Un código malicioso en pone en peligro la clave PGP de HashiCorp

HashiCorp, una reconocida empresa por el desarrollo de kits de herramientas abiertos como Vagrant, Packer, Nomad y Terraform, dio a conocer hace ya varios dias la noticia sobre una filtración de la clave GPG cerrada utilizada para crear la firma digital que verifica las versiones de su software.

En su publicación comentan que los atacantes que obtuvieron acceso a la clave GPG con lo cual podrían potencialmente realizar cambios ocultos en los productos HashiCorp al certificarlos con la firma digital correcta. Al mismo tiempo, la empresa dijo que durante la auditoría no se encontraron rastros de intentos de realizar tales modificaciones.

Mencionan que en el momento en el que detectaron la clave GPG comprometida esta fue revocada y posterior a ello se realizó la introducción de una nueva clave en su lugar.

El problema solo afectó la verificación mediante archivos SHA256SUM y SHA256SUM.sig y no afectó la generación de firmas digitales para paquetes DEB y RPM de Linux suministrados a través del sitio web «releases.hashicorp.com», así como los mecanismos de confirmación de lanzamiento para macOS y Windows (AuthentiCode).

El 15 de abril de 2021, Codecov (una solución de cobertura de código) reveló públicamente un evento de seguridad durante el cual una parte no autorizada pudo realizar modificaciones a un componente de Codecov que los clientes de Codecov descargan y ejecutan al usar la solución.

Estas modificaciones permitieron a la parte no autorizada exportar potencialmente la información almacenada en los entornos de integración continua (CI) de los usuarios de Codecov. Codecov reveló que el acceso no autorizado comenzó el 31 de enero de 2021 y fue identificado / remediado el 1 de abril de 2021.

La filtración se produjo debido al uso del script Codecov Bash Uploader (codecov-bash) en la infraestructura, diseñado para descargar informes de cobertura de sistemas de integración continua. Durante el ataque a la empresa Codecov en el script especificado se escondió un backdoor incrustado a través de la cual se organizó el envío de contraseñas y claves de cifrado a un servidor malicioso.

Para hackear la infraestructura de Codecov, los atacantes aprovecharon un error en el proceso de creación de la imagen de Docker, lo que les permitió extraer los datos para acceder al GCS (Google Cloud Storage) necesarios para realizar cambios en el script Bash Uploader distribuido desde el sitio web codecov.io.

Los cambios se realizaron el 31 de enero, dos meses pasaron desapercibidos y permitieron a los atacantes extraer información almacenada en los entornos de los sistemas de integración continua del cliente. Con el código malicioso agregado, los atacantes podrían obtener información sobre el repositorio de Git probado y todas las variables de entorno, incluidos los tokens, las claves de cifrado y las contraseñas pasadas a los sistemas de integración continua para proporcionar acceso al código de la aplicación, repositorios y servicios como Amazon Web. Servicios y GitHub.

HashiCorp se vio afectado por un incidente de seguridad con un tercero (Codecov) que llevó a la posible divulgación de información confidencial. Como resultado, se ha rotado la clave GPG utilizada para la firma y verificación de la versión. Los clientes que verifican las firmas de versiones de HashiCorp pueden necesitar actualizar su proceso para usar la nueva clave.

Si bien la investigación no ha revelado evidencia de uso no autorizado de la clave GPG expuesta, se ha rotado para mantener un mecanismo de firma confiable.

Además de la invocación directa, el script Codecov Bash Uploader se ha utilizado como parte de otros descargadores como Codecov-action (Github), Codecov-circleci-orb y Codecov-bitrise-step, cuyos usuarios también se ven afectados por el problema.

Finalmente se hace la recomendación a todos los usuarios de codecov-bash y productos relacionados que auditen sus infraestructuras y cambien las contraseñas y claves de cifrado.

Además HashiCorp ha publicado versiones de parches de Terraform y herramientas relacionadas que actualizan el código de verificación automática para usar la nueva clave GPG y brindó una guía separada específica de Terraform.

