APT group trojanizes Telegram app – Week in security with Tony Anscombe

StrongPity’s backdoor is fitted with various spying features and can record phone calls, collect texts, and gather call logs and contact lists

The post APT group trojanizes Telegram app – Week in security with Tony Anscombe appeared first on WeLiveSecurity

from WeLiveSecurity https://ift.tt/1QvLhne
via IFTTT

OpenAI comenzará a cobrar por el uso de ChatGPT, lanzando una versión profesional 

ChatGPT

ChatGPT es un prototipo de chatbot de inteligencia artificial

Se dio a conocer hace poco que OpenAI ha anunciado que actualmente está trabajando en una versión profesional del chatbot de IA ChatGPT.

Greg Brockman, cofundador y presidente de OpenAI, anunció en Twitter que la versión profesional del chatbot de IA «ofrecerá límites altos y un rendimiento mucho más rápido». No obstante, Brockman especifica que el uso de la API no estará vinculado a la versión profesional.

La popularidad de ChatGPT ha estado creciendo desde su lanzamiento a fines de noviembre, y la gente acudió en masa para aprovechar la capacidad del sistema.

ChatGPT tuvo que lidiar con cientos de miles de solicitudes de usuarios que creaban informes, pruebas y, a veces, incluso código. OpenAI dice que se ha visto obligado a implementar límites de uso, introducir un sistema de colas durante los períodos pico y otros métodos para minimizar la demanda.

Esto incluye un mensaje en pantalla que dice: “Estamos experimentando una demanda excepcionalmente alta. Tenga paciencia mientras trabajamos para escalar nuestros sistemas”. Según la empresa, el entusiasmo por Chatbot ha crecido constantemente desde su lanzamiento a fines de noviembre.

Ha sido gratuito de implementar hasta ahora, y OpenAI lo ha llamado una «vista previa de investigación», pero la compañía actualmente está explorando formas de hacer que la plataforma sea rentable.

El poder de ChatGPT le da a OpenAI una «palanca significativa» sobre el precio que la empresa puede cobrar por acceder. En un anuncio en el servidor Discord oficial de la compañía, OpenAI dijo que está

«comenzando a pensar en cómo monetizar ChatGPT» como una de las formas de «garantizar la viabilidad a largo plazo de la herramienta». Según la información disponible sobre el tema, la versión monetizada de ChatGPT debería llamarse «ChatGPT Professional».

Al menos, eso es según una lista de espera que OpenAI publicó en el servidor Discord, que hace una serie de preguntas sobre las preferencias de pago. La lista también describe las ventajas de ChatGPT Professional, que incluyen ventanas «apagadas» (es decir, tiempo de inactividad), sin limitación y mensajería ilimitada con ChatGPT (al menos menos de 2 veces el límite diario normal).

OpenAI señala que los encuestados de la lista de espera pueden seleccionarse para probar ChatGPT Professional, pero el programa se encuentra en una fase experimental y «todavía» no estará ampliamente disponible.

Todos estos movimientos apuntan a un futuro en el que ChatGPT será simplemente una función de otras aplicaciones, en lugar de un servicio independiente. La lista de espera de OpenAI incluye un formulario que hace preguntas sobre el uso de ChatGPT, la función más valiosa para la que se usará y preguntas sobre los precios.

Se trata de evaluar el punto más alto y el punto más bajo en el que un usuario consideraría que el producto es demasiado caro o tan bajo que la calidad se vería afectada. Otro se relaciona con el punto en el que el precio es “caro, por lo que no está descartado alcanzarlo, pero te pide que lo pienses antes de comprarlo”. La última pregunta del formulario es calificar del uno al cinco qué tan molesto se sentiría el usuario si ya no pudiera usar ChatGPT.

El paso a un nivel de pago era inevitable dados los costos de funcionamiento del servicio. El CEO de OpenAI, Sam Altman, tuiteó recientemente que «los costos de computación son exorbitantes» y que «la empresa debería monetizar en algún momento».

Pero la pregunta que tienen la mayoría de los usuarios ocasionales es cómo podría evolucionar exactamente la versión gratuita. En conjunto, los elementos citados anteriormente dan una buena idea del tipo de restricciones que pronto se aplicarán a la versión gratuita de ChatGPT.

