OpenWallet un proyecto para desarrollar billeteras digitales interoperables

La iniciativa es una creación de Daniel Goldscheider,

La misión de OWF es desarrollar un motor de código abierto seguro y versátil que cualquier persona pueda usar para crear billeteras interoperables.

La Fundación Linux dio a conocer recientemente los planes para formar la Fundación «OpenWallet» (OWF), el cual consiste en un consorcio de empresas y organizaciones sin fines de lucro que colaboran para crear una pila de software de código abierto para promover una pluralidad de billeteras digitales interoperables.

La iniciativa ya ha obtenido el apoyo de Accenture, Avast y Open Identity Exchange, así como de organizaciones de estándares y representantes del sector público. La idea es que las billeteras creadas bajo el manto de OWF admitan una amplia variedad de casos de uso, como verificación de identidad, pagos y administración de claves digitales.

OpenWallet  tiene como objetivo definir las mejores prácticas en tecnología de billetera digital a través de la colaboración en un código fuente abierto que servirá como punto de partida para todos los que se esfuerzan por crear billeteras que sean interoperables, seguras y que protejan la vida privada. En un comunicado de prensa emitido hoy, la Fundación Linux dijo que la OWF no tiene la intención de lanzar una billetera por sí misma, ni ofrecer puntos de referencia ni crear nuevos estándares.

La comunidad se centrará en crear un motor de software de código abierto que otras organizaciones y empresas puedan aprovechar para desarrollar sus propias billeteras digitales. Las billeteras admitirán una amplia variedad de casos de uso, desde identidad hasta pagos y claves digitales, y tienen como objetivo lograr la paridad de funciones con las mejores billeteras disponibles.

“Con OpenWallet Foundation, fomentamos la creación de una pluralidad de billeteras basadas en un núcleo común. No podría estar más feliz con el apoyo que ya ha recibido esta iniciativa y la acogida que ha encontrado en la Fundación Linux”, dijo. Por su parte, Jim Zemllin, CEO de Linux Foundation, dijo: “Estamos convencidos de que las billeteras digitales jugarán un papel vital para las empresas digitales. El software de código abierto es la clave para la interoperabilidad y la seguridad. Estamos encantados de dar la bienvenida a la Fundación OpenWallet y entusiasmados con su potencial”.

Como recordatorio, las billeteras digitales son generalmente servicios en línea basados ​​en software que permiten a las personas realizar transacciones electrónicas con otras personas y empresas. Algunas de las billeteras más populares incluyen PayPal, Apple Wallet, Google Wallet, Venmo y Cash App.

Pero estas billeteras se han movido gradualmente más allá de los pagos y se están convirtiendo en posibles sustitutos de cualquier cosa que pueda guardar en una billetera física. Apple, por ejemplo, ahora permite a los conductores almacenar su licencia de conducir digitalmente en su iPhone.

Otro ejemplo es la aplicación Diia, un portal en línea y una aplicación móvil que permite a los ucranianos usar documentos digitales en sus teléfonos inteligentes en lugar de documentos físicos para fines de identificación y uso compartido.

La llegada de las criptomonedas también abre nuevos casos de uso para las billeteras digitales, aunque las diferentes cadenas de bloques generalmente son incompatibles. En cuanto al metaverso, cuando se haga realidad, debería basarse en gran medida en la interoperabilidad y los estándares abiertos, para que los participantes puedan realizar pagos e identificarse en mundos virtuales. Y es en este contexto que la OWF busca imponerse. “La infraestructura de billetera universal permitirá que las identidades, el dinero y los objetos simbólicos se transporten de un lugar a otro en el mundo digital”, dijo David Treat.

