Monthly Archives: July 2021

Open 3D Foundation: Linux Foundation acelera el desarrollo de videojuegos 3D y simulación

Posted on by

Open 3D

La Linux Foundation anunció la intención de formar la Open 3D Foundation, un nuevo paraguas bajo el cuál se pretende acelerar la colaboración y desarrollo para videojuegos 3D y tecnología de simulación de código abierto. Todo ello con un herramientas de creación y animación, y un motor gráfico 3D, con el que se podrán crear experiencias virtuales, videojuegos AAA, simulaciones, etc.

El proyecto Open 3D Foundation comenzará con un nuevo motor gráfico denominado Open 3D Engine (O3DE). Por supuesto, será de código abierto, bajo licencia Apache 2.0, y no parte de cero, ya que se trata del código aportado por Amazon de su conocido motor de juegos Lumberyard. AWS (Amazon Web Services) no es la única que está contribuyendo, Open 3D Foundation también cuenta con otros 20 socios fundadores, entre los que destacan Adobe, Huawei, Niantic y Red Hat.

El objetivo es que acelere este sector 3D, y que los desarrolladores y creadores puedan crear nuevas experiencias tridimensionales sin que los términos comerciales de otras herramientas disponibles sean un problema. Sin duda podría ser un comienzo de algo realmente grande, un antes y un después en cómo se crean estos contenidos. Y esperamos que también le de un empujón al gaming en Linux.

Aunque aún no existe un cliente para Linux, es algo que está ya planificado en el roadmap de los desarrolladores, por lo que se espera que llegue pronto. Por el momento, tan solo existe una versión para Microsoft Windows 10 de 64-bit.

Por cierto, para los que no conocían aún qué es Amazon Lumberyard, es un motor de videojuegos AAA multiplataforma gratuito y que se integra en AWS y Twitch. Se basa a su vez en CryEngine de Crytek, que fue empleado en títulos como Far Cry, Crysis, etc.

Más información – Web de GitHub para O3DE

Web oficial del proyecto – O3DE

Web oficial de la fundación – O3DF

from Linux Adictos https://ift.tt/2UxKAZM
via IFTTT

Telemetria en el software ¿Qué es y para que se usa?

Posted on by

Telemetría en el software
A raíz de la polémica por la inclusión de una herramienta de telemetría en Audacitiy, se me ocurrió que resultaría interesante conocer de qué se trata exactamente y cuál es la función que cumple. Cabe mencionar que no es la primera vez que el tema sale a reducir. Ya había pasado con VS Code, el editor de código de Microsoft Y, aunque no se trate exactamente de telemetría, con los datos que Unity, el escritorio de Ubuntu, recopilaba para mostrar resultados relevantes de Amazon

Telemetría en el software ¿Qué es?

Las herramientas de telemetría se encargan de rastrear, registrar y supervisar la infraestructura mediante la observación y el análisis de los eventos generados por el sistema.

En el caso de sistemas complejos (o de múltiples usuarios corriendo un programa en equipos de diferentes características) la telemetría proporciona información útil para los desarrolladores y mantenedores que los usuarios no siempre están en condiciones de comunicar. Las herramientas de telemetría están pensadas para recopilar, transformar y comunicar datos sobre el rendimiento, la funcionalidad, la velocidad de procesamiento, los errores y los eventos de seguridad de los sistemas de producción. Pueden presentarse en múltiples formas, desde un registro centralizado hasta el rastreo de seguimientos de los datos a través de los microservicios.

Cabe mencionar, que como el prefijo tele indica, para hablar de telemetría en el software, los datos tienen que ser enviados a alguna parte, no se trata de un simple registro local de eventos

Funciones de la telemetría de software

  • Métricas de uso : Mide como, cuando y cuanto se usa el producto. Están destinadas básicamente al sector comercial de la empresa desarrolladora ya que le permiten medir la fidelidad de los clientes y el éxito del producto.
  • Detección y diagnóstico de problemas: La telemetría se usa para realizar un seguimiento remoto del funcionamiento del programa para entender, solucionar y prevenir problemas.
  • Validación de decisiones de diseño: Se sabe que los grupos focales no siempre son una buena forma de evaluar un producto ya que los usuarios, al saberse observados, no actúan como lo harían en una situación real. Usando la telemetría, los desarrolladores pueden saber si las decisiones de diseño fueron correctas ya que reciben información sin que el usuario sea consciente.

Todo esto suena tremendamente invasivo, a pesar de que existen reglas estrictas sobre como deben tratarse esos datos. Es por eso, que por muy molesto que sea hay que leer la famosa Licencia de Uso de Usuario Final.