ChatGPT Professional llega en un momento en que OpenAI está bajo presión para obtener ganancias con productos como ChatGPT. La compañía espera ganar 200 millones de dólares en 2023, una miseria en comparación con los más de 1.000 millones de dólares que se han invertido en la startup desde sus inicios hasta ahora.

Finalmente, cabe mencionar que las personas interesadas pueden registrarse en una lista de espera y esperar la fecha de selección. Al hacerlo, OpenAI también solicita opiniones sobre posibles precios y solicita precios altos y bajos por mes en los que se puede considerar una compra.

Link de la lista de espera.

from Linux Adictos https://ift.tt/XaYQpIk
via IFTTT

Firewalld, una excelente herramienta de administración de firewall

firewalld

firewalld, una excelente utilidad que protege y bloquea el tráfico de red

La mayoría de las distribuciones de Linux cuentan con sus propios servicios de firewall preconstruidos, por lo que el usuario generalmente no tiene que intervenir en esta parte. Pero en ocasiones es necesario algún tipo de configuración especial o para cualquier otra cosa que desee el usuario.

Y es por eso que el día de hoy vamos a hablar Firewalld, el cual es un firewall dinámico administrable, básicamente permite poder realizar la administración del Firefwall con soporte para zonas de redes para definir el nivel de confianza de las redes o interfaces que utilice para conectarse. Tiene soporte para configuraciones IPv4, IPv6 y puentes de ethernet.

Sobre Firewalld

Firewalld está implementado en forma de contenedor sobre los filtros de paquetes nftables e iptables. Firewalld se ejecuta como un proceso en segundo plano que permite que las reglas de filtrado de paquetes se cambien dinámicamente a través de D-Bus sin tener que volver a cargar las reglas de filtrado de paquetes y sin desconectar las conexiones establecidas.

Para administrar el firewall, se utiliza la utilidad firewall-cmd que, al crear reglas, no se basa en las direcciones IP, las interfaces de red y los números de puerto, sino en los nombres de los servicios por ejemplo, para abrir el acceso a SSH, para cerrar SSH, entre otros.

La interfaz gráfica firewall-config (GTK) y el subprograma firewall-applet (Qt) también se pueden usar para cambiar la configuración del firewall. La compatibilidad con la gestión a través de D-BUS API firewalld está disponible en proyectos como NetworkManager, libvirt, podman, docker y fail2ban.

Además, firewalld mantiene de forma separada una configuración en ejecución y otra permanente. Así pues, firewalld también ofrece una interfaz para que las aplicaciones puedan añadir reglas de una forma cómoda.

El modelo anterior (system-config-firewall/lokkit) era estático y cada cambio requería un reinicio completo. Esto suponía tener que descargar los módulos del núcleo (ej: netfilter) y recargarlos de nuevo en cada configuración. Además, este reinicio suponía perder la información de estado de las conexiones establecidas.

Por el contrario, firewalld no requiere reiniciar el servicio para aplicar una nueva configuración. Por lo tanto, no es necesario recargar los módulos del núcleo. El único inconveniente es que para que todo esto funcione correctamente, la configuración debe realizarse a traves de firewalld y sus herramientas de configuración (firewall-cmd o firewall-config). Firewalld es capaz de añadir reglas utilizando la misma sintaxis que los comandos {ip,ip6,eb}tables (reglas directas).

Firewalld 1.3

Actualmente, Firewalld se encuentra en su versión 1.3, la cual fue recientemente liberada y en ella se destacan los siguientes cambios:

  • Se ha implementado un servicio compatible con la aplicación para compartir archivos Warpinator desarrollada por la distribución Linux Mint.
  • Se agregaron los servicios bareos-director, bareos-filedaemon y bareos-storage para admitir el sistema de copia de seguridad Bareos.
  • Se implementó una regla de enmascaramiento para el backend de nftables, que le permite vincular las interfaces de red a una zona que procesa el tráfico entrante. Para el backend de iptables, esta función no es compatible.
  • Servicio agregado para redes P2P superpuestas de Nebula.
  • Se agregó un servicio para el sistema de exportación de métricas de Ceph a la base de datos de Prometheus.
  • Se agregó un servicio que admite el protocolo OMG DDS (Servicio de distribución de datos del grupo de administración de objetos).
  • Se ha agregado un servicio para procesar solicitudes de clientes para determinar nombres de host mediante el protocolo LLMNR (Resolución de nombres de multidifusión local de enlace).
  • Se agregó un servicio para el protocolo ps2link que se usa para comunicarse con las consolas de juegos PlayStation 2.
  • Se ha agregado un servicio para admitir la operación del servidor para el sistema de sincronización de archivos Syncthing.

