Daily Archives: May 2, 2023

Jonathan Carter es reelegido como líder del proyecto Debian por cuarta vez

Posted on by
Jonathan Carter

Jonathan Carter es el DPL por cuarta vez consecutiva

Hace pocos días fueron anunciados los resultados de la elección anual del líder del proyecto Debian en los cuales la victoria se la llevó Jonathan Carter, que fue reelegido por cuarta vez para estar al mando.

Y es que desde el 2020 Jonathan Carter ha estado al mando de Debian, desde aquellas votaciones ademas de Jonathan, tambien participaron por el mando Sruthi Chandran, Brian Gupta.

Antes de que Jonathan estuviera al mando era Sam Hartman el DPL que fue elegido en 2019 y desde entonces Jonathan Carter ha sido elegido durante 4 años consecutivos (2020-2021-2022 y ahora 2023).

A diferencia de los procesos de votación anterior, en esta ronda no se esperaban sorpresas en la elección, ya que Jonathan Carter era el único candidato.

Por lo tanto, de los aproximadamente 1000 desarrolladores de Debian que podían votar solo tenían la opción de votar a favor o en contra de Carter. El actual y nuevo líder del proyecto, Carter, recibió 259 votos y hubo 15 votos en contra. La participación fue de 279 votos o alrededor del 28 por ciento.

En la votación participaron 274 promotores, lo que supone el 28% del total de participantes con derecho a voto (el año pasado la participación fue del 34%, el antepasado del 44%, máximo histórico en 2000 -62,25%, mínimo en 2016- 27,56%). Y como se menciono las elecciones de este año se destacaron por el hecho de que se presentó un solo candidato, lo que redujo la votación a elegir entre «a favor» y «en contra» (259 votos a favor, 15 en contra).

Y es que para ser líder del proyecto Debian implica:

El líder del proyecto Debian (o DPL para abreviar) es el principal representante oficial del proyecto Debian.

Externamente, represento el proyecto en el mundo real. Esto implica dar charlas y presentaciones sobre Debian, asistir a ferias comerciales, establecer relaciones con otras organizaciones, establecer contratos y manejar asuntos legales. 

Jonathan Carter ha mantenido más de 60 paquetes de Debian desde 2016, contribuyendo a la calidad de las imágenes en vivo en el equipo debian-live y co-desarrollando AIMS Desktop, una versión de Debian utilizada por varias instituciones académicas y educativas de Sudáfrica.

Antes de las elecciones, Jonathan Carter anunció en su plataforma electoral que quería modernizar Debian para que no fuera solo un punto de partida para los derivados. Un movimiento muy discutido por Carter es la inclusión de firmware no libre en los medios de instalación, que el proyecto ya ha votado. Otro proyecto que describe en su plataforma es reducir los tiempos de espera para que se liberen los paquetes.

Por qué me postulo para DPL (una vez más)
Cuando me eligieron por primera vez, mi objetivo era aportar una sensación de estabilidad y normalidad al proyecto, después de haber pasado por algunos asuntos polémicos en los años anteriores. Sabía que esto iba a ser difícil, ya que algunas heridas eran profundas y más allá de Debian, muchas cosas en el mundo simplemente están fuera de nuestro control.

Creo que se ha hecho un gran progreso para hacer de Debian un proyecto mucho más estable, y mucha gente ha trabajado muy duro para que lo logremos, pero la razón por la que quiero la estabilidad no es solo por su propio bien. La estabilidad trae consigo seguridad y espacio para crecer, y creo que Debian se encuentra ahora en una etapa en la que está lista para crecer y convertirse en algo más.

Probablemente no haya nada que pueda prepararlo más para un término de DPL que haber cumplido algunos términos de DPL. Entiendo muy bien Debian, entiendo bien nuestros desafíos, he aprendido cómo trabajar mejor con las personas dentro de nuestro proyecto, todo lo cual me ayudó a identificar y eliminar los bloqueadores, y aunque creo que hay mucha gente en Debian que podría ser un buen DPL, creo que mis habilidades, experiencia, paciencia y comprensión reúnen una gran combinación para ayudar a guiar a Debian durante el próximo año.

Para los interesados en poder conocer los resultados de la votación pueden consultarlos aquí.