“Se avecina un cambio masivo en el modelo de negocios, y el negocio digital ganador será el que gane la confianza para acceder directamente a los datos reales en nuestras billeteras para crear experiencias digitales mucho mejores”, agregó. El comunicado de prensa de la Fundación señala que ya existe una amplia gama de membresías de varios actores de la industria, incluidos Okta, Ping Identity, Accenture, CVS Health y OpenID Foundation. El objetivo es lograr eventualmente «paridad de funciones con las mejores billeteras disponibles».

Además, los posibles casos de uso también incluyen billeteras de criptomonedas que hoy representan una parte de una economía digital más grande.

“OWF tiene la intención de permitir muchos casos de uso en los que los usuarios puedan almacenar credenciales digitales y activos digitales y acceder a ellos fácilmente. Un caso de uso potencial podría incluir la criptomoneda, pero ese no será el único caso de uso que podría abordar el motor de código abierto de OWF”, dijo Dan Whiting, director de relaciones con los medios y comunicaciones de la Fundación Linux.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/oKVuWdp
via IFTTT

Say Hello to Crazy Thin ‘Deep Insert’ ATM Skimmers

A number of financial institutions in and around New York City are dealing with a rash of super-thin “deep insert” skimming devices designed to fit inside the mouth of an ATM’s card acceptance slot. The card skimmers are paired with tiny pinhole cameras that are cleverly disguised as part of the cash machine. Here’s a look at some of the more sophisticated deep insert skimmer technology that fraud investigators have recently found in the wild.

This ultra thin and flexible “deep insert” skimmer recently recovered from an NCR cash machine in New York is about half the height of a U.S. dime. The large yellow rectangle is a battery. Image: KrebsOnSecurity.com.

The insert skimmer pictured above is approximately .68 millimeters tall. This leaves more than enough space to accommodate most payment cards (~.54 mm) without interrupting the machine’s ability to grab and return the customer’s card. For comparison, this flexible skimmer is about half the height of a U.S. dime (1.35 mm).

These skimmers do not attempt to siphon chip-card data or transactions, but rather are after the cardholder data still stored in plain text on the magnetic stripe on the back of most payment cards issued to Americans.

Here’s what the other side of that insert skimmer looks like:

The other side of the deep insert skimmer. Image: KrebsOnSecurity.com.

The thieves who designed this skimmer were after the magnetic stripe data and the customer’s 4-digit personal identification number (PIN). With those two pieces of data, the crooks can then clone payment cards and use them to siphon money from victim accounts at other ATMs.

To steal PINs, the fraudsters in this case embedded pinhole cameras in a false panel made to fit snugly over the cash machine enclosure on one side of the PIN pad.

Pinhole cameras were hidden in these false side panels glued to one side of the ATM, and angled toward the PIN pad. Image: KrebsOnSecurity.com.

The skimming devices pictured above were pulled from a brand of ATMs made by NCR called the NCR SelfServ 84 Walk-Up. In January 2022, NCR produced a report on motorized deep insert skimmers, which offers a closer look at other insert skimmers found targeting this same line of ATMs.

Image: NCR

Here are some variations on deep insert skimmers NCR found in recent investigations:

Variations on deep insert skimmers recently found inside compromised ATMs.

The image on the left below shows another deep insert skimmer and its constituent components. The picture on the right shows a battery-operated pinhole camera hidden in a false fascia directly to the right of the ATM’s PIN pad.

Images: NCR.

The NCR report included additional photos that show how fake ATM side panels with the hidden cameras are carefully crafted to slip over top of the real ATM side panels.

Image: NCR.

Sometimes the skimmer thieves embed their pinhole spy cameras in fake panels directly above the PIN pad, as in these recent attacks targeting a similar NCR model:

Image: NCR

In the image below, the thieves hid their pinhole camera in a “consumer awareness mirror” placed directly above an ATM retrofitted with an insert skimmer:

Image: NCR

The financial institution that shared the images above said it has seen success in stopping most of these insert skimmer attacks by incorporating a solution that NCR sells called an “insert kit,” which stops current skimmer designs from locating and locking into the card reader. NCR also is conducting field trials on a “smart detect kit” that adds a standard USB camera to view the internal card reader area, and uses image recognition software to identify any fraudulent device inside the reader.