Si estás interesado en poder conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en el siguiente enlace.

Obtener Firewalld

Finalmente para quienes estén interesados en poder instalar este Firewall, deben saber que el proyecto ya está en uso en muchas distribuciones de Linux, incluidas RHEL 7+, Fedora 18+ y SUSE/openSUSE 15+. El código de firewalld está escrito en Python y se distribuye bajo la licencia GPLv2.

Pueden obtener el código fuente para su compilación desde el siguiente enlace.

from Linux Adictos https://ift.tt/UcL4fej
via IFTTT

Sin noticias de Twister OS desde que se lanzó la primera versión estable de Raspberry Pi OS de 64bit

Twister OS con el tema Big Sur Dark

Debo ser gafe. Hace algo más de un año escribí un artículo sobre Twister OS, que aunque lleve las siglas «OS» en su nombre, en realidad es Raspberry Pi OS con un «traje» y aplicaciones especiales, como RetroPie, que viene instalado por defecto o herramientas para overclockear la GPU. Es bonito, todo funciona y merece la pena usarlo, o la merecía, porque hace ya mucho tiempo que están como desaparecidos.

Las últimas noticias que tengo al respecto no eran las mejores. Había parte del equipo que quería trabajar para lanzar un Twister OS basado en la versión de 64bits de Raspberry Pi OS, y otra parte que prefería mantenerse en los 32bits que tan bien habían funcionado hasta el momento. El proyecto no es tan grande como el de la frambuesa, no pueden mantener dos opciones y eso fue un problema. Un problema que llega hasta hoy.

Twister OS lleva más de un año en la v2.1.2

Si vamos a su página web (que no está todo lo bien adaptada que podría estar si la visitamos desde el móvil…), podemos ver que tanto Twister OS (la imagen para placas simples) como Twister UI (el script para instalarlo todo sobre Xfce) están en la v2.1.2, la misma con la que yo hice mi especie de review a finales de 2021. Si vamos al canal de YouTube de Pi Labs, también vemos que hace más de un año que no actualizan su contenido.

Así que lo único claro es que hay un parón, pero no se sabe si es permanente o hasta cuándo durará. En lo personal, tampoco sé si los que decidieron dar el salto a los 64bit están en otra comunidad, por lo que si han publicado algo sobre su evolución, me lo he perdido. Lo único que sé es que está todo parado, y que también hayan parado la opción «UI» compatible con sistemas como Xubuntu no hace más que aumentar las sospechas de que el «traje» para Raspberry Pi OS podría terminar siendo abandonado.

Pero Twister OS es una muy buena opción, y las actualizaciones de la mayor parte de los paquetes llegan directamente de Raspberry Pi OS. Por lo que, si no es importante subir a la versión de 64bits, diría que aún merece la pena. También hay tutoriales sobre cómo instalar Twister UI sobre Raspberry Pi OS, con lo que tendríamos lo mejor de los dos mundos. Aún así, no se sabe qué pasará con «UI». Esperemos que el equipo siga en el el proyecto y que vuelvan más pronto que tarde con una actualización. Nuestras pequeñas placas lo agradecerán.

from Linux Adictos https://ift.tt/ylYHZrA
via IFTTT

OPS y Canadá intensifican esfuerzos para llevar vacunas contra COVID-19 a poblaciones en situación de vulnerabilidad en América Latina y el Caribe

PAHO and Canada step up efforts to bring COVID-19 vaccines to populations in situations of vulnerability in Latin America and the Caribbean

Oscar Reyes

13 Jan 2023

from PAHO/WHO | Pan American Health Organization https://ift.tt/UEwG526
via IFTTT

Google también apuesta por Rust y anuncia su inclusión en Chromium

Chromium

Rust tambien ha llegado a Chromium

Google dio a conocer hace poco mediante una publicación la inclusión del lenguaje de programación Rust entre los lenguajes permitidos en el código del proyecto Chromium.