Finalmente si estás interesado en poder conocer más al respecto sobre las propuestas de Jonathan Carter, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/xL60QCb
via IFTTT

Proton Pass, el nuevo gestor de contraseñas con cifrado de extremo a extremo

Posted on by
Proton Pass

Proton Pass está construido por el mismo equipo de científicos que se reunieron en el CERN y crearon Proton Mail

Hace pocos días Proton, la compañía detrás de los populares productos «Proton Mail y Proton VPN», dio a conocer mediante un anuncio el lanzamiento de su nuevo administrador de contraseñas, «Proton Pass».

Proton Pass se encuentra actualmente en estado beta y solo está disponible para los miembros de Lifetime y Visionary del ecosistema de Proton. El nuevo administrador de contraseñas ofrece cifrado de extremo a extremo y el mismo grado de protección no solo para contraseñas, sino también para otros datos personales: nombres de usuario, notas, direcciones web y más.

El desarrollador asegura que todas las operaciones criptográficas, incluida la generación de claves y el cifrado de datos, se realizan localmente, en el dispositivo del usuario, sin posibilidad de acceso a las mismas por parte del desarrollador.

La compañía dijo que desarrollar un administrador de contraseñas ha sido una de las solicitudes más frecuentes de la comunidad de Proton desde el lanzamiento de Proton Mail. Sin embargo, Proton Pass no es solo un administrador de contraseñas estándar. La compañía afirma que será mucho más que eso.

Proton se complace en anunciar otro hito importante en el crecimiento del ecosistema de Proton con el lanzamiento de la versión beta de Proton Pass para usuarios de por vida y visionarios. Las invitaciones se enviarán durante la próxima semana y recibirá un correo electrónico nuestro en su dirección de correo electrónico de Proton Mail cuando sea elegible.

Un administrador de contraseñas ha sido una de las solicitudes más populares de la comunidad de Proton desde el lanzamiento de Proton Mail. Sin embargo, aunque Proton Pass utiliza cifrado de extremo a extremo para proteger sus credenciales de inicio de sesión, será mucho más que un administrador de contraseñas estándar. Esto quedará más claro en las próximas semanas y meses mientras preparamos Proton Pass para un lanzamiento público a finales de este año.

Proton Pass utiliza cifrado de extremo a extremo para todos los campos, incluido el nombre de usuario y la dirección web. Esta es una característica crucial porque incluso los bits más pequeños de información se pueden utilizar para crear un perfil muy detallado de una persona.

El desarrollo de Proton Pass estuvo a cargo del equipo de SimpleLogin, que unió fuerzas con Proton en 2022 para ofrecer a los usuarios de Proton alias avanzados para ocultar su dirección de correo electrónico.

En 2022, Proton unió fuerzas con SimpleLogin para ofrecer a millones de usuarios de Proton «alias de encubrimiento de direcciones de correo electrónico» avanzados. Hacer que los inicios de sesión sean más seguros, privados y fáciles estaba en el corazón de la visión original de SimpleLogin. De hecho, Son Nguyen Kim, el fundador de SimpleLogin, eligió el nombre SimpleLogin precisamente por este motivo.

La fusión reunió a dos organizaciones con el mismo interés en resolver este problema. Es por eso que el equipo de SimpleLogin, junto con algunos ingenieros de Proton, dirigió el trabajo en Proton Pass.

Proton Pass beta está disponible en iPhone/iPad, Android y escritorio. Las extensiones de navegador están disponibles para Brave y Chrome, y pronto para Firefox. El cifrado de extremo a extremo utilizado en Proton Pass garantiza que los datos de los usuarios estén protegidos incluso si pierden o les roban el dispositivo.

Proton Pass es la última incorporación al conjunto de productos centrados en la privacidad ya que la misión de la empresa es proporcionar a los usuarios herramientas de comunicación seguras y privadas que protejan sus datos personales de miradas indiscretas. Con el lanzamiento de Proton Pass, Proton da un paso más para lograr este objetivo.

