los desarrolladores, Facepunch Studios,  pensaron en aislar la compilación para Linux en su propio servidor, liberando solo parches de mantenimiento. Esta compilación no recibiría ninguna característica nueva. Sin embargo, luego han optado por eliminar el cliente por completo.

Según declaró el fundador y programador Garry Newman:

“Después de escuchar a la comunidad Linux durante la semana pasada, ahora nos damos cuenta de que hacer una construcción separada sería una mierda. Así que hemos decidido que sería mejor dejar de liberar un cliente Linux y ofrecer reembolsos”,

De todas formas, si habías comprado el cliente Linux tendrás que esperar para el reembolso. Para obtenerlo es necesario que Facepunch Studios se coordine con la plataforma de juegos Steam en la cual se comercializa.

Newman recomienda que uses la versión Linux al menos una vez antes del 5 de setiembre, la fecha prevista para la desconexión. Esto es para asegurarse que eres candidato a recibir el reembolso. Esto es porque para determinar si puedes pedirlo o no se basarán en el historial de uso de Steam, y este tiene una cantidad de registros limintados.

Aún cuando consideres que no deberían reembolsarte, Newman te invita a que igual lo pidas.

“Puedes usar ese dinero para comprar un juego de un desarrollador que sea compatible con Linux, es lo mejor que puedes hacer para ayudar a tu comunidad”

Newman reconoce que aunque esperaban que la versión Linux iba a ser más difícil de mantener que los otros productos, subestimaron los recursos necesarios para mantener los estándares.

“No fuimos capaces de probar características y errores “a menos que supiéramos o sospecháramos que algo andaba mal”. Hemos sido reactivos en lugar de proactivos, y eso no es lo que se puede esperar cuando se ha pagado por un juego”.

from Linux Adictos https://ift.tt/2KT8XZj
via IFTTT

Categories: Internet, Linux Tags: , ,

Según un informe, la carga inalámbrica es lo peor que le puedes hacer a la batería de tu móvil

August 17, 2019 Leave a comment
Categories: Internet Tags: , ,