A principios de enero OnePlus puso al día su calendario de actualizaciones, anunciando para sorpresa de muchos que los OnePlus 6 y OnePlus 6T recibirían Android 11 a lo largo de este año. Luego en abril OnePlusanunció que la primera beta de OxygenOS 11 para los OnePlus 6 y 6T llegaría en agosto pero finalmente el fabricante ha adelantado la beta a hoy.
Desde hoy los OnePlus 6 y OnePlus 6T pueden actualizar a la primera beta de Android 11 con OxygenOS 11. Se trata de la tercera actualización Android que reciben desde que OnePlus lanzará estos terminales en 2018, lo que significa tres años de actualizaciones Android, lo que ahora OnePlus garantiza en sus nuevos móviles de gama alta lanzados a partir de 2020, mientras que para los modelos anteriores solo garantiza dos años de actualizaciones a nuevas versiones.
Hay marcas tecnológicas que levantan pasiones y hasta cuentan con su propio club de fans como es el caso de Xiaomi y sus Mi Fans, pero no es la única. Qualcomm también cuenta con una comunidad de fans llamada ‘Snapdragon Insiders’ que se beneficia de mails exclusivos y, a partir de hoy, también podrán comprar el primer móvil creado para insiders.
Qualcomm se ha asociado con Asus para crear un dispositivo que cuenta con el Snapdragon 888 y, en palabras de Qualcomm, está pensado “para los que buscan el rendimiento más premium y la innovación”. Eso sí, como suele pasar con las cosas exclusivas, no va a ser precisamente barato.
La Linux Foundation anunció la intención de formar la Open 3D Foundation, un nuevo paraguas bajo el cuál se pretende acelerar la colaboración y desarrollo para videojuegos 3D y tecnología de simulación de código abierto. Todo ello con un herramientas de creación y animación, y un motor gráfico 3D, con el que se podrán crear experiencias virtuales, videojuegos AAA, simulaciones, etc.
El proyecto Open 3D Foundation comenzará con un nuevo motor gráfico denominado Open 3D Engine (O3DE). Por supuesto, será de código abierto, bajo licencia Apache 2.0, y no parte de cero, ya que se trata del código aportado por Amazon de su conocido motor de juegos Lumberyard. AWS (Amazon Web Services) no es la única que está contribuyendo, Open 3D Foundation también cuenta con otros 20 socios fundadores, entre los que destacan Adobe, Huawei, Niantic y Red Hat.
El objetivo es que acelere este sector 3D, y que los desarrolladores y creadores puedan crear nuevas experiencias tridimensionales sin que los términos comerciales de otras herramientas disponibles sean un problema. Sin duda podría ser un comienzo de algo realmente grande, un antes y un después en cómo se crean estos contenidos. Y esperamos que también le de un empujón al gaming en Linux.
Aunque aún no existe un cliente para Linux, es algo que está ya planificado en el roadmap de los desarrolladores, por lo que se espera que llegue pronto. Por el momento, tan solo existe una versión para Microsoft Windows 10 de 64-bit.
Por cierto, para los que no conocían aún qué es Amazon Lumberyard, es un motor de videojuegos AAA multiplataforma gratuito y que se integra en AWS y Twitch. Se basa a su vez en CryEngine de Crytek, que fue empleado en títulos como Far Cry, Crysis, etc.
A raíz de la polémica por la inclusión de una herramienta de telemetría en Audacitiy, se me ocurrió que resultaría interesante conocer de qué se trata exactamente y cuál es la función que cumple. Cabe mencionar que no es la primera vez que el tema sale a reducir. Ya había pasado con VS Code, el editor de código de Microsoft Y, aunque no se trate exactamente de telemetría, con los datos que Unity, el escritorio de Ubuntu, recopilaba para mostrar resultados relevantes de Amazon
Las herramientas de telemetría se encargan de rastrear, registrar y supervisar la infraestructura mediante la observación y el análisis de los eventos generados por el sistema.
En el caso de sistemas complejos (o de múltiples usuarios corriendo un programa en equipos de diferentes características) la telemetría proporciona información útil para los desarrolladores y mantenedores que los usuarios no siempre están en condiciones de comunicar. Las herramientas de telemetría están pensadas para recopilar, transformar y comunicar datos sobre el rendimiento, la funcionalidad, la velocidad de procesamiento, los errores y los eventos de seguridad de los sistemas de producción. Pueden presentarse en múltiples formas, desde un registro centralizado hasta el rastreo de seguimientos de los datos a través de los microservicios.