Cabe mencionar que Proton planea abrir el código fuente del nuevo administrador de contraseñas una vez que esté disponible para el público en general. Si bien Proton Pass podría terminar siendo uno de los mejores administradores de contraseñas disponibles, su estado beta lo retrasará por el momento. Además, debido a que solo los usuarios de Proton Mail tendrán acceso por ahora, solo aquellos realmente comprometidos con la seguridad en línea se beneficiarán por un tiempo.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/J3lMOwY
via IFTTT

Detectaron una vulnerabilidad en los procesadores Intel que conduce a la fuga de datos

Posted on by
vulnerabilidad

Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Un grupo de investigadores de universidades de china y estados unidos han identificado una nueva vulnerabilidad en los procesadores de Intel que conduce a la fuga de información sobre el resultado de operaciones especulativas a través de canales de terceros, que puede utilizarse, por ejemplo, para organizar un canal de comunicación oculto entre procesos o detectar fugas durante ataques Meltdown.

La esencia de la vulnerabilidad es un cambio en el registro del procesador EFLAGS, que ocurrió como resultado de la ejecución especulativa de instrucciones, afecta el tiempo de ejecución posterior de las instrucciones JCC (salto cuando se cumplen las condiciones especificadas).

Las operaciones especulativas no se completan y el resultado se descarta, pero el cambio de EFLAGS descartado se puede determinar analizando el tiempo de ejecución de las instrucciones JCC. Las operaciones de comparación previas al salto realizadas especulativamente, si la comparación es exitosa, dan como resultado un pequeño retraso que se puede medir y usar como una característica para hacer coincidir el contenido.

El ataque de ejecución transitoria es un tipo de ataque aprovechando la vulnerabilidad de las tecnologías de optimización de CPU. Los nuevos ataques surgen rápidamente. El canal lateral es una clave parte de los ataques de ejecución transitoria para filtrar datos.

En este trabajo, descubrimos una vulnerabilidad que cambio el registro EFLAGS en ejecución transitoria que puede tener un efecto secundario en la instrucción Jcc (código de condición de salto) CPUs Intel. Basándonos en nuestro descubrimiento, proponemos un nuevo ataque de canal lateral que aprovecha el momento de la ejecución transitoria e instrucciones Jcc para entregar datos.

Este ataque codifica datos secretos al cambio de registro que hace que el tiempo de ejecución que hace ligeramente más lento y que puede ser medido por el atacante para decodificar datos. Este ataque no depende del sistema de caché.

A diferencia de otros ataques similares a través de canales de terceros, el nuevo método no analiza el cambio en el tiempo de acceso a los datos en caché y no en caché y no requiere la etapa de restablecer el registro EFLAGS al estado inicial, lo que dificulta detectar y bloquear el ataque.

A modo de demostración, los investigadores implementaron una variante del ataque Meltdown, utilizando en él un nuevo método para obtener información sobre el resultado de una operación especulativa. El funcionamiento del método para organizar la fuga de información durante un ataque Meltdown se ha demostrado con éxito en sistemas con CPU Intel Core i7-6700 e i7-7700 en un entorno con kernel Ubuntu 22.04 y Linux 5.15. En un sistema con una CPU Intel i9-10980XE, el ataque solo tuvo un éxito parcial.

La vulnerabilidad Meltdown se basa en que durante la ejecución especulativa de instrucciones, el procesador puede acceder a un área de datos privados y luego descartar el resultado, ya que los privilegios establecidos prohíben dicho acceso desde el proceso del usuario.

En un programa, un bloque ejecutado especulativamente se separa del código principal mediante un salto condicional, que en condiciones reales siempre se activa, pero debido al hecho de que la instrucción condicional utiliza un valor calculado que el procesador no conoce durante el código preventivo. ejecución, todas las opciones de bifurcación se ejecutan especulativamente.

En la versión clásica de Meltdown, dado que se usa el mismo caché para operaciones ejecutadas especulativamente que para instrucciones normalmente ejecutadas, es posible durante la ejecución especulativa establecer marcadores en el caché que reflejen el contenido de bits individuales en un área de memoria cerrada, y luego en el código normalmente ejecutado para determinar su significado a través del análisis del tiempo de acceso a los datos en caché y no en caché.

La nueva variante utiliza el cambio en el registro EFLAGS como marcador de una fuga. En la demostración de Covert Channel, un proceso moduló los datos que se enviaban para cambiar el contenido del registro EFLAGS y otro proceso analizó el cambio en el tiempo de ejecución de JCC para recrear los datos enviados por el primer proceso.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/KRek2mE
via IFTTT

Promising Jobs at the U.S. Postal Service, ‘US Job Services’ Leaks Customer Data

Posted on by

A sprawling online company based in Georgia that has made tens of millions of dollars purporting to sell access to jobs at the United States Postal Service (USPS) has exposed its internal IT operations and database of nearly 900,000 customers. The leaked records indicate the network’s chief technology officer in Pakistan has been hacked for the past year, and that the entire operation was created by the principals of a Tennessee-based telemarketing firm that has promoted USPS employment websites since 2016.