Si quieres conocer más al respecto, puedes consultar los detalles dirigiéndote al siguiente enlace.

from Linux Adictos https://ift.tt/3bfTHE6
via IFTTT

Steam Play recibe nueva actualización con Proton 6.3-3

Valve Pressure Vessel

Valve sigue mejorando su cliente Steam Play y también otros proyectos relacionados con el mundo gaming en Linux, como es la actualización de Proton. Si aún no sabes qué es Steam y Proton, decir que el primero es el cliente de la tienda de videojuegos Steam, y el segundo es un proyecto basado en WINE, pero con algunas modificaciones para mejorar la compatibilidad de los videojuegos nativos de Windows e integrado en el cliente Steam. ¿Objetivo? Que los títulos para Windows que compres puedan funcionar también tu distro sin necesidad de configuraciones ni de instalaciones extrañas por tu cuenta…

Pues bien, Steam Play se ha actualizado con algunas mejoras, entre ellas destaca la integración de una nueva versión de Proton. Ahora llega la versión Proton 6.3-3, basado en WINE 6.

Entre las mejoras presentes en esta nueva versión de Proton para Steam destacan:

  • Actualización de VKD3D-Proton a v2.3.1
  • Ahora Origin Overlay es funcional y permite jugar a It Takes Two con amigos.
  • Mount & Blade II: Bannerlord ahora es jugable sin los problemas previos.
  • Se corrigió el error «No comprado» (Not Purchased) que se daba antes en Red Dead Redemption 2.
  • Han arreglado el bloqueo de Age of Empires II: Definitive Edition que ocurría al inicio.
  • Lanzadores fijos para Evil Genius 2, Zombie Army 4, Strange Brigade, Sniper Elite 4, Beam.NG y Eve Online.
  • Solución a la detección del mando controlador de la Xbox en Far Cry Primal.
  • Y mucho más…

Muchas de esas soluciones ya estaban disponibles en la versión Proton Experimental, pero no en la versión final. Por supuesto, en la nueva versión de prueba también habrá nuevos cambios.

Si quieres probar ya Proton en Steam, ya sabes que puedes instalar el cliente de Steam desde la web oficial, aunque también lo encontrarás en los repos de la mayoría de las distros populares, para que puedas instalarlo con mayor facilidad…

from Linux Adictos https://ift.tt/2RAmcp4
via IFTTT

Steam Play recibe nueva actualización con Proton 6.3-3

Valve Pressure Vessel

Valve sigue mejorando su cliente Steam Play y también otros proyectos relacionados con el mundo gaming en Linux, como es la actualización de Proton. Si aún no sabes qué es Steam y Proton, decir que el primero es el cliente de la tienda de videojuegos Steam, y el segundo es un proyecto basado en WINE, pero con algunas modificaciones para mejorar la compatibilidad de los videojuegos nativos de Windows e integrado en el cliente Steam. ¿Objetivo? Que los títulos para Windows que compres puedan funcionar también tu distro sin necesidad de configuraciones ni de instalaciones extrañas por tu cuenta…

Pues bien, Steam Play se ha actualizado con algunas mejoras, entre ellas destaca la integración de una nueva versión de Proton. Ahora llega la versión Proton 6.3-3, basado en WINE 6.

Entre las mejoras presentes en esta nueva versión de Proton para Steam destacan:

  • Actualización de VKD3D-Proton a v2.3.1
  • Ahora Origin Overlay es funcional y permite jugar a It Takes Two con amigos.
  • Mount & Blade II: Bannerlord ahora es jugable sin los problemas previos.
  • Se corrigió el error «No comprado» (Not Purchased) que se daba antes en Red Dead Redemption 2.
  • Han arreglado el bloqueo de Age of Empires II: Definitive Edition que ocurría al inicio.
  • Lanzadores fijos para Evil Genius 2, Zombie Army 4, Strange Brigade, Sniper Elite 4, Beam.NG y Eve Online.
  • Solución a la detección del mando controlador de la Xbox en Far Cry Primal.
  • Y mucho más…

Muchas de esas soluciones ya estaban disponibles en la versión Proton Experimental, pero no en la versión final. Por supuesto, en la nueva versión de prueba también habrá nuevos cambios.