Skimming devices will continue to mature in miniaturization and stealth as long as payment cards continue to hold cardholder data in plain text on a magnetic stripe. It may seem silly that we’ve spent years rolling out more tamper- and clone-proof chip-based payment cards, only to undermine this advance in the name of backwards compatibility. However, there are a great many smaller businesses in the United States that still rely on being able to swipe the customer’s card.

Many newer ATM models, including the NCR SelfServ referenced throughout this post, now include contactless capability, meaning customers no longer need to insert their ATM card anywhere: They can instead just tap their smart card against the wireless indicator to the left of the card acceptance slot (and right below the “Use Mobile Device Here” sign on the ATM).

For simple ease-of-use reasons, this contactless feature is now increasingly prevalent at drive-thru ATMs. If your payment card supports contactless technology, you will notice a wireless signal icon printed somewhere on the card — most likely on the back. ATMs with contactless capabilities also feature this same wireless icon.

Once you become aware of ATM skimmers, it’s difficult to use a cash machine without also tugging on parts of it to make sure nothing comes off. But the truth is you probably have a better chance of getting physically mugged after withdrawing cash than you do encountering a skimmer in real life.

So keep your wits about you when you’re at the ATM, and avoid dodgy-looking and standalone cash machines in low-lit areas, if possible. When possible, stick to ATMs that are physically installed at a bank. And be especially vigilant when withdrawing cash on the weekends; thieves tend to install skimming devices on Saturdays after business hours — when they know the bank won’t be open again for more than 24 hours.

Lastly but most importantly, covering the PIN pad with your hand defeats one key component of most skimmer scams: The spy camera that thieves typically hide somewhere on or near the compromised ATM to capture customers entering their PINs.

Shockingly, few people bother to take this simple, effective step. Or at least, that’s what KrebsOnSecurity found in this skimmer tale from 2012, wherein we obtained hours worth of video seized from two ATM skimming operations and saw customer after customer walk up, insert their cards and punch in their digits — all in the clear.

If you enjoyed this story, check out these related posts:

Crooks Go Deep With Deep Insert Skimmers

Dumping Data from Deep Insert Skimmers

How Cyber Sleuths Cracked an ATM Shimmer Gang

from Krebs on Security https://ift.tt/mSUtix1
via IFTTT

La versión beta de Fedora 37 ya esta disponible para pruebas

lanzamiento de Fedora Linux 37 Beta

Ha comenzado la prueba beta de la distribución Fedora Linux 37

Se acaba de dar a conocer el lanzamiento de la versión de pruebas «Beta», de lo que será la próxima versión de la popular distribucion de Linux, «Fedora 37», en la cual se han integrado diversos cambios que ya se habían anunciado meses atrás, tales como la finalización del soporte para ARMv7, asi como el soporte oficial para RPi 4, el inicio de la desaprobación de las firmas digitales SHA-1, entre otras cosas más.

Cabe mencionar que el lanzamiento de esta versión beta marcó la transición a la etapa final de prueba, en la que solo se permiten correcciones de errores críticos.

Principales novedades de Fedora 37 Beta

Esta nueva versión de Fedora Workstation llega con GNOME 43, cuyo lanzamiento se espera para el 21 de septiembre. Con el lanzamiento de GNOME 43, el configurador tiene un nuevo panel con opciones de seguridad de dispositivos y firmware (por ejemplo, muestra información sobre la activación de UEFI Secure Boot, el estado de TPM, Intel BootGuard y los mecanismos de seguridad IOMMU).

Otra de las novedades que presenta esta beta, es el soporte para la placa Raspberry Pi 4 el cual ahora es oficialmente compatible, incluido el soporte de aceleración de gráficos de hardware para la GPU V3D.