The website FederalJobsCenter promises to get you a job at the USPS in 30 days or your money back.

KrebsOnSecurity was recently contacted by a security researcher who said he found a huge tranche of full credit card records exposed online, and that at first glance the domain names involved appeared to be affiliated with the USPS.

Further investigation revealed a long-running international operation that has been emailing and text messaging people for years to sign up at a slew of websites that all promise they can help visitors secure employment at the USPS.

Sites like FederalJobsCenter[.]com also show up prominently in Google search results for USPS employment, and steer applicants toward making credit card “registration deposits” to ensure that one’s application for employment is reviewed. These sites also sell training, supposedly to help ace an interview with USPS human resources.

FederalJobsCenter’s website is full of content that makes it appear the site is affiliated with the USPS, although its “terms and conditions” state that it is not. Rather, the terms state that FederalJobsCenter is affiliated with an entity called US Job Services, which says it is based in Lawrenceville, Ga.

“US Job Services provides guidance, coaching, and live assistance to postal job candidates to help them perform better in each of the steps,” the website explains.

The site says applicants need to make a credit card deposit to register, and that this amount is refundable if the applicant is not offered a USPS job within 30 days after the interview process.

But a review of the public feedback on US Job Services and dozens of similar names connected to this entity over the years shows a pattern of activity: Applicants pay between $39.99 and $100 for USPS job coaching services, and receive little if anything in return. Some reported being charged the same amount monthly.

The U.S. Federal Trade Commission (FTC) has sued several times over the years to disrupt various schemes offering to help people get jobs at the Postal Service. Way back in 1998, the FTC and the USPS took action against several organizations that were selling test or interview preparation services for potential USPS employees.

“Companies promising jobs with the U.S. Postal Service are breaking federal law,” the joint USPS-FTC statement said.

In that 1998 case, the defendants behind the scheme were taking out classified ads in newspapers. Ditto for a case the FTC brought in 2005. By 2008, the USPS job exam preppers had shifted to advertising their schemes mostly online. And in 2013, the FTC won a nearly $5 million judgment against a Kentucky company purporting to offer such services.

Tim McKinlay authored a report last year at Affiliateunguru.com on whether the US Job Services website job-postal[.]com was legitimate or a scam. He concluded it was a scam based on several factors, including that the website listed multiple other names (suggesting it had recently switched names), and that he got nothing from the transaction with the job site.

“They openly admit they’re not affiliated with the US Postal Service, but claim to be experts in the field, and that, just by following the steps on their site, you easily pass the postal exams and get a job in no time,” McKinlay wrote. “But it’s really just a smoke and mirrors game. The site’s true purpose is to collect $46.95 from as many people as possible. And considering how popular this job is, they’re probably making a killing.”

US JOB SERVICES

KrebsOnSecurity was alerted to the data exposure by Patrick Barry, chief information officer at Charlotte, NC based Rebyc Security. Barry said he found that not only was US Job Services leaking its customer payment records in real-time and going back to 2016, but its website also leaked a log file from 2019 containing the site administrator’s contact information and credentials to the site’s back-end database.

Barry shared screenshots of that back-end database, which show the email address for the administrator of US Job Services is tab.webcoder@gmail.com. According to cyber intelligence platform Constella Intelligence, that email address is tied to the LinkedIn profile for a developer in Karachi, Pakistan named Muhammed Tabish Mirza.

A search on tab.webcoder@gmail.com at DomainTools.com reveals that email address was used to register several USPS-themed domains, including postal2017[.]com, postaljobscenter[.]com and usps-jobs[.]com.

Mr. Mirza declined to respond to questions, but the exposed database information was removed from the Internet almost immediately after KrebsOnSecurity shared the offending links.

A “Campaigns” tab on that web panel listed several advertising initiatives tied to US Job Services websites, with names like “walmart drip campaign,” “hiring activity due to virus,” “opt-in job alert SMS,” and “postal job opening.”

