Archive

Archive for November 3, 2019

Microsoft firmo un acuerdo para unirse al desarrollo de OpenJDK

November 3, 2019 Leave a comment

Microsoft

Hace algunos dias, se dio a conocer por medio de un mensaje enviado a la lista de distribución de la comunidad OpenJDK, en el cual Bruno Borges de la División de Gestión de Productos Java de Microsoft, anunció que Microsoft ha firmado formalmente un acuerdo de colaboración con Oracle “Oracle Contributor Agreement” y ha sido recibido en la comunidad Java.

Con lo cual en una primera etapa, el equipo de desarrollo de Microsoft de Java tienen la intención de limitarse a corregir los errores y realizar trabajos de backport para unirse a la comunidad y adaptarse a las reglas de desarrollo de OpenJDK. El equipo de ingeniería de Java de Microsoft ya afirmo que está comprometido con otros grupos y ramas de Microsoft que usan Java, junto con los socios en el ecosistema de Java, incluidos Oracle, Azul Systems, Red Hat, Pivotal, Intel y SAP.

Por ejemplo, Microsoft ya se dio cuenta de que en la comunidad OpenJDK, la forma preferida de promover la innovación es discutir inicialmente los cambios antes de que se publiquen los parches.

Luego reafirmó el compromiso de Microsoft con Java y que el equipo espera devolver algo a la comunidad de Java. Sin embargo, el equipo no solo irrumpirá con mano dura, sino que comenzará con pequeñas correcciones de errores y cosas por el estilo para que puedan aprender a ser “buenos ciudadanos dentro de la comunidad de OpenJDK”.

Y es que ha pasado ya mucho tiempo desde que Microsoft trabajó de la mano con Oracle para participar en el desarrollo de Java para garantizar que JVM proporcione un rendimiento adecuado en su sistema operativo Windows.

Ya que anteriormente la adopción de Java por parte de Microsoft ha recorrido un largo camino desde la década de 1990, cuando el creador de Java Sun Microsystems demandó a Microsoft por un incumplimiento de contrato.

Sun alegó que Microsoft había distribuido una versión de Java incompatible con la de Sun, lo que arrojó una llave inglesa en la promesa de Sun “Write Once, Run Anywhere” para Java. Microsoft respondió, y la disputa se resolvió a principios de 2001.

Durante los últimos años, Microsoft estuvo lanzando campañas masivas de reclutamiento en donde el principal objetivo era atraer a ex empleados de Oracle para fortalecer sus equipos de desarrollo de herramientas. Esto ha llevado a la estandarización de los kits de desarrollo de Java que permiten a los desarrolladores de Java interactuar con sus servicios en su plataforma Azure Cloud.

Pero apesar de ello esta es la primera vez que el gigante integra OpenJDK dentro de sus tareas para contribuir directamente al desarrollo de Java. Borges, él mismo es un ex desarrollador de Oracle. El presento a Martijn Verburg como el líder del equipo de ingeniería de Java que trabajará junto con otros socios en el ecosistema de Java.

Martijn Verburg también es CEO de jClarity, un contribuyente líder de AdoptOpenJDK adquirido por Microsoft en agosto de este año para mejorar el soporte de Java en Azure. Por lo que presumiblemente se mantendrá fiel a su forma y continuará contribuyendo al mundo Java, solo que ahora con Microsoft dentro de sus filas.

OpenJDK es la versión libre de la plataforma de desarrollo Java bajo concepto de lenguaje orientado a objetos. Es el resultado de esfuerzos constantemente realizados por la empresa denominada Sun Microsystems.

Esta implementación se encuentra catalogada dentro de la licencia GPL de GNU con una excepción de enlaces, por lo que algunos de los componentes de los folders de clases y sitios web de Java se ultiman de los términos de la licencia para poder ser considerados dentro de la versión estipulada como GNU.

Bruno Borges indica que, al principio, Backports mientras continúa estudiando y observando los usos y políticas que se ejecutan en OpenJDK, por ejemplo, discuta en la lista de correo para llegar a un consenso antes de buscar publicar un parche.