Si quieres probar ya Proton en Steam, ya sabes que puedes instalar el cliente de Steam desde la web oficial, aunque también lo encontrarás en los repos de la mayoría de las distros populares, para que puedas instalarlo con mayor facilidad…

from Linux Adictos https://ift.tt/2RAmcp4
via IFTTT

Características de los blogs. De WordPress a Jekyll 3

Características de los blogs

Este artículo es la tercera parte de una serie que estoy escribiendo sobre por qué migré mi blog personal de WordPress a Jekyll. Reitero que debe ser leído como un diario de experiencias más que como un tutorial o recomendación. En informática no hay recetas universales.

Requisitos de los sitios web

Un blog, aunque tiene algunas características que lo distinguen, no deja de ser un sitio web, como tal debe cumplir con algunos requisitos

Optimizado para buscadores

El Santo Grial de los diseñadores web es la Optimización para Motores de Búsqueda (SEO por sus siglas en inglés) Básicamente se trata de que el contenido se adapte a lo que le salga del teclado a los creadores del algoritmo vigente de Google.En mi opinión, para un blog no es tan importante como en otro tiempo ya que las redes sociales son una mejor fuente de tráfico y lo mejor es enfocarse en la calidad y la originalidad.

Y, si no eres ni creativo ni original, siempre puedes pagar publicidad. Eso te llevará a los primeros puestos aunque tu blog sea la guía de teléfonos de Polonia.

WordPress te entrena para  una disciplina de escritura apta para buscadores ya que te invita a usar un sistema de categorías y etiquetas. Además, ofrece complementos gratuitos y de pago que revisan que tu contenido le sean gratos a los ojos de los dioses de la búsqueda web.

Jekyll tiene un esquema de categorías y etiquetas  y a través de la instalación de complementos es posible incorporar algunas funcionalidades para automatizar la optimización del contenido.

En el caso de Bootstrap, deberás ocuparte de la optimización, aunque, como veremos, tiene algunas características que te permitirán escalar posiciones en los buscadores.

Adaptable a todas las pantallas

Existen dos filosofías de diseño que garantizan que un contenido se vea bien sin importar el tamaño de la pantalla:

  • Responsive design: El sitio se adapta o cambia de acuerdo al dispositivo que se esté utilizando.
  • Mobile first: El sitio se diseña pensando en un dispositivo móvil y luego se hacen las modificaciones para pantallas mayores.

Independientemente del tema que hayas elegido para la versión de pantalla grande, WordPress te permite seleccionar temas para la versión móvil. Además, dispone de varios en la categoría responsive. El gran ganador en este rubro es Bootrstrap ya que está preparado precisamente para la representación de los sitios de acuerdo al tamaño de pantalla. Jekyll dispone de una colección de plantillas basadas en Bootstrap o puedes utilizar este framework para crear las tuyas propias.

Características de los blogs

Los blogs son herederos de las bitácoras. Esos cuadernos en los que los oficiales de un barco registraban los incidentes de navegación y observaciones sobre los mismos. Si viste algunas de las tantas versiones de Star Trek, recordarás que la introducción a cada episodio era alguno de los protagonistas dictándole un relato de acontecimientos a la computadora. Ese relato comenzaba enunciando la fecha.

Con un blog sucede lo mismo. El primer criterio de ordenamiento es el cronológico. Así, si publicas un post sobre helechos el 20 de mayo a las 18:05 y programaste la publicación de uno sobre rosas que habías escrito dos días antes para las 18:06 del mismo 20, el de las rosas se mostrará primero.

El segundo criterio de agrupamiento son las categorías. Las categorías son un conjunto de temas. Así, por ejemplo, a los artículos sobre claveles, rosas y jazmines, podemos asignarle la categoría flores o a los helechos y palmeras la de plantas ornamentales

Worpress permite varios niveles de subcategorías dentro de las categorías. Por ejemplo, dentro de plantas ornamentales podríamos distinguir entre interior y exterior y a su vez entre árboles y arbustos.

Jekyll permite asignar una categoría, pero, hasta donde yo pude encontrar no es posible el uso de subcategorías.

WordPress y Jekyll automatizan el ordenamiento de categorías. En el caso de los frameworks deberás construir manualmente un índice agregando los enlaces a los artículos que correspondan a cada una.