Another page on the US Job Services panel included a script for upselling people who call in response to email and text message solicitations, with an add-on program that normally sells for $1,200 but is being “practically given away” for a limited time, for just $49.

An upselling tutorial for call center employees.

“There’s something else we have you can take advantage of that can help you make more money,” the script volunteers. “It’s an easy to use 12-month career development plan and program to follow that will result in you getting any job you want, not just at the post office….anywhere…and then getting promoted rapidly.”

It’s bad enough that US Job Services was leaking customer data: Constella Intelligence says the email address tied to Mr. Mirza shows up in more than a year’s worth of “bot logs” created by a malware infection from the Redline infostealer.

Constella reports that for roughly a year between 2021 and 2022, a Microsoft Windows device regularly used by Mr. Mirza and his colleagues was actively uploading all of the device’s usernames, passwords and authentication cookies to cybercriminals based in Russia.

NEXT LEVEL SUPPORT

The web-based backend for US Job Services lists more than 160 people under its “Users & Teams” tab. This page indicates that access to the consumer and payment data collected by US Job Services is currently granted to several other coders who work with Mr. Mirza in Pakistan, and to multiple executives, contractors and employees working for a call center in Murfreesboro, Tennessee.

The call center — which operates as Nextlevelsupportcenters[.]com and thenextlevelsupport[.]com — curiously has several key associates with a history of registering USPS jobs-related domain names.

The US Job Services website has more than 160 users, including most of the employees at Next Level Support.

The website for NextLevelSupport says it was founded in 2017 by a Gary Plott, whose LinkedIn profile describes him as a seasoned telecommunications industry expert. The leaked backend database for US Job Services says Plott is a current administrator on the system, along with several other Nextlevel founders listed on the company’s site.

Reached via telephone, Plott initially said his company was merely a “white label” call center that multiple clients use to interact with customers, and that the content their call center is responsible for selling on behalf of US Job Services was not produced by NextLevelSupport.

“A few years ago, we started providing support for this postal product,” Plott said. “We didn’t develop the content but agreed we would support it.”

Interestingly, DomainTools says the Gmail address used by Plott in the US Jobs system was also used to register multiple USPS job-related domains, including postaljobssite[.]com, postalwebsite[.]com, usps-nlf[.]com, usps-nla[.]com.

Asked to reconcile this with his previous statement, Plott said he never did anything with those sites but acknowledged that his company did decide to focus on the US Postal jobs market from the very beginning.

Plott said his company never refuses to issue a money-back request from a customer, because doing so would result in costly chargebacks for NextLevel (and presumably for the many credit card merchant accounts apparently set up by Mr. Mirza).

“We’ve never been deceptive,” Plott said, noting that customers of the US Job Services product receive a digital download with tips on how to handle a USPS interview, as well as unlimited free telephone support if they need it.

“We’ve never told anyone we were the US Postal Service,” Plott continued. “We make sure people fully understand that they are not required to buy this product, but we think we can help you and we have testimonials from people we have helped. But ultimately you as the customer make that decision.”

An email address in the US Job Services teams page for another user — Stephanie Dayton — was used to register the domains postalhiringreview[.]com, and postalhiringreviewboard[.]org back in 2014. Reached for comment, Ms. Dayton said she has provided assistance to Next Level Support Centers with their training and advertising, but never in the capacity as an employee.

Perhaps the most central NextLevel associate who had access to US Job Services was Russell Ramage, a telemarketer from Warner Robins, Georgia. Ramage is listed in South Carolina incorporation records as the owner of a now-defunct call center service called Smart Logistics, a company whose name appears in the website registration records for several early and long-running US Job Services sites.

According to the state of Georgia, Russell Ramage was the registered agent of several USPS job-themed companies.

The leaked records show the email address used by Ramage also registered multiple USPS jobs-related domains, including postalhiringcenter[.]com, postalhiringreviews[.]com, postaljobs-email[.]com, and postaljobssupport1[.]com.

A review of business incorporation records in Georgia indicate Ramage was the registered agent for at least three USPS-related companies over the years, including Postal Career Placement LLC, Postal Job Services Inc., and Postal Operations Inc. All three companies were founded in 2015, and are now dissolved.

An obituary dated February 2023 says Russell Ramage recently passed away at the age of 41. No cause of death was stated, but the obituary goes on to say that Russ “Rusty” Ramage was “preceded in death by his mother, Anita Lord Ramage, pets, Raine and Nola and close friends, Nicole Reeves and Ryan Rawls.”