Puedes leer el mensaje original en el siguiente enlace.

 

from Linux Adictos https://ift.tt/2Cd1zE8
via IFTTT

Categories: Internet, Linux Tags: , ,

OpenSSH ya cuenta con el soporte inicial de la autentificación de dos factores

November 3, 2019 Leave a comment

A2F OpenSSH

OpenSSH el conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH ha agregado un soporte experimental para la autenticación de dos factores a la base de su código, utilizando dispositivos que admiten el protocolo U2F desarrollado por la alianza FIDO.

Para quienes desconocen de U2F, deben saber que, este es un estándar abierto para hacer tokens de seguridad de hardware de bajo costo. Estas son fácilmente la forma más barata para que los usuarios obtengan un par de claves respaldado por hardware y hay una buena gama de fabricantes que los venden, incluidos Yubico, Feitian, Thetis y Kensington.

Las claves respaldadas por hardware ofrecen la ventaja de ser considerablemente más difícil de robar: un atacante generalmente tiene que robar el físico token (o al menos acceso persistente a él) para robar la clave.

Dado que hay varias maneras de hablar con dispositivos U2F, incluido USB, Bluetooth y NFC, no queríamos cargar OpenSSH con un montón de dependencias En cambio, hemos delegado la tarea de comunicarse con el tokens a una pequeña biblioteca de middleware que se carga de manera similar al soporte existente PKCS # 11.

OpenSSH ahora tiene soporte experimental U2F/FIDO, con U2F se agrega como un nuevo tipo de clave sk-ecdsa-sha2-nistp256@openssh.com o “ecdsa-sk” para abreviar (el “sk” significa “clave de seguridad”).

Los procedimientos para interactuar con los tokens se han transferido a una biblioteca intermedia, que se carga por analogía con la biblioteca para el soporte PKCS # 11 y es un enlace sobre la biblioteca libfido2, que proporciona medios para comunicarse con los tokens a través de USB (se admiten los protocolos FIDO U2F / CTAP 1 y FIDO 2.0 / CTAP 2).

La biblioteca intermedia libsk-libfido2 preparada por los desarrolladores de OpenSSH se incluye en el núcleo libfido2, así como el controlador HID para OpenBSD.

Para habilitar U2F, se puede usar una nueva porción de la base de código del repositorio de OpenSSH y la rama HEAD de la biblioteca libfido2, que ya incluye la capa necesaria para OpenSSH. Libfido2 admite el trabajo en OpenBSD, Linux, macOS y Windows.

Hemos escrito un middleware básico para libfido2 de Yubico que es capaz de hablar con cualquier token estándar USB HID U2F o FIDO2. El middleware. La fuente está alojada en el árbol libfido2, por lo que construir eso y OpenSSH HEAD es suficiente para comenzar

La clave pública (id_ecdsa_sk.pub) debe copiarse al servidor en el archivo autorizado_claves. En el lado del servidor, solo se verifica una firma digital y la interacción con los tokens se realiza en el lado del cliente (no es necesario instalar libsk-libfido2 en el servidor, pero el servidor debe admitir el tipo de clave “ecdsa-sk”).

La clave privada generada (id_ecdsa_sk) es esencialmente un descriptor de clave que forma una clave real solo en combinación con una secuencia secreta almacenada en el lado del token U2F.

Si la clave id_ecdsa_sk cae en manos del atacante, para la autenticación, también necesitará acceder al token de hardware, sin el cual la clave privada almacenada en el archivo id_ecdsa_sk es inútil.

Además, de forma predeterminada, cuando se realizan operaciones clave (tanto durante la generación como la autenticación), se requiere una confirmación local de la presencia física del usuario, por ejemplo, se sugiere tocar el sensor en el token, lo que dificulta realizar ataques remotos en sistemas con un token conectado.

En la etapa de inicio de ssh-keygen, también se puede configurar otra contraseña para acceder al archivo con la clave.