Cabe mencionar, que como el prefijo tele indica, para hablar de telemetría en el software, los datos tienen que ser enviados a alguna parte, no se trata de un simple registro local de eventos
Funciones de la telemetría de software
Métricas de uso : Mide como, cuando y cuanto se usa el producto. Están destinadas básicamente al sector comercial de la empresa desarrolladora ya que le permiten medir la fidelidad de los clientes y el éxito del producto.
Detección y diagnóstico de problemas: La telemetría se usa para realizar un seguimiento remoto del funcionamiento del programa para entender, solucionar y prevenir problemas.
Validación de decisiones de diseño: Se sabe que los grupos focales no siempre son una buena forma de evaluar un producto ya que los usuarios, al saberse observados, no actúan como lo harían en una situación real. Usando la telemetría, los desarrolladores pueden saber si las decisiones de diseño fueron correctas ya que reciben información sin que el usuario sea consciente.
Todo esto suena tremendamente invasivo, a pesar de que existen reglas estrictas sobre como deben tratarse esos datos. Es por eso, que por muy molesto que sea hay que leer la famosa Licencia de Uso de Usuario Final.
En general, el proceso de telemetría consta de 5 etapas
Determinación de las métricas: Una métrica es una medida de rendimiento, por ejemplo la cantidad de tiempo de uso sin que se produzcan errores. No tiene sentido la simple recopilación de datos si no sabemos cuáles nos interesa y para qué los queremos. Generalmente se parte de una hipótesis ( Por ejemplo que un programa puede funcionar más de 100 horas sin errores), se establece un curso de acción en caso de que la hipótesis se valide o se niegue y se fija un lapso de vigencia para la métrica. Una métrica puede ser el resultado de combinar dos o más datos usando una fórmula.
Instrumentación: En esta etapa se determinan que datos son relevantes para la determinación de la métrica y como se van a conseguir y transmitir.
Transmisión y almacenamiento de los datos: Tanto para el cumplimiento de requisitos legales como para la protección del cliente, es necesario determinar cómo y de qué forma se van a transmitir los datos. Por ejemplo, si estamos haciendo el seguimiento de una aplicación móvil, el cliente no agradecerá que se envíen datos cada 5 minutos utilizando su plan de datos. Lo más adecuado sería recopilarlos localmente y esperar a que el dispositivo esté conectado a una red Wifi. También es posible que convenga cifrarlos antes de enviarlo o eliminar información que permita la identificación del cliente. Una vez que se recibieron los datos hay que decidir como almacenarlos. Una buena idea es hacer un muestreo lo que reduce la cantidad a guardar.
Procesamiento: En este paso se combinan los datos para obtener la información que va a resultar útil para la toma de decisiones.
Evaluación: En esta etapa se analiza la información obtenida a partir del procesamiento de los datos obtenidos y se compara con la hipótesis formulada al comienzo del procedimiento. A continuación se determinan los cursos futuros de acción.
Last week cybercriminals deployed ransomware to 1,500 organizations that provide IT security and technical support to many other companies. The attackers exploited a vulnerability in software from Kaseya, a Miami-based company whose products help system administrators manage large networks remotely. Now it appears Kaseya’s customer service portal was left vulnerable until last week to a data-leaking security flaw that was first identified in the same software six years ago.
On July 3, the REvil ransomware affiliate program began using a zero-day security hole (CVE-2021-30116) to deploy ransomware to hundreds of IT management companies running Kaseya’s remote management software — known as the Kaseya Virtual System Administrator (VSA).
Also on July 3, security incident response firm Mandiant notified Kaseya that their billing and customer support site —portal.kaseya.net — was vulnerable to CVE-2015-2862, a “directory traversal” vulnerability in Kaseya VSA that allows remote users to read any files on the server using nothing more than a Web browser.
As its name suggests, CVE-2015-2862 was issued in July 2015. Six years later, Kaseya’s customer portal was still exposed to the data-leaking weakness.
The Kaseya customer support and billing portal. Image: Archive.org.