El tercer tipo de criterio de ordenamiento son las etiquetas. Ejemplo de etiquetas son helecho, rosas, tomates. De nuevo, WordPress y Jekyll harán el ordenamiento automáticamente. En el caso de Bootstrap deberás agregarlas a cada página. Tendrás que construir el índice manualmente o integrar alguno de los buscadores más conocidos que permitan hacer búsquedas internas.

En un blog tenemos dos tipos de contenidos; los post y las páginas. En general las páginas se usan para información institucional como la biografía de autor, las políticas de privacidad, los formularios de contacto o enlaces a sitios amigos. Jekyll y WordPress le dan un manejo diferenciado. En el caso deBootstrap tendrás que marcar las diferencias al momento de escribir el código.

 

from Linux Adictos https://ift.tt/2SCZP2I
via IFTTT

Beyond a Steel Sky: obtiene gran actualización y soporte para Vulkan

Beyond a Steel Sky

Beyond a Steel Sky es una secuela del clásico videojuego de culto Beneath a Steel Sky que continúa recibiendo un gran soporte a su lanzamiento por parte de Revolution Software y con una gran actualización del motor gráfico. Ahora, tienes una nueva actualización para mejorar esta obra de arte aún más, y la podrás disfrutar en tu distro Linux favorita.

Ahora, con una nueva actualización ha llegado una enorme cantidad de mejoras y novedades para los jugadores que ya están disfrutando de este título de videojuego. Y para los que aún no lo conozcan, se trata de una aventura tipo point-and-click basado en ciencia ficción y cyberpunk, que tan de moda se ha puesto ahora.

El galardonado estudio Revolution ha creado un magnífico trabajo con este título, incluso antes de la actualización. Esta revolucionaria aventura se basa en una historia que bien podría ser un thriller 3D, ambientado en un futuro que está dominado por la inteligencia artificial. Por eso, tendrás que agudizar tu destreza para hackear los sistemas, sabotear el mundo, y resolver esta conspiración para sacar a la luz su plan devastador.

En cuanto a los usuarios de Linux, deben saber que el motor gráfico no es compatible con OpenGL, pero que sí lo hace con Vulkan. Por tanto, tienes a tu alcance una versión más potente y pareja al rendimiento que se puede conseguir en Microsoft Windows con DirtectX.

Por cierto, si te gusta este tipo de títulos de culto, deberías saber que también tienes contenido gratis en Steam, como el Comic Book, y tienes el videojuego por menos de 30€. Además, tienes packs a tu alcance para su descarga, e incluso la pista de sonido independiente para descargar… Ya sabes, este tipo de títulos de culto generan un gran fanatismo, y muchos buscan multitud de contenido relacionado con Beyond a Steel Sky, y no solo el propio videojuego en sí.

Comprar y descargar – Tienda Steam

from Linux Adictos https://ift.tt/3tv7PiU
via IFTTT

Componentes de un sitio web. De WordPress a Jekyll 2

Componentes de un sitio

En el artículo anterior comencé a explicar las diferencias entre tres tipos de herramientas para la creación de un blog y por qué esas diferencias me hicieron decidir abandonar la opción que utilizaba; WordPress, en favor de un creador de sitios estáticos como Jekyll.

Para que se entiendan mejor las ventajas y desventajas de cada uno necesitamos definir algunos términos e ilustrarlos con un ejemplo, un hipotético blog sobre jardinería.

Componentes de un sitio web

Los tres ingredientes fundamentales de un sitio web son:

  • HTML: Proporciona la estructura básica del sitio
  • CSS: Maneja la representación del contenido.
  • Javascript: Gestiona la interactividad de diferentes partes del sitio.

HTML

HTML son las siglas de HyperText Markup Language: Se lo llama «Lenguaje de marcado» porque utiliza etiquetas para identificar los diferentes tipos de contenido y los propósitos que cada uno de ellos tiene para la web. Ya puedes pasar por experto mirando con desprecio a los que digan que es un lenguaje de programación.