In 2014, then 33-year-old Ryan “Jootgater” Rawls of Alpharetta, Georgia pleaded guilty to conspiring to distribute controlled substances. Rawls also grew up in Warner Robins, and was one of eight suspects charged with operating a secret darknet narcotics ring called the Farmer’s Market, which federal prosecutors said trafficked in millions of dollars worth of controlled substances.

Reuters reported that an eighth suspect in that case had died by the time of Rawls’ 2014 guilty plea, although prosecutors declined to offer further details about that. According to his obituary, Ryan Christopher Rawls died at the age of 38 on Jan. 28, 2019.

In a comment on Ramage’s memorial wall, Stephanie Dayton said she began working with Ramage in 2006.

“Our friendship far surpassed a working one, we had a very close bond and became like brother and sister,” Dayton wrote. “I loved Russ deeply and he was like family. He was truly one of the best human beings I have ever known. He was kind and sweet and truly cared about others. Never met anyone like him. He will be truly missed. RIP brother.”

The FTC and USPS note that while applicants for many entry-level postal jobs are required to take a free postal exam, the tests are usually offered only every few years in any particular district, and there are no job placement guarantees based on score.

“If applicants pass the test by scoring at least 70 out of 100, they are placed on a register, ranked by their score,” the FTC explained. “When a position becomes open, the local post office looks to the applicable register for that geographic location and calls the top three applicants. The score is only one of many criteria taken into account for employment. The exams test general aptitude, something that cannot necessarily be increased by studying.”

The FTC says anyone interested in a job at the USPS should inquire at their local postal office, where applicants generally receive a free packet of information about required exams. More information about job opportunities at the postal service is available at the USPS’s careers website.

Michael Martel, spokesperson for the United States Postal Inspection Service, said in a written statement that the USPS has no affiliation with the websites or companies named in this story.

“To learn more about employment with USPS, visit USPS.com/careers,” Martel wrote. “If you are the victim of a crime online report it to the FBI’s Internet Crime Complaint Center (IC3) at www.ic3.gov. To report fraud committed through or toward the USPS, its employees, or customers, report it to the United States Postal Inspection Service (USPIS) at www.uspis.gov/report.”

According to the leaked back-end server for US Job Services, here is a list of the current sites selling this product:

usjobshelpcenter[.]com
usjobhelpcenter[.]com
job-postal[.]com
localpostalhiring[.]com
uspostalrecruitment[.]com
postalworkerjob[.]com
next-level-now[.]com
postalhiringcenters[.]com
postofficehiring[.]com
postaljobsplacement[.]com
postal-placement[.]com
postofficejobopenings[.]com
postalexamprep[.]com
postaljobssite[.]com
postalwebsite[.]com
postalcareerscenters[.]com
postal-hiring[.]com
postal-careers[.]com
postal-guide[.]com
postal-hiring-guide[.]com
postal-openings[.]com
postal-placement[.]com
postofficeplacements[.]com
postalplacementservices[.]com
postaljobs20[.]com
postal-jobs-placement[.]com
postaljobopenings[.]com
postalemployment[.]com
postaljobcenters[.]com
postalmilitarycareers[.]com
epostaljobs[.]com
postal-job-center[.]com
postalcareercenter[.]com
postalhiringcenters[.]com
postal-job-center[.]com
postalcareercenter[.]com
postalexamprep[.]com
postalplacementcenters[.]com
postalplacementservice[.]com
postalemploymentservices[.]com
uspostalhiring[.]com

from Krebs on Security https://ift.tt/70SK6qM
via IFTTT

Despues de varios años, Google Authenticator ahora sincronizará los códigos con la cuenta del usuario

Posted on by
google-authenticator

Google por fin toma en cuenta a los usuarios y añade una característica que era primordial para google authenticator

La autenticación de dos factores (A2F), también usada la sigla inglesa 2FA (de two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas de sitios web, redes sociales, etc.

Existen diversas soluciones para la autenticación de dos factores, entre las más populares está Google Authenticator, la cual es una aplicación de seguridad móvil basada en autenticación de dos factores (2FA) que ayuda a verificar la identidad de los usuarios antes de otorgarles acceso a sitios web y servicios.