La clave U2F se puede agregar a ssh-agent a través de “ssh-add ~ / .ssh / id_ecdsa_sk“, pero ssh-agent debe compilarse con soporte para las teclas ecdsa-sk, la capa libsk-libfido2 debe estar presente y el agente debe ejecutarse en el sistema a qué token está conectado.

Se ha agregado un nuevo tipo de clave ecdsa-sk ya que el formato de clave ecdsa OpenSSH difiere del formato U2F para las firmas digitales ECDSA por la presencia de campos adicionales.

Si quieres conocer más al respecto puedes consultar el siguiente enlace. 

from Linux Adictos https://ift.tt/2WEoVvQ
via IFTTT

Categories: Internet, Linux Tags: , ,

OpenSSH ya cuenta con el soporte inicial de la autentificación de dos factores

November 3, 2019 Leave a comment

A2F OpenSSH

OpenSSH el conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH ha agregado un soporte experimental para la autenticación de dos factores a la base de su código, utilizando dispositivos que admiten el protocolo U2F desarrollado por la alianza FIDO.

Para quienes desconocen de U2F, deben saber que, este es un estándar abierto para hacer tokens de seguridad de hardware de bajo costo. Estas son fácilmente la forma más barata para que los usuarios obtengan un par de claves respaldado por hardware y hay una buena gama de fabricantes que los venden, incluidos Yubico, Feitian, Thetis y Kensington.

Las claves respaldadas por hardware ofrecen la ventaja de ser considerablemente más difícil de robar: un atacante generalmente tiene que robar el físico token (o al menos acceso persistente a él) para robar la clave.

Dado que hay varias maneras de hablar con dispositivos U2F, incluido USB, Bluetooth y NFC, no queríamos cargar OpenSSH con un montón de dependencias En cambio, hemos delegado la tarea de comunicarse con el tokens a una pequeña biblioteca de middleware que se carga de manera similar al soporte existente PKCS # 11.

OpenSSH ahora tiene soporte experimental U2F/FIDO, con U2F se agrega como un nuevo tipo de clave sk-ecdsa-sha2-nistp256@openssh.com o “ecdsa-sk” para abreviar (el “sk” significa “clave de seguridad”).

Los procedimientos para interactuar con los tokens se han transferido a una biblioteca intermedia, que se carga por analogía con la biblioteca para el soporte PKCS # 11 y es un enlace sobre la biblioteca libfido2, que proporciona medios para comunicarse con los tokens a través de USB (se admiten los protocolos FIDO U2F / CTAP 1 y FIDO 2.0 / CTAP 2).

La biblioteca intermedia libsk-libfido2 preparada por los desarrolladores de OpenSSH se incluye en el núcleo libfido2, así como el controlador HID para OpenBSD.

Para habilitar U2F, se puede usar una nueva porción de la base de código del repositorio de OpenSSH y la rama HEAD de la biblioteca libfido2, que ya incluye la capa necesaria para OpenSSH. Libfido2 admite el trabajo en OpenBSD, Linux, macOS y Windows.

Hemos escrito un middleware básico para libfido2 de Yubico que es capaz de hablar con cualquier token estándar USB HID U2F o FIDO2. El middleware. La fuente está alojada en el árbol libfido2, por lo que construir eso y OpenSSH HEAD es suficiente para comenzar

La clave pública (id_ecdsa_sk.pub) debe copiarse al servidor en el archivo autorizado_claves. En el lado del servidor, solo se verifica una firma digital y la interacción con los tokens se realiza en el lado del cliente (no es necesario instalar libsk-libfido2 en el servidor, pero el servidor debe admitir el tipo de clave “ecdsa-sk”).

La clave privada generada (id_ecdsa_sk) es esencialmente un descriptor de clave que forma una clave real solo en combinación con una secuencia secreta almacenada en el lado del token U2F.

Si la clave id_ecdsa_sk cae en manos del atacante, para la autenticación, también necesitará acceder al token de hardware, sin el cual la clave privada almacenada en el archivo id_ecdsa_sk es inútil.