Por ejemplo, la actual especificación, HTML5 utiliza las siguientes etiquetas

  • head para indicar que en ese espacio va información técnica sobre el documento.
  • body para enmarcar el contenido que se va a mostar de la página.
  • article para el contenido principal
  • aside para contenido secundario
  • footer para el contenido inferior de la página.

En nuestro presunto blog de jardinería tendríamos algo así.

Lo pongo como imagen porque las políticas de seguridad de Linux Adictos no dejan incluir código HTML.
Código html básico de la página del blog.

Si copias este texto en el editor de textos y lo guardas como index.html, veras el texto Este es mi blog de jardinería.

La primera línea del código le indica al navegador que lo que sigue lo tiene que interpretar como HTML, la segunda línea indica que aquí comienzan las etiquetas, y que el idioma del sitio es el español de Argentina. Dentro de head se indica el juego de caracteres y el título del blog.

En la sección body vemos que la frase está encerrada en otra etiqueta,

Esto le indica al navegador que tiene que tratarlo como un párrafo.

Además de la codificación de caracteres, el parámetro meta permite incorporar otro tipo de información que, aunque no se vea en el navegador, es útil para los buscadores.

Por ejemplo, el parámetro meta name author content identifica al autor de una página, mientras el parámetro meta name description content resume el contenido de la página para los buscadores.

Hay dos elementos más que van dentro de head, que son los enlaces a las hojas de estilo y código Javascript

CSS

Si recuerdas nuestra página web de ejemplo, solo se mostraba la frase “Este es mi blog de jardinería”. Por supuesto que un sitio web tiene que ser más atractivo para lo que se necesita una hoja de estilo.

Las hojas de estilo son las que establecen como se mostraran los distintos elementos de la página.

Por ejemplo, si queremos que nuestro texto se muestre con fondo negro y letras amarillas, creamos un archivo llamado mi-estilo-css.ss y escribimos estas líneas

p {
background-color: black;
color: yellow;
}

Cambiamos el código de la página de ejemplo a:
Código HTML con llamada a una hoja de estilo externa

Recuerda que para que funcione, ambos archivos deben estar en la misma carpeta.

Javascript

Aunque hoy por hoy, HTML5 y CSS pueden darle bastante animación a un sitio. En caso de necesitar interactividad más compleja debemos recurrir a Javascript.

Javascript es un lenguaje de programación que permite modificar el contenido de un sitio web de acuerdo al comportamiento del usuario.

En un sitio web que permanecerá estático, puede que el esfuerzo de crear las páginas desde cero se vea compensando por el escaso consumo de recursos y la posibilidad de personalización. Sin embargo, un blog es un tipo especial de sitio web que requiere atención constante. Y la clave es la cantidad y variedad del contenido. De ahí que todo lo que pueda automatizarse debe automatizarse. Es cierto que la información común a todas las páginas puede copiarse y pegarse. Pero, créanme,  se cometen errores y son difíciles de encontrar.

Fíjense la cantidad de código necesaria para mostrar una sola línea y cambiarla de color. Un artículo promedio de un blog tiene 300 palabras, un par de subtítulos e imágenes. Y hay que tratar de que todo eso se vea bien en distintos formatos de pantalla.

En los próximos artículos veremos como manejar esa complejidad con WordPress, Jekyll y el framework Bootstrap

from Linux Adictos https://ift.tt/3hcURUo
via IFTTT

De WordPress a Jekyll. Por qué dejé los gestores de contenidos

De WordPress a Jekyll

Una de las cosas que debemos recordar los difusores del software libre y de código abierto es que no todo el mundo tiene las mismas necesidades, tiempo o ganas para dedicarlo a la instalación o aprendizaje de un nuevo programa. La filosofía detrás del software libre es genial, pero si eres un diseñador gráfico freelance, estarás demasiado ocupado consiguiendo y terminando los trabajos que te mantienen como para aprender a hacer en Inkscape lo que habitualmente haces con Adobe Illustrator.

De WordPress a Jekyll

Hacia fines del año pasado tomé la decisión de dejar de utilizar WordPress en mi blog personal y pasar a utilizar un generador de sitios estáticos llamado Jekyll. Diversos problemas de índole personal más las obligaciones laborales, hicieron que ese traspaso se demorara. Tampoco ayudó la aparente incapacidad de los desarrolladores de proyectos de código abierto de reunir la documentación necesaria en un solo lugar y de redactarla de forma comprensible.