Como la mayoría de las aplicaciones de autenticación de dos factores basadas en la web, Google Authenticator combina funciones de conocimiento y posesión. Para acceder a sitios web o servicios basados ​​en la web, el usuario ingresa su nombre de usuario y contraseña habituales, y luego un código de acceso de un solo uso (OTP) que el sistema envió a su dispositivo y que fue activado por la conexión.

Esta combinación verifica que la persona que ingresa los datos de inicio de sesión en el sitio está en posesión del dispositivo en el que se descargó la aplicación Google Authenticator. Sin embargo, aunque el servicio ha funcionado relativamente bien desde su lanzamiento, los desarrolladores y usuarios lo critican regularmente por la falta de ciertas funciones, incluida la sincronización en la nube.

Y es que para quienes en su momento llegaron a utilizar Google Authenticator o quienes lo utilizan, no me dejaran mentir, pero una de las características de las que carecía la app tal y como se menciono es la sincronización en la nube, ya que si por alguna razón restaurabas tu móvil, cambiabas de ROM o en el peor de los casos perdías tu móvil, todas aquellas cuentas que tenías con 2FA activado, podrías irte despidiendo de ellas (en muchos casos).

Esto es algo que muchos sufrimos (mi incluyo) y es que sin saber en mis momentos en el que me dedicaba a ir probando roms para mis equipos, me tope con la triste realidad de que los códigos que ya tenía sincronizados jamás los podría recuperar y en ciertos sitios, perdí mis accesos, ya que fue imposible poder hacer una platica o conciliación con el área de soporte y en los que logre recuperar acceso por suerte, tenía que enviar hasta la cartilla de vacunación del perro …

Pero bueno, pasando al tema del artículo y dejando de lado mi triste historia (y la de muchos que seguro tambien pasaron), después de tantos años y sobre todo tantas críticas por parte de los usuarios, Google por fin se digno a incluir esta función de sincronización.

Pero ya está hecho y es que desde el 24 de abril de 2023, Google Authenticator responde a esta solicitud de larga data: ahora puede sincronizar sus códigos de autenticación de dos factores con su cuenta de Google.

Entonces, ahora cuando un usuario configure un nuevo teléfono e inicie sesión en su cuenta, Google Authenticator estará listo para funcionar sin requerir un proceso de configuración limpio y, por otra parte, también significa que si pierden su teléfono o se lo roban, podrán volver a iniciar sesión en sus cuentas desde otro dispositivo, lo que será mucho menos estresante.

Nos complace anunciar una actualización de Google Authenticator, tanto en iOS como en Android, que agrega la capacidad de guardar de forma segura sus códigos de un solo uso (también conocidos como contraseñas de un solo uso u OTP) en su cuenta de Google.

Para todas sus cuentas en línea, iniciar sesión es la puerta de entrada a su información personal. También es el principal punto de entrada de riesgos, de ahí la importancia de protegerlo.

Hacemos que sea fácil y seguro iniciar sesión en Google y en todos los servicios y aplicaciones que le gustan con herramientas de autenticación integradas como Google Password Manager e Iniciar sesión con Google., así como protecciones automáticas como alertas al acceder a tu cuenta de Google desde un nuevo dispositivo.

Cabe mencionar que para habilitar la sincronización en la nube de códigos de dos factores, se debe actualizar a la última versión de Google Authenticator para Android e iOS. Google tiene una página de soporte que detalla la función y confirma que si ha iniciado sesión en su cuenta de Google en Google Authenticator, sus códigos se respaldarán y restaurarán automáticamente en cualquier dispositivo nuevo que use.

Finalmente, de manera personal si no quieren lidiar y tener problemas, les puedo recomendar el uso de Authy, la cual es una excelente aplicacion que he utilizado desde que descubrí la terrible falla que tenía Google Authenticator.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/NFru9eI
via IFTTT

Nitrux 2.8.0 llega con soporte para pantallas tactiles, Linux 6.2.13 y mas

Posted on by
Nitrux

Nitrux continua con la migración hacia Maui Shell

Se dio a conocer el lanzamiento de la nueva versión de Nitrux 2.8.0, la cual llega con diversas mejoras y correcciones de errores. Dentro de las principales novedades que se destacan de este lanzamiento es el soporte para pantallas táctiles, las actualizaciones del Kernel, entorno de escritorio y aplicaciones, entre otras cosas mas.