En general, el proceso de telemetría consta de 5 etapas

  1. Determinación de las métricas: Una métrica es una medida de rendimiento, por ejemplo la cantidad de tiempo de uso sin que se produzcan errores. No tiene sentido la simple recopilación de datos si no sabemos cuáles nos interesa y para qué los queremos. Generalmente se parte de una hipótesis ( Por ejemplo que un programa puede funcionar más de 100 horas sin errores), se establece un curso de acción en caso de que la hipótesis se valide o se niegue y se fija un lapso de vigencia para la métrica. Una métrica puede ser el resultado de combinar dos o más datos usando una fórmula.
  2. Instrumentación: En esta etapa se determinan que datos son relevantes para la determinación de la métrica y como se van a conseguir y transmitir.
  3. Transmisión y almacenamiento de los datos: Tanto para el cumplimiento de requisitos legales como para la protección del cliente, es necesario determinar cómo y de qué forma se van a transmitir los datos. Por ejemplo, si estamos haciendo el seguimiento de una aplicación móvil, el cliente no agradecerá que se envíen datos cada 5 minutos utilizando su plan de datos. Lo más adecuado sería recopilarlos localmente y esperar a que el dispositivo esté conectado a una red Wifi. También es posible que convenga cifrarlos antes de enviarlo o eliminar información que permita la identificación del cliente. Una vez que se recibieron los datos hay que decidir como almacenarlos. Una buena idea es hacer un muestreo lo que reduce la cantidad a guardar.
  4. Procesamiento: En este paso se combinan los datos para obtener la información que va a resultar útil para la toma de decisiones.
  5. Evaluación: En esta etapa se analiza la información obtenida a partir del procesamiento de los datos obtenidos y se compara con la hipótesis formulada al comienzo del procedimiento. A continuación se determinan los cursos futuros de acción.

from Linux Adictos https://ift.tt/3jYrO8K
via IFTTT

Kaseya Left Customer Portal Vulnerable to 2015 Flaw in its Own Software

Posted on by

Last week cybercriminals deployed ransomware to 1,500 organizations that provide IT security and technical support to many other companies. The attackers exploited a vulnerability in software from Kaseya, a Miami-based company whose products help system administrators manage large networks remotely. Now it appears Kaseya’s customer service portal was left vulnerable until last week to a data-leaking security flaw that was first identified in the same software six years ago.

On July 3, the REvil ransomware affiliate program began using a zero-day security hole (CVE-2021-30116) to deploy ransomware to hundreds of IT management companies running Kaseya’s remote management software — known as the Kaseya Virtual System Administrator (VSA).

According to this entry for CVE-2021-30116, the security flaw that powers that Kaseya VSA zero-day was assigned a vulnerability number on April 2, 2021, indicating Kaseya had roughly three months to address the bug before it was exploited in the wild.

Also on July 3, security incident response firm Mandiant notified Kaseya that their billing and customer support site —portal.kaseya.net — was vulnerable to CVE-2015-2862, a “directory traversal” vulnerability in Kaseya VSA that allows remote users to read any files on the server using nothing more than a Web browser.

As its name suggests, CVE-2015-2862 was issued in July 2015. Six years later, Kaseya’s customer portal was still exposed to the data-leaking weakness.

The Kaseya customer support and billing portal. Image: Archive.org.

Mandiant notified Kaseya after hearing about it from Alex Holden, founder and chief technology officer of Milwaukee-based cyber intelligence firm Hold Security. Holden said the 2015 vulnerability was present on Kaseya’s customer portal until Friday afternoon, allowing him to download the site’s “web.config” file, a server component that often contains sensitive information such as usernames and passwords and the locations of key databases.

“It’s not like they forgot to patch something that Microsoft fixed years ago,” Holden said. “It’s a patch for their own software. And it’s not zero-day. It’s from 2015!”

The official description of CVE-2015-2862 says a would-be attacker would need to be already authenticated to the server for the exploit to work. But Holden said that was not the case with the vulnerability on the Kaseya portal that he reported via Mandiant.

“This is worse because the CVE calls for an authenticated user,” Holden said. “This was not.”

Michael Sanders, executive vice president of account management at Kaseya, confirmed that the customer portal was taken offline Friday in response to a vulnerability report. Sanders said the portal had been retired in 2018 in favor of a more modern customer support and ticketing system, yet somehow the old site was still left available online.

“It was deprecated but left up,” Sanders said.