Sigo pensando que fue una buena idea. Para mí. A menos que seas un fanático de la tecnología, necesites economizar recursos del servidor o requieras de una personalización extrema, lo mejor es que te quedes con WordPress o pruebes con algún otro gestor de contenidos.

Gestores de contenidos, frameworks y creadores de sitios estáticos.

Supongamos que quieres mudarte a una casa. Tienes tres opciones:

  • Comprar una casa ya construida: En la que solo tienes que llevar tus muebles y colgar los cuadros.
  • Encargar una casa en base a módulos prefabricados
  • Contratar un arquitecto y una empresa constructora y hacerla a tu gusto.

Los gestores de contenidos como WordPress permiten que te concentres solamente en el contenido. Disponen de una serie de plantillas que automatizan la representación de la información y de complementos que agregan funciones adicionales.

Los frameworks son un conjunto de componentes que puedes combinar para crear páginas web personalizadas. Necesitas tener conocimientos de codificación para poder combinarlos y para agregar interactividad.

Los creadores de sitios estáticos de los que ya había hablado, a partir del contenido y de ciertas instrucciones proporcionadas, generan páginas web que utilizan HTML, CSS y Javascript. Lo de estáticos no hay que tomarlo al pie de la letra, ya que es posible hacerlos interactivos.

La diferencia principal es que los gestores de contenidos requieren mayores recursos del servidor al necesitar de una base de datos. Es esa base de datos en donde se encuentra la información sobre como representar el contenido, el contenido a representar, los roles y los privilegios de los usuarios y la información sobre la página que requieren los buscadores.

Cuando utilizas un framework, debes poner página a página toda la información requerida por los buscadores, para la correcta visualización del sitio en diferentes formatos de pantalla y la ubicación de los elementos externos que se muestran o agregan interactividad.

Los creadores de sitios estáticos permiten automatizar ciertas tareas como mostrar los datos de identificación del sitio, la agrupación de los artículos en categorías o la paginación

Es importante marcar la diferencia. Los gestores de contenidos buscan la información en la base de datos y la muestran cada vez que un usuario se conecta a la página web. Los creadores de sitios estáticos crean una página web que incluye esa información incrustada en su código.

Quiero insistir en que esta serie de artículos debe ser leída como un diario con mis experiencias y no como una receta. Si vas a iniciarte en el mundo de los blogs deberías dedicar todo el tiempo al contenido y no a memorizar las distintas abreviaturas de Markdown o comandos de Liquid. Cuando ya tengas experiencia y una base de lectores, puede que quieras mayores opciones de personalización. Recién ahí deberías considerar Jekyll

Mi ida de WordPress se debió a que la opción gratuita me quedaba chica, y las opciones de pago, en un país donde la cotización del dólar no para de subir, no eran una alternativa viable. A esto hay que sumarle que los temas comenzaron a pedir la instalación de complementos, y si querías tener más de un tema te encontrabas con varios complementos diferentes que cumplían la misma función.

En los próximos artículos voy a extenderme más sobre las diferencias entre un método u otro de creación de blogs que hicieron que tomara la decisión.

from Linux Adictos https://ift.tt/3eWHtB2
via IFTTT

Códigos secretos en móviles Huawei: esto es todo lo que puedes hacer con ellos

Códigos secretos en móviles Huawei: esto es todo lo que puedes hacer con ellos

Hay pocos conceptos más misteriosos en los móviles Android que los códigos secretos: números de teléfono que no llaman a nadie, sino que abren menús especiales. Estos códigos son principalmente para el uso del servicio técnico o para obtener datos puntuales útiles, como el IMEI de un móvil.

Salvo algunas excepciones contadas en las que los fabricantes se ponen de acuerdo, cada marca tiene sus propios códigos secretos y con frecuencia cambian de una versión a otra e incluso de un modelo a otro. Aquí te hablaremos de los códigos secretos disponibles en los móviles Huawei recientes y todo lo que puedes hacer con ellos.


Continue reading