China-based SMS Phishing Triad Pivots to Banks

Posted on April 10, 2025 by Frank Cisco

China-based purveyors of SMS phishing kits are enjoying remarkable success converting phished payment card data into mobile wallets from Apple and Google. Until recently, the so-called “Smishing Triad” mainly impersonated toll road operators and shipping companies. But experts say these groups are now directly targeting customers of international financial institutions, while dramatically expanding their cybercrime infrastructure and support staff.

An image of an iPhone device farm shared on Telegram by one of the Smishing Triad members. Image: Prodaft.

If you own a mobile device, the chances are excellent that at some point in the past two years you’ve received at least one instant message that warns of a delinquent toll road fee, or a wayward package from the U.S. Postal Service (USPS). Those who click the promoted link are brought to a website that spoofs the USPS or a local toll road operator and asks for payment card information.

The site will then complain that the visitor’s bank needs to “verify” the transaction by sending a one-time code via SMS. In reality, the bank is sending that code to the mobile number on file for their customer because the fraudsters have just attempted to enroll that victim’s card details into a mobile wallet.

If the visitor supplies that one-time code, their payment card is then added to a new mobile wallet on an Apple or Google device that is physically controlled by the phishers. The phishing gangs typically load multiple stolen digital wallets onto a single Apple or Android device, and then sell those phones in bulk to scammers who use them for fraudulent e-commerce and tap-to-pay transactions.

A screenshot of the administrative panel for a smishing kit. On the left is the (test) data entered at the phishing site. On the right we can see the phishing kit has superimposed the supplied card number onto an image of a payment card. When the phishing kit scans that created card image into Apple or Google Pay, it triggers the victim’s bank to send a one-time code. Image: Ford Merrill.

The moniker “Smishing Triad” comes from Resecurity, which was among the first to report in August 2023 on the emergence of three distinct mobile phishing groups based in China that appeared to share some infrastructure and innovative phishing techniques. But it is a bit of a misnomer because the phishing lures blasted out by these groups are not SMS or text messages in the conventional sense.

Rather, they are sent via iMessage to Apple device users, and via RCS on Google Android devices. Thus, the missives bypass the mobile phone networks entirely and enjoy near 100 percent delivery rate (at least until Apple and Google suspend the spammy accounts).

In a report published on March 24, the Swiss threat intelligence firm Prodaft detailed the rapid pace of innovation coming from the Smishing Triad, which it characterizes as a loosely federated group of Chinese phishing-as-a-service operators with names like Darcula, Lighthouse, and the Xinxin Group.

Prodaft said they’re seeing a significant shift in the underground economy, particularly among Chinese-speaking threat actors who have historically operated in the shadows compared to their Russian-speaking counterparts.

“Chinese-speaking actors are introducing innovative and cost-effective systems, enabling them to target larger user bases with sophisticated services,” Prodaft wrote. “Their approach marks a new era in underground business practices, emphasizing scalability and efficiency in cybercriminal operations.”

A new report from researchers at the security firm SilentPush finds the Smishing Triad members have expanded into selling mobile phishing kits targeting customers of global financial institutions like CitiGroup, MasterCard, PayPal, Stripe, and Visa, as well as banks in Canada, Latin America, Australia and the broader Asia-Pacific region.

Phishing lures from the Smishing Triad spoofing PayPal. Image: SilentPush.

SilentPush found the Smishing Triad now spoofs recognizable brands in a variety of industry verticals across at least 121 countries and a vast number of industries, including the postal, logistics, telecommunications, transportation, finance, retail and public sectors.

According to SilentPush, the domains used by the Smishing Triad are rotated frequently, with approximately 25,000 phishing domains active during any 8-day period and a majority of them sitting at two Chinese hosting companies: Tencent (AS132203) and Alibaba (AS45102).

“With nearly two-thirds of all countries in the world targeted by [the] Smishing Triad, it’s safe to say they are essentially targeting every country with modern infrastructure outside of Iran, North Korea, and Russia,” SilentPush wrote. “Our team has observed some potential targeting in Russia (such as domains that mentioned their country codes), but nothing definitive enough to indicate Russia is a persistent target. Interestingly, even though these are Chinese threat actors, we have seen instances of targeting aimed at Macau and Hong Kong, both special administrative regions of China.”

SilentPush’s Zach Edwards said his team found a vulnerability that exposed data from one of the Smishing Triad’s phishing pages, which revealed the number of visits each site received each day across thousands of phishing domains that were active at the time. Based on that data, SilentPush estimates those phishing pages received well more than a million visits within a 20-day time span.

The report notes the Smishing Triad boasts it has “300+ front desk staff worldwide” involved in one of their more popular phishing kits — Lighthouse — staff that is mainly used to support various aspects of the group’s fraud and cash-out schemes.

The Smishing Triad members maintain their own Chinese-language sales channels on Telegram, which frequently offer videos and photos of their staff hard at work. Some of those images include massive walls of phones used to send phishing messages, with human operators seated directly in front of them ready to receive any time-sensitive one-time codes.