Para quienes desconocen de esta distribución, deben saber que está construida sobre la base del paquete Debian, las tecnologías KDE y el sistema de inicio OpenRC. Esta distribución se destaca por el desarrollo de su propio escritorio «NX», que es un complemento sobre el entorno KDE Plasma del usuario, además de que el proceso de instalación de aplicaciones está basado en el uso de paquetes AppImages.

El escritorio NX ofrece un estilo diferente, su propia implementación de la bandeja del sistema, el centro de notificaciones y varios plasmoides, como un configurador de conexión de red y un subprograma multimedia para control de volumen y control de reproducción de medios.

Principales novedades de Nitrux 2.8

En esta nueva versión de Nitrux 2.8.0 los desarrolladores trabajaron en añadir el soporte para su uso en tabletas y monitores táctiles, junto con el cual para organizar la entrada de texto sin teclado físico, se ha añadido el teclado en pantalla Maliit Keyboard (no activado por defecto).

Por parte de los cambios en este nuevo lanzamiento, podremos encontrar que por defecto se utiliza el kernel de Linux 6.2.13 con parches de Liquorix, ademas de que los componentes de NX Desktop se han actualizado a KDE Plasma 5.27.4, KDE Frameworks 5.105.0 y KDE Gear (KDE Applications) 23.04. Versiones de software actualizadas que incluyen Mesa 23.2-git y Firefox 112.0.1.

Tambien podremos encontrar que en Nitrux 2.8.0 se incluye un entorno para ejecutar aplicaciones de Android WayDroid y prevé el lanzamiento de un servicio con un contenedor WayDroid utilizando OpenRC.

El instalador, basado en el kit de herramientas de Calamares, se ha modificado con respecto a la partición. Por ejemplo, la creación de secciones separadas /Applications y /var/lib/flatpak para AppImages y Flatpaks se suspendió cuando se selecciona el modo automático.

De los demás cambios que se destacan:

  • Para las particiones /home y /var/lib, en lugar de XFS, se utiliza el sistema de archivos F2FS , desarrollado por Samsung y optimizado para trabajar con unidades basadas en flash.
  • Optimizaciones de rendimiento realizadas.
  • Sysctls habilitados que cambian la forma en que funciona el caché de VFS y la memoria de paginación en la partición de intercambio, además de habilitar la E/S asíncrona sin bloqueo.
  • Se utiliza la tecnología prelink, que permite acelerar la carga de programas relacionados con una gran cantidad de bibliotecas. Se ha aumentado el límite en el número de archivos abiertos.
  • El mecanismo zswap está habilitado de forma predeterminada para reducir la partición de intercambio.
  • Se agregó soporte para compartir archivos a través de NFS.
  • La utilidad fscrypt está incluida.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar la nueva versión de Nitrux

Si quieren descargar esta nueva versión de Nitrux 2.8, deberán de dirigirse a la página web oficial del proyecto en donde podrán obtener el enlace de descarga de la imagen del sistema y la cual podrán grabar en un USB con ayuda de Etcher. Nitrux está disponible para su descarga inmediata desde el siguiente enlace. El tamaño completo de la imagen de arranque es de 3,3 GB (NX Desktop).

Para aquellos que ya se encuentran sobre una versión anterior de la distribución, pueden hacer la actualización a la nueva versión, tecleando los siguientes comandos:

sudo apt update

sudo apt install --only-upgrade nitrux-repositories-config amdgpu-firmware-extra

sudo apt install -o Dpkg::Options::="--force-overwrite" linux-firmware/trixie

sudo apt dist-upgrade

sudo apt autoremove

sudo reboot

En cuanto a los que cuentan con una versión anterior de la distribución, pueden realizar la actualización del Kernel tecleando alguno de los siguientes comandos:

sudo apt install linux-image-mainline-lts
sudo apt install linux-image-mainline-current

Para los que estén interesados en poder instalar o probar los kernels Liquorix y Xanmod:

sudo apt install linux-image-liquorix
sudo apt install linux-image-xanmod-edge
sudo apt install linux-image-xanmod-lts

Finalmente para los que prefieren el uso de los kernels Linux Libre LTS y no LTS más recientes:

sudo apt instalar linux-image-libre-lts
sudo apt instalar linux-image-libre-curren

from Linux Adictos https://ift.tt/aQZ9Sv2
via IFTTT