In a written statement shared with KrebsOnSecurity, Kaseya said that in 2015 CERT reported two vulnerabilities in its VSA product.

“We worked with CERT on responsible disclosure and released patches for VSA versions V7, R8, R9 and R9 along with the public disclosure (CVEs) and notifications to our customers. Portal.kaseya.net was not considered by our team to be part of the VSA shipping product and was not part of the VSA product patch in 2015. It has no access to customer endpoints and has been shut down – and will no longer be enabled or used by Kaseya.”

“At this time, there is no evidence this portal was involved in the VSA product security incident,” the statement continued. “We are continuing to do forensic analysis on the system and investigating what data is actually there.”

The REvil ransomware group said affected organizations could negotiate independently with them for a decryption key, or someone could pay $70 million worth of virtual currency to buy a key that works to decrypt all systems compromised in this attack.

But Sanders said every ransomware expert Kaseya consulted so far has advised against negotiating for one ransom to unlock all victims.

“The problem is that they don’t have our data, they have our customers’ data,” Sanders said. “We’ve been counseled not to do that by every ransomware negotiating company we’ve dealt with. They said with the amount of individual machines hacked and ransomwared, it would be very difficult for all of these systems to be remediated at once.”

In a video posted to Youtube on July 6, Kaseya CEO Fred Voccola said the ransomware attack had “limited impact, with only approximately 50 of the more than 35,000 Kaseya customers being breached.”

“While each and every customer impacted is one too many, the impact of this highly sophisticated attack has proven to be, thankfully, greatly overstated,” Voccola said.

The zero-day vulnerability that led to Kaseya customers (and customers of those customers) getting ransomed was discovered and reported to Kaseya by Wietse Boonstra, a researcher with the Dutch Institute for Vulnerability Disclosure (DIVD).

In a July 4 blog post, DIVD’s Victor Gevers wrote that Kaseya was “very cooperative,” and “asked the right questions.”

“Also, partial patches were shared with us to validate their effectiveness,” Gevers wrote. “During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.”

Still, Kaseya has yet to issue an official patch for the flaw Boonstra reported in April. Kaseya told customers on July 7 that it was working “through the night” to push out an update.

Gevers said the Kaseya vulnerability was discovered as part of a larger DIVD effort to look for serious flaws in a wide array of remote network management tools.

“We are focusing on these types of products because we spotted a trend where more and more of the products that are used to keep networks safe and secure are showing structural weaknesses,” he wrote.

from Krebs on Security https://ift.tt/3yAYPM3
via IFTTT

Google se enfrenta a una nueva demanda antimonopolio y responde tajantemente: “Android aumenta la capacidad de elección”

Posted on by

Fiscales de 36 estados de los Estados Unidos han demandado a Google alegando un abuso de poder respecto a su tienda de aplicaciones, en la que los desarrolladores deben pagar una comisión del 30% por las ventas realizadas en su apps, como informa The Verge. El documento de la demanda puede consultarse, en el que se lee que los fiscales estadounidenses cargan contra Google, algo relativamente similar al juicio entre Apple y Epic Games por el asunto de las comisiones en App Store.

Google ha respondido de forma tajante en su blog, con una entrada en la que defienden que Android es un sistema operativo gratuito que aumenta la competencia y que buena parte de los teléfonos Android vienen con más de una tienda de apps preinstalada.


Continue reading

The NSA’s ‘New’ Mission: Get More Public With the Private Sector

Posted on by

The National Security Agency’s gradual emergence from the shadows was “inevitable” in cybersecurity, says Vinnie Liu, co-founder and CEO of offensive security firm Bishop Fox and a former NSA analyst. Now the agency has to figure out how to best work with the private sector, especially organizations outside the well-resourced and seasoned Fortune 100.

from Dark Reading: https://ift.tt/3yASjVD
via IFTTT

Xiaomi Redmi Note 8 2021, análisis: un superventas que vuelve a la vida con un extra de potencia

Posted on by

Xiaomi Redmi Note 8 2021, análisis: un superventas que vuelve a la vida con un extra de potencia

El Xiaomi Redmi Note 8 fue uno de los móviles más populares de la marca asiática en 2019. Tanto fue así, que Xiaomi lo ha devuelto a la vida dos años después, cambiándole el procesador y manteniendo el resto de especificaciones intactas, incluido el diseño.

Pasa por nuestra mesa de análisis el nuevo Xiaomi Redmi Note 8 2021, un terminal que quiere competir en la gama media con especificaciones de 2019. ¿Tendrá sentido este movimiento? Saldremos de dudas con nuestra review a fondo.


Continue reading