Además, de forma predeterminada, cuando se realizan operaciones clave (tanto durante la generación como la autenticación), se requiere una confirmación local de la presencia física del usuario, por ejemplo, se sugiere tocar el sensor en el token, lo que dificulta realizar ataques remotos en sistemas con un token conectado.

En la etapa de inicio de ssh-keygen, también se puede configurar otra contraseña para acceder al archivo con la clave.

La clave U2F se puede agregar a ssh-agent a través de “ssh-add ~ / .ssh / id_ecdsa_sk“, pero ssh-agent debe compilarse con soporte para las teclas ecdsa-sk, la capa libsk-libfido2 debe estar presente y el agente debe ejecutarse en el sistema a qué token está conectado.

Se ha agregado un nuevo tipo de clave ecdsa-sk ya que el formato de clave ecdsa OpenSSH difiere del formato U2F para las firmas digitales ECDSA por la presencia de campos adicionales.

Si quieres conocer más al respecto puedes consultar el siguiente enlace. 

from Linux Adictos https://ift.tt/2WEoVvQ
via IFTTT

Categories: Internet, Linux Tags: , ,

NCR Barred Mint, QuickBooks from Banking Platform During Account Takeover Storm

November 3, 2019 Leave a comment

Banking industry giant NCR Corp. [NYSE: NCR] late last month took the unusual step of temporarily blocking third-party financial data aggregators Mint and QuicBooks Online from accessing Digital Insight, an online banking platform used by hundreds of financial institutions. That ban, which came in response to a series of bank account takeovers in which cybercriminals used aggregation sites to surveil and drain consumer accounts, has since been rescinded. But the incident raises fresh questions about the proper role of digital banking platforms in fighting password abuse.

Part of a communication NCR sent Oct. 25 to banks on its Digital Insight online banking platform.

On Oct. 29, KrebsOnSecurity heard from a chief security officer at a U.S.-based credit union and Digital Insight customer who said his institution just had several dozen customer accounts hacked over the previous week. The source, who asked to remain anonymous, said the unauthorized activity came from accounts at both Mint and QuickBooks — services that let consumers aggregate account and transaction data from multiple financial institutions.

My banking source said the attackers appeared to automate the unauthorized logins, which took place over a week in several distinct 12-hour periods in which a new account was accessed every five to ten minutes.

Most concerning, the source said, was that in many cases the aggregator service did not pass through prompts sent by the credit union’s site for multi-factor authentication, meaning the attackers could access customer accounts with nothing more than a username and password.

“The weird part is sometimes the attackers are getting the multi-factor challenge, and sometimes they aren’t,” said the source, who added that he suspected a breach at Mint and/QuickBooks because NCR had just blocked the two companies from accessing bank Web sites on its platform.

In a statement provided to KrebsOnSecurity, NCR said that on Friday, Oct. 25, NCR notified Digital Insight customers “that the aggregation capabilities of certain third-party product were being temporarily suspended.”

“The notification was sent while we investigated a report involving a single user and a third-party product that aggregates bank data,” reads their statement, which was sent to customers on Oct. 29. After confirming that the incident was contained, NCR restored connectivity that is used for account aggregation. As criminals deploy more sophisticated methods and tools to access online information, NCR continues to evaluate and proactively defend against these activities.”

What were these sophisticated methods? NCR wouldn’t say, but it seems clear the hacked accounts are tied to customers re-using their online banking passwords at other sites that got hacked.

As I noted earlier this year in The Risk of Weak Online Banking Passwords, if you bank online and choose weak or re-used passwords, there’s a decent chance your account could be pilfered by cyberthieves — even if your bank offers multi-factor authentication as part of its login process.

Crooks are constantly probing bank Web sites for customer accounts protected by weak or recycled passwords. Most often, the attacker will use lists of email addresses and passwords stolen en masse from hacked sites and then try those same credentials to see if they permit online access to accounts at a range of banks.