As noted in February’s story How Phished Data Turns Into Apple and Google Wallets, one of those cash-out schemes involves an Android app called Z-NFC, which can relay a valid NFC transaction from one of these compromised digital wallets to anywhere in the world. For a $500 month subscription, the customer can wave their phone at any payment terminal that accepts Apple or Google pay, and the app will relay an NFC transaction over the Internet from a stolen wallet on a phone in China.

Chinese nationals were recently busted trying to use these NFC apps to buy high-end electronics in Singapore. And in the United States, authorities in California and Tennessee arrested Chinese nationals accused of using NFC apps to fraudulently purchase gift cards from retailers.

The Prodaft researchers said they were able to find a previously undocumented backend management panel for Lucid, a smishing-as-a-service operation tied to the XinXin Group. The panel included victim figures that suggest the smishing campaigns maintain an average success rate of approximately five percent, with some domains receiving over 500 visits per week.

“In one observed instance, a single phishing website captured 30 credit card records from 550 victim interactions over a 7-day period,” Prodaft wrote.

Prodaft’s report details how the Smishing Triad has achieved such success in sending their spam messages. For example, one phishing vendor appears to send out messages using dozens of Android device emulators running in parallel on a single machine.

Phishers using multiple virtualized Android devices to orchestrate and distribute RCS-based scam campaigns. Image: Prodaft.

According to Prodaft, the threat actors first acquire phone numbers through various means including data breaches, open-source intelligence, or purchased lists from underground markets. They then exploit technical gaps in sender ID validation within both messaging platforms.

“For iMessage, this involves creating temporary Apple IDs with impersonated display names, while RCS exploitation leverages carrier implementation inconsistencies in sender verification,” Prodaft wrote. “Message delivery occurs through automated platforms using VoIP numbers or compromised credentials, often deployed in precisely timed multi-wave campaigns to maximize effectiveness.

In addition, the phishing links embedded in these messages use time-limited single-use URLs that expire or redirect based on device fingerprinting to evade security analysis, they found.

“The economics strongly favor the attackers, as neither RCS nor iMessage messages incur per-message costs like traditional SMS, enabling high-volume campaigns at minimal operational expense,” Prodaft continued. “The overlap in templates, target pools, and tactics among these platforms underscores a unified threat landscape, with Chinese-speaking actors driving innovation in the underground economy. Their ability to scale operations globally and evasion techniques pose significant challenges to cybersecurity defenses.”

Ford Merrill works in security research at SecAlliance, a CSIS Security Group company. Merrill said he’s observed at least one video of a Windows binary that wraps a Chrome executable and can be used to load in target phone numbers and blast messages via RCS, iMessage, Amazon, Instagram, Facebook, and WhatsApp.

“The evidence we’ve observed suggests the ability for a single device to send approximately 100 messages per second,” Merrill said. “We also believe that there is capability to source country specific SIM cards in volume that allow them to register different online accounts that require validation with specific country codes, and even make those SIM cards available to the physical devices long-term so that services that rely on checks of the validity of the phone number or SIM card presence on a mobile network are thwarted.”

Experts say this fast-growing wave of card fraud persists because far too many financial institutions still default to sending one-time codes via SMS for validating card enrollment in mobile wallets from Apple or Google. KrebsOnSecurity interviewed multiple security executives at non-U.S. financial institutions who spoke on condition of anonymity because they were not authorized to speak to the press. Those banks have since done away with SMS-based one-time codes and are now requiring customers to log in to the bank’s mobile app before they can link their card to a digital wallet.

from Krebs on Security https://ift.tt/QIXwz1g
via IFTTT

SparkyLinux 7.7 introduce nuevas versiones del kernel en su versión con base Debian 12

Posted on April 10, 2025 by Frank Cisco

SparkyLinux 7.7

La distribución SparkyLinux lanza su versión 7.7, una actualización puntual dentro de su rama estable «Orion Belt», ofreciendo novedades relevantes para usuarios que valoran rendimiento, estabilidad y compatibilidad con Debian. Esta entrega sigue el modelo de mantenimiento trimestral, lo que significa que los sistemas ya instalados pueden mantenerse al día simplemente con las actualizaciones automáticas, sin necesidad de reinstalaciones completas.

Basada completamente en Debian 12 “Bookworm”, SparkyLinux 7.7 integra lo último de los repositorios estables de Debian y sus propios repositorios, consolidándose como una opción sólida para todo tipo de usuarios, desde quienes se inician en Linux hasta aquellos con más experiencia. Esta versión ha sido afinada para brindar una experiencia de usuario fluida, sin comprometer el rendimiento en equipos más modestos.

Actualizaciones generales y soporte extendido en SparkyLinux 7.7

Una de las actualizaciones más destacadas de SparkyLinux 7.7 es la inclusión de nuevos núcleos Linux, adaptados tanto para sistemas PC como para plataformas ARM. En sistemas de escritorio, se incluye el kernel LTS 6.1.129, mientras que también se proporciona acceso a versiones más recientes como 6.14.1, 6.12.22-LTS y 6.6.86-LTS a través de los repositorios de Sparky.

En dispositivos ARM, la versión 6.12.20-LTS asegura compatibilidad y rendimiento mejorado. Todo este soporte se traduce en una mayor cobertura de hardware, mejor detección de periféricos y menor probabilidad de errores o cuelgues durante el uso diario.

Escritorios y entorno gráfico al gusto del usuario

Uno