Mandiant notified Kaseya after hearing about it from Alex Holden, founder and chief technology officer of Milwaukee-based cyber intelligence firm Hold Security. Holden said the 2015 vulnerability was present on Kaseya’s customer portal until Friday afternoon, allowing him to download the site’s “web.config” file, a server component that often contains sensitive information such as usernames and passwords and the locations of key databases.
“It’s not like they forgot to patch something that Microsoft fixed years ago,” Holden said. “It’s a patch for their own software. And it’s not zero-day. It’s from 2015!”
The official description of CVE-2015-2862 says a would-be attacker would need to be already authenticated to the server for the exploit to work. But Holden said that was not the case with the vulnerability on the Kaseya portal that he reported via Mandiant.
“This is worse because the CVE calls for an authenticated user,” Holden said. “This was not.”
Michael Sanders, executive vice president of account management at Kaseya, confirmed that the customer portal was taken offline Friday in response to a vulnerability report. Sanders said the portal had been retired in 2018 in favor of a more modern customer support and ticketing system, yet somehow the old site was still left available online.
“It was deprecated but left up,” Sanders said.
In a written statement shared with KrebsOnSecurity, Kaseya said that in 2015 CERT reported two vulnerabilities in its VSA product.
“We worked with CERT on responsible disclosure and released patches for VSA versions V7, R8, R9 and R9 along with the public disclosure (CVEs) and notifications to our customers. Portal.kaseya.net was not considered by our team to be part of the VSA shipping product and was not part of the VSA product patch in 2015. It has no access to customer endpoints and has been shut down – and will no longer be enabled or used by Kaseya.”
“At this time, there is no evidence this portal was involved in the VSA product security incident,” the statement continued. “We are continuing to do forensic analysis on the system and investigating what data is actually there.”
The REvil ransomware group said affected organizations could negotiate independently with them for a decryption key, or someone could pay $70 million worth of virtual currency to buy a key that works to decrypt all systems compromised in this attack.
But Sanders said every ransomware expert Kaseya consulted so far has advised against negotiating for one ransom to unlock all victims.
“The problem is that they don’t have our data, they have our customers’ data,” Sanders said. “We’ve been counseled not to do that by every ransomware negotiating company we’ve dealt with. They said with the amount of individual machines hacked and ransomwared, it would be very difficult for all of these systems to be remediated at once.”
In a video posted to Youtube on July 6, Kaseya CEO Fred Voccola said the ransomware attack had “limited impact, with only approximately 50 of the more than 35,000 Kaseya customers being breached.”
“While each and every customer impacted is one too many, the impact of this highly sophisticated attack has proven to be, thankfully, greatly overstated,” Voccola said.
The zero-day vulnerability that led to Kaseya customers (and customers of those customers) getting ransomed was discovered and reported to Kaseya by Wietse Boonstra, a researcher with the Dutch Institute for Vulnerability Disclosure (DIVD).
In a July 4 blog post, DIVD’s Victor Gevers wrote that Kaseya was “very cooperative,” and “asked the right questions.”
“Also, partial patches were shared with us to validate their effectiveness,” Gevers wrote. “During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.”
Still, Kaseya has yet to issue an official patch for the flaw Boonstra reported in April. Kaseya told customers on July 7 that it was working “through the night” to push out an update.
Gevers said the Kaseya vulnerability was discovered as part of a larger DIVD effort to look for serious flaws in a wide array of remote network management tools.
“We are focusing on these types of products because we spotted a trend where more and more of the products that are used to keep networks safe and secure are showing structural weaknesses,” he wrote.
The Kaseya ransomware attack is believed to have been down to an authentication bypass. Yes, ransomware needs to be on your radar — but good authentication practices are also imperative.
Fiscales de 36 estados de los Estados Unidos han demandado a Google alegando un abuso de poder respecto a su tienda de aplicaciones, en la que los desarrolladores deben pagar una comisión del 30% por las ventas realizadas en su apps, como informa The Verge. El documento de la demanda puede consultarse, en el que se lee que los fiscales estadounidenses cargan contra Google, algo relativamente similar al juicio entre Apple y Epic Games por el asunto de las comisiones en App Store.
Google ha respondido de forma tajante en su blog, con una entrada en la que defienden que Android es un sistema operativo gratuito que aumenta la competencia y que buena parte de los teléfonos Android vienen con más de una tienda de apps preinstalada.
Pacosite's Blog 