Ademas de ello, se proponen dos nuevas ediciones oficiales: Fedora CoreOS (un entorno atómicamente actualizable para ejecutar contenedores aislados) y Fedora Cloud Base (imágenes para crear máquinas virtuales que se ejecutan en entornos de nube pública y privada).

En los sistemas x86 con BIOS, la partición está habilitada de forma predeterminada mediante GPT en lugar de MBR. Mientras que para las ediciones Silverblue y Kinoite de Fedora brindan la capacidad de volver a montar la partición /sysroot en modo de solo lectura para proteger contra cambios accidentales.

En cuanto a la arquitectura ARMv7, también conocida como ARM32 o armhfp, esta ha pasado a catalogarse como obsoleta y se ha finalizado su soporte. Las razones citadas para finalizar el soporte para ARMv7 son la eliminación general del desarrollo de la distribución para sistemas de 32 bits, ya que algunas de las nuevas mejoras de seguridad y rendimiento de Fedora solo están disponibles para arquitecturas de 64 bits. ARMv7 siguió siendo la última arquitectura de 32 bits totalmente compatible en Fedora (la formación de repositorios para la arquitectura i686 se suspendió en 2019, dejando solo repositorios de bibliotecas múltiples para entornos x86_64).

Con este cambio los desarrolladores de Fedora, hacen la recomendación a los mantenedores que dejen de crear paquetes para la arquitectura i686 si la necesidad de dichos paquetes es cuestionable o resulta en una pérdida de tiempo o recursos notable. La recomendación no se aplica a los paquetes usados ​​como dependencias en otros paquetes o usados ​​en el contexto «multilib» para hacer que los programas de 32 bits se ejecuten en entornos de 64 bits. Para la arquitectura i686, se han descontinuado los paquetes java-1.8.0-openjdk, java-11-openjdk, java-17-openjdk y java-latest-openjdk.

Por otra parte, podremos encontrar en esta beta de Fedora 37 que los archivos incluidos en los paquetes RPM están firmados digitalmente, lo que se puede usar para verificar la integridad y proteger contra la suplantación de archivos usando el subsistema del kernel IMA (Arquitectura de Medición de la Integridad). La adición de firmas dio como resultado un aumento del 1,1 % en el tamaño del paquete RPM y un aumento del 0,3 % en el tamaño del sistema instalado.

De los demás cambios que se destacan de esta versión beta:

  • Se agregó la política TEST-FEDORA39 para probar la próxima desaprobación de las firmas digitales SHA-1. Opcionalmente, el usuario puede deshabilitar la compatibilidad con SHA-1 mediante el comando «update-crypto-policies –set TEST-FEDORA39».
  • Se ha preparado una versión de Fedora Server para descargar, diseñada como una imagen de máquina virtual optimizada para el hipervisor KVM.
  • Se propone un montaje preliminar para probar el control del instalador de Anaconda a través de una interfaz web, incluso desde un sistema remoto.
  • Tambien se menciona que a partir de esta versión Beta, los componentes de localización y soporte de idiomas adicionales se han separado del paquete principal de Firefox.
  • Versiones de paquetes actualizadas, incluidos Python 3.11, Perl 5.36, LLVM 15, Go 1.19, Erlang 25, Haskell GHC 8.10.7, Boost 1.78, glibc 2.36, binutils 2.38, Node.js 18, RPM 4.18, BIND 9.18, Emacs 28, Stratis 3.2.0.
  • Los paquetes y la edición de la distribución de escritorio LXQt se han actualizado a LXQt 1.1 .
  • El paquete openssl1.1 ha quedado obsoleto y se reemplazó por el paquete con la rama OpenSSL 3.0 actual.

Finalmente para quienes estén interesados en poder probar la beta, pueden obtener la imagen ISO desde el siguiente enlace.

from Linux Adictos https://ift.tt/A8TW7Jd
via IFTTT