Se menciona que para la inclusión hay una serie de requisitos para las bibliotecas de Rust de terceros que solicitan la integración en la base de código de Chromium, por ejemplo, la biblioteca debe superar a los análogos en velocidad, consumo de memoria y estabilidad, o ser la única implementación de una determinada tecnología.

Las bibliotecas de Rust también son aceptables cuando la funcionalidad se puede ejecutar en un proceso privilegiado, o cuando el uso de la biblioteca permite reducir el riesgo de errores en comparación con otras bibliotecas o código C++. Aún no se ha decidido qué bibliotecas se pueden incluir en Chromium.

La decisión se tomó como parte de una iniciativa para evitar que aparezcan errores de memoria en el código base de Chrome. Según las estadísticas proporcionadas hace dos años, el 70 % de los problemas de seguridad críticos y peligrosos en Chromium se deben a errores de memoria.

El uso del lenguaje Rust, que se centra en la gestión segura de la memoria y proporciona una gestión automática de la memoria, reducirá el riesgo de vulnerabilidades causadas por problemas como el acceso a un área de la memoria después de que se haya liberado y el desbordamiento del búfer.

El manejo seguro de la memoria se proporciona en Rust en tiempo de compilación mediante la verificación de referencias, el seguimiento de la propiedad del objeto y la vida útil del objeto (alcance), así como mediante la evaluación de la corrección del acceso a la memoria durante la ejecución del código. Rust también brinda protección contra desbordamientos de enteros, requiere la inicialización obligatoria de los valores de las variables antes de su uso, maneja mejor los errores en la biblioteca estándar, aplica el concepto de referencias y variables inmutables de forma predeterminada, ofrece tipado estático fuerte para minimizar los errores lógicos.

El uso de Rust hará que sea más fácil y seguro aplicar la «regla de do » que utiliza Google para mantener su base de código segura.

De acuerdo con esta regla, cualquier código que agregue no debe cumplir más de dos de las tres condiciones: trabajar con una entrada no validada, usar un lenguaje de programación no seguro (C/C++) y ejecutarse con privilegios elevados. De esta regla se deduce que el código para manejar datos externos debe reducirse a los privilegios mínimos (aislado) o escribirse en un lenguaje de programación seguro.

En el caso de Rust, que se desarrolló originalmente pensando en el navegador, la integración con el código existente se puede realizar sin el uso de IPC y con menos complejidad para organizar la protección contra errores de memoria, lo que acelerará el proceso de desarrollo (requiere escribir menos código y revisión más fácil) y reducir el número de errores relacionados con la seguridad.

Para simplificar la integración del código Rust con el código C++ existente y evitar los riesgos y limitaciones asociados con la integración, actualmente se decidió limitar la interacción unidireccional: llamar desde C++ a Rust (es decir, el código Rust solo se puede llamar desde el código C++) a través de funciones API, pero no mezcladas con código C++), lo que también permitirá mantener bajo control el árbol de dependencias.

La segunda limitación es solo la compatibilidad con bibliotecas de terceros que vienen en forma de componentes separados que no están vinculados a Chromium y tienen una API orientada a tareas.

Además de usar Rust para bloquear la explotación de vulnerabilidades provocadas por el acceso a bloques de memoria ya liberados (use-after-free), a partir del lanzamiento de Chrome 102, el código C++ comenzó a usar el tipo MiraclePtr (raw_ptr) en lugar del ordinario que proporciona un enlace de puntero que realiza comprobaciones adicionales para acceder a las áreas de memoria liberadas y se bloquea si se encuentran dichos accesos.

Se estima que el impacto del nuevo método de protección en el rendimiento y el consumo de memoria es insignificante.

Finalmente, cabe mencionar que todavía no hay planes para reescribir el código existente en Rust, pero a partir de ahora se permitirá la integración en la base de código de bibliotecas de terceros escritas en Rust.

El sistema de compilación ya ha agregado herramientas para compilar código Rust, ejecutar pruebas e integrar componentes Rust con código C++. Se espera que el código Rust aparezca como parte de los lanzamientos de Chrome el próximo año.

Fuente: https://security.googleblog.com

from Linux Adictos https://ift.tt/aEvW4Xo
via IFTTT