Daily Archives: December 1, 2022

MilagrOS 3.1 – MX-NG-2022.11. Una distribución de autor

Posted on by

Logo de MilagrOS

Encontrar una distribución Linux derivada, fuera de las grandes, que aporte realmente algo importante es, como diría el señor Chesterton, algo de más paciencia que el oficio de pescar. Pero, a veces el milagro (O el MilagrOS) se produce y uno recupera la fe en los desarrolladores del software libre.

MilagrOS 3.1 – MX-NG-2022.11 es una reformulación no oficial de MX Linux, una distribución derivada de Debian, que busca mejorar aún más las características de estabilidad y rendimiento de la gran D, al mismo tiempo que incorpora herramientas para facilitar aún más su uso.

Qué podemos esperar de MilagrOS 3.1 – MX-NG-2022.11

Del mismo modo en que un hábil artesano puede darle personalidad a un mueble de Ikea y, un repostero convertir en un manjar un bizcochuelo industrial, el proyecto Tic Toc logra que esta distribución vaya más allá del típico cambio de fondo de pantalla.

Debian y MX Linux forman la base de esta distribución

MilagrOS es mucho más que un fork de Debian 11 y MX Linux. La cudadosa selección de aplicaciones convierten a esta reformulación en una distribución independiente por derecho propio.

Los requisitos del sistema

MilagrOS 3.1 solo está disponible para la arquitectura de 64 bits. Sin embargo, cualquier equipo relativamente moderno debería ser capaz de ejecutarla. Los requisitos mínimos son 11 GB de espacio en disco, un procesador de dos núcleos y 2 GB de RAM. Un pendrive con 4 GB bastará para crear el medio de instalación.

Escritorio y repositorios

En la base del sistema operativo está el Kernel Linux 5.19 mientras que el catálogo del software disponible corresponde al de Debian 11 y los repositorios nativos de MX Linux actualizados al 15/11/22. Para facilitar la instalación y eliminación de software se incluyó el Centro de Software de GNOME (Bueno, algún defecto debe tener) con soporte para paquetería Flatpak

El escritorio es XFCE, pero con algunas modificaciones.  Se integra con Twister UI para dar un aspecto más familiar a quienes vienen de sistemas operativos privativos como Windows 10 o macOS. Además, del lado derecho hallamos un panel con lanzadores de aplicaciones esenciales, el botón de apagado y reinicio y el menú de acceso al resto de las aplicaciones.

En la parte inferior hallamos un widget de visualización de las ventanas activas, un reloj, un complemento de notificación, y el control de volumen.

Otras modificaciones

MilagrOS 3.1 – MX-NG-2022.11. incluye algunas herramientas más, tanto de desarrollo propio como tomada de otras distribuciones. Por ejemplo:

  • LPKG: Es el gestor de paquetes de bajo nivel de la Distro Loc-OS.
  •  ia32-libs: Para la ejecución de paquetes desarrollados para 32 bits.
  • LPI-SOA versión 0.2: Un asistente de optimización exclusivo de esta distribución.
  • Compiz Fusión: Efectos visuales para el escritorio.
  • Tema y paquetes de iconos de Elementary OS.
  • OBS Studio: Herramienta para streaming de video.
  • GNOME Recorder: Grabador de audio.
  • Clonezilla: Herramienta de texto para la clonación de disco.
  • S-TUI: Herramienta de monitorización y pruebas de hardware.

Mi opinión

MilagrOS incluye una versión personalizada del escritorio XFCE

El escritorio XFCE con opciones de personalización incorporadas desde otras distribuciones está irreconocible. MilagrOS no tiene nada que envidiarle en el aspecto visual a los sistemas operativos privativos.

Si estás cansado de las distribuciones de siempre con sus soluciones premoldeadas, deberías darle una oportunidad. Lo mismo si estás buscando que distribución instalarle a ese familiar usuario de Windows que no sabe nada de informática.

Además, dado que se trata de un proyecto de origen venezolano no tendrás problemas en encontrar ayuda disponible en nuestro idioma.

Probarla es un buen plan para este fin de semana. Yo hice la prueba en una máquina virtual con los requisitos mínimos pedidos y el uso fue realmente fluido.

Puedes encontrar la distribución en los siguientes enlaces de descarga.

Si quieres conocer más información sobre esta distribución y otros proyectos relacionados con el software libre de sus responsables, puedes visitar su página web.