A screenshot of a password-checking tool that can be used to target Chase Bank customers who re-use passwords. There are tools like this one for just about every other major U.S. bank.

From there, thieves can take the list of successful logins and feed them into apps that rely on application programming interfaces (API)s from one of several personal financial data aggregators, including Mint, Plaid, QuickBooks,  PlaidYodlee, and YNAB.

A number of banks that do offer customers multi-factor authentication — such as a one-time code sent via text message or an app — have chosen to allow these aggregators the ability to view balances and recent transactions without requiring that the aggregator service supply that second factor.

If the thieves are able to access a bank account via an aggregator service or API, they can view the customer’s balance(s) and decide which customers are worthy of further targeting.

But beyond targeting customers for outright account takeovers, the data available via financial aggregators enables a far more insidious type of fraud: The ability to link the target’s bank account(s) to other accounts that the attackers control.

That’s because PayPalZelle, and a number of other pure-play online financial institutions allow customers to link accounts by verifying the value of microdeposits. For example, if you wish to be able to transfer funds between PayPal and a bank account, the company will first send a couple of tiny deposits  — a few cents, usually — to the account you wish to link. Only after verifying those exact amounts will the account-linking request be granted.

The temporary blocking of data aggregators by NCR brings up a point worthy of discussion by regulators: Namely, in the absence of additional security measures put in place by the aggregators, do the digital banking platform providers like NCR, Fiserv, Jack Henry, and FIS have an obligation to help block or mitigate these large-scale credential exploitation attacks?

KrebsOnSecurity would argue they do, and that the crooks who attacked the customers of my source’s credit union have probably already moved on to using the same attack against one of several thousand other dinky banks across the country.

Intuit Inc., which owns both Mint and QuickBooks, has not responded to requests for comment.

NCR declined to discuss specifics about how it plans to respond to similar attacks going forward.

“NCR does not make public comment on methods and tactics of malicious actors,” the company’s statement read. “As we noted, the criminals are getting aggressive and creative in accessing tools to access online information, NCR continues to evaluate and proactively defend against these activities.”

from Krebs on Security https://ift.tt/2WEqCcN
via IFTTT

Música en streaming alrededor del mundo: estos son los países que más se ponen los auriculares

November 3, 2019 Leave a comment

Pop, rock, dance, hip-hop… No importa el género, la música vive un gran momento y así lo ha demostrado un estudio realizado por la Federación Internacional de la Industria Fonográfica (IFPI, por sus siglas en inglés). La organización ha realizado una investigación con 34.000 personas para conocer cómo estos escuchan música, y ha revelado datos muy interesantes sobre esta actividad. Entre la información destacada de este estudio, se encuentra la

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Música en streaming alrededor del mundo: estos son los países que más se ponen los auriculares se publicó primero en Andro4all.

from Andro4all https://ift.tt/2qe6RwL
via IFTTT

Categories: Internet Tags: , ,

Teens Love TikTok. Silicon Valley Is Trying to Stage an Intervention. by JACK NICAS

November 3, 2019 Leave a comment


By JACK NICAS

American’s big tech companies haven’t had to worry much about competition. Then an addictive Chinese app arrived.

Published: November 2, 2019 at 06:00PM

from NYT Technology https://ift.tt/2qdLqMj
via IFTTT

Categories: Internet Tags: ,

Por qué algunas series y películas de Netflix están disponibles en un país pero no en otro

November 3, 2019 Leave a comment

Netflix, que tiene un plan para que dejes de compartir tu cuenta, anunció recientemente todos los estrenos de películas y series que llegan este mes de noviembre a la plataforma. Sin embargo, muchos usuarios se preguntan por qué algunos contenidos están disponibles en un país pero no en otro, duda a la que la propia compañía ofrece una clara respuesta. Si recientemente te explicamos cómo saber si, cuando Netflix no

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Por qué algunas series y películas de Netflix están disponibles en un país pero no en otro se publicó primero en Andro4all.

from Andro4all https://ift.tt/32eMkVU
via IFTTT

Categories: Internet Tags: , ,