Retomando el tema que inicié esta mañana, es evidente que cuando existe la voluntad de hacer bien las cosas y se emprenden proyectos razonables para los recursos que se tienen, la superioridad de Linux y los principios del software libre son invencibles.

from Linux Adictos https://ift.tt/I8E1qtL
via IFTTT

ConnectWise Quietly Patches Flaw That Helps Phishers

Posted on by

ConnectWise, a self-hosted, remote desktop software application that is widely used by Managed Service Providers (MSPs), is warning about an unusually sophisticated phishing attack that can let attackers take remote control over user systems when recipients click the included link. The warning comes just days after the company quietly patched a vulnerability that makes it easier for phishers to launch these attacks.

A phishing attack targeting MSP customers using ConnectWise.

ConnectWise’s service is extremely popular among MSPs that manage, protect and service large numbers of computers remotely for client organizations. Their product provides a dynamic software client and hosted server that connects two or more computers together, and provides temporary or persistent remote access to those client systems.

When a remote support technician wants to use ConnectWise to remotely administer a computer, the ConnectWise website generates an executable file that is digitally signed by ConnectWise and downloadable by the client via a hyperlink.

When the remote user in need of assistance clicks the link, their computer is then directly connected to the computer of the remote administrator, who can then control the client’s computer as if they were seated in front of it.

While modern Microsoft Windows operating systems by default will ask users whether they want to run a downloaded executable file, many systems set up for remote administration by MSPs will have disabled that user account control feature for this particular application.

In October, security researcher Ken Pyle alerted ConnectWise that their client executable file gets generated based on client-controlled parameters. Meaning, an attacker could craft a ConnectWise client download link that would bounce or proxy the remote connection from the MSP’s servers to a server that the attacker controls.

This is dangerous because many organizations that rely on MSPs to manage their computers often set up their networks so that only remote assistance connections coming from their MSP’s networks are allowed.

Using a free ConnectWise trial account, Pyle showed the company how easy it was to create a client executable that is cryptographically signed by ConnectWise and can bypass those network restrictions by bouncing the connection through an attacker’s ConnectWise control server.

“You as the attacker have full control over the link’s parameters, and that link gets injected into an executable file that is downloaded by the client through an unauthenticated Web interface,” said Pyle, who is a partner and exploit developer at the security firm Cybir. “I can send this link to a victim, they will click this link, and their workstation will connect back to my instance via a link on your site.”

A composite of screenshots researcher Ken Pyle put together to illustrate the ScreenConnect vulnerability.

On Nov. 29, roughly the same time Pyle published a blog post about his findings, ConnectWise issued an advisory warning users to be on guard against a new round email phishing attempts that mimic legitimate email alerts the company sends when it detects unusual activity on a customer account.

“We are aware of a phishing campaign that mimics ConnectWise Control New Login Alert emails and has the potential to lead to unauthorized access to legitimate Control instances,” the company said.

ConnectWise said it released software updates last month that included new protections against the misdirection vulnerability that Pyle reported.  But the company said there is no reason to believe the phishers they warned about are exploiting any of the issues reported by Pyle.

“Our team quickly triaged the report and determined the risk to partners to be minimal,” ConnectWise spokesperson Tarran Street said. “Nevertheless, the mitigation was simple and presented no risk to partner experience, so we put it into the then-stable 22.8 build and the then-canary 22.9 build, which were released as part of our normal release processes. Due to the low severity of the issue, we didn’t (and don’t plan to) issue a security advisory or alert, since we reserve those notifications for serious security issues.”

Pyle said he doubts the issue he reported is unrelated to the phishing attacks ConnectWise is warning about.

“They don’t want to talk about my work (no advisory), and they recommend applying the patch they issued in response to my work,” Pyle wrote when asked to comment on ConnectWise’s response.

The ConnectWise advisory warned users that before clicking any link that appears to come from their service, users should validate the content includes “domains owned by trusted sources,” and “links to go to places you recognize.”

But Pyle said this advice is not terribly useful for customers, because in his attack scenario the phishers can send emails directly from ConnectWise, and the short link that gets presented to the user is a wildcard domain that ends in ConnectWise’s own domain name — screenconnect.com. What’s more, examining the exceedingly long link generated by ConnectWise’s systems offers few insights to the average user.

“It’s signed by ConnectWise and comes from them, and if you sign up for a free trial instance, you can email people invites directly from them,” Pyle said.

ConnectWise’s warnings come amid breach reports from another major provider of cloud-based remote support technologies: GoTo disclosed on Nov. 30 that it is investigating a security incident involving “unusual activity within our development environment and third-party cloud storage services. The third-party cloud storage service is currently shared by both GoTo and its affiliate, the password manager service LastPass.

In its own advisory on the incident, LastPass said they believe the intruders leveraged information stolen during a previous intrusion in August 2022 to gain access to “certain elements of our customers’ information.”  However, LastPass maintains that its “customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.”

In short, that architecture means if you lose or forget your all-important master LastPass password — the one needed to unlock access to all of your other passwords stored with them — LastPass can’t help you with that, because they don’t store it. But that same architecture theoretically means that hackers who might break into LastPass’s networks can’t access that information either.

from Krebs on Security https://ift.tt/m3dyx7t
via IFTTT

La licencia no da licencia (Opinión)

Posted on by

Ser desarrollador de software libre no es excusa para hacer las cosas mal

Hace un rato escribí una reseña sobre un programa concluyendo que no estaba listo para ser distribuido y mucho menos usado. Un conocido me escribió por mensaje directo afirmando que me equivoqué al hacerlo.

Mi «equivocación» no fue en la descripción de las falencias del programa (Mi interlocutor reconoció no haberlo probado) sino haber hablado mal de una aplicación de software libre. En su opinión, si no podía decir nada bueno del programa no debería haber escrito el artículo.  Aparentemente la libre expresión es mala para el movimiento del software libre.

La religión del software libre

El movimiento del software libre creado por Richard Stallman es un proyecto admirable, basta con hacer un repaso de las 4 libertades fundamentales para darse cuenta:

La libertad de ejecutar el programa como se desee, con cualquier propósito (libertad 0).
La libertad de estudiar cómo funciona el programa, y cambiarlo para que haga lo que se desee (libertad 1). El acceso al código fuente es una condición necesaria para ello.
La libertad de redistribuir copias para ayudar a otros (libertad 2).
La libertad de distribuir copias de sus versiones modificadas a terceros (libertad 3). Esto le permite ofrecer a toda la comunidad la oportunidad de beneficiarse de las modificaciones. El acceso al código fuente es una condición necesaria para ello.

Si tenemos en cuenta que estos enunciados son anteriores a Internet, las redes sociales y al impacto de la Inteligencia Artificial en nuestras vidas podemos tomar la real dimensión de Stallman como visionario.

El problema es cuando ignorando la formación de Richard Stallman y el contexto en que inició el movimiento se pretende que todo el mundo adscriba a esos principios en forma acrítica y sin tener en cuenta sus propias necesidades.

Stallman era un joven miembro del Laboratorio de Informática del MIT. Le tocó vivir en una época en la que estudiantes y profesores compartían los recursos por igual. Si un estudiante necesitaba de un escritorio y un terminal de ordenador y la oficina del jefe del laboratorio estaba vacía, simplemente entraba y se ponía a trabajar.

Todos en el laboratorio eran expertos programadores, si a alguien se le ocurría una forma de mejorar el sistema operativo escribía el código e implementaba las mejoras.

Pero, los tiempos cambiaron y nuevo director estableció nuevas modalidades de trabajo. Se compró un nuevo sistema informático y cuando Stallman pidió acceso al código fuente para implementar mejoras en el funcionamiento de una impresora se lo negaron en nombre de los derechos de autor.

Es decir, que el movimiento del software libre nació para recuperar un ambiente de trabajo que fomentaba la productividad de los que trabajan en informática. El error se produce cuando se cree que esas libertades deberían bastarnos a los demás.

La quinta libertad

Tim O’Reilly es el fundador de O’Reilly Media, una de las editoriales de contenidos educativos sobre tecnología más importante del mundo. El sostiene que desde el punto de vista de los usuarios finales hay una libertad más importante que las otras cuatro. La libertad de hacer cosas usando un programa que no podrían lograrse sin utilizarlo.

Es decir que el mejor programa desde el punto de vista del usuario es el que les permite hacer las cosas que necesita. Desde su punto de vista el acceso al código es irrelevante.

La licencia no da licencia

Viniendo como vengo de una familia de comerciantes y dedicándome al marketing estoy más cerca de O’ReIlly que de Stallman. Yo escribo para el usuario final y el usuario final tiene que saber si un producto le sirve o no. Cuando compartimos esas supuestas tablas de equivalencia entre software privativo y software libre estamos mintiendo.

No podemos decirle a un usuario que El Gimp reemplaza a Photoshop sin aclararle que no va a encontrar los miles de tutoriales y los centenares de complementos que ahorran pasos. En cambio, podemos explicarle que si se toma el trabajo de aprender a programar en Python va a poder desarrollar sus propios complementos sin pagar fortunas en licencias ni arriesgarse a utilizar una copia pirata.

Tampoco hay que afirmar que todos los archivos de Microsoft Office se van a ver sin problemas en LibreOffice, pero, como contrapartida, el acceso a sus archivos no dependerá de los caprichos de una empresa de software.

from Linux Adictos https://ift.tt/BU0Hrku
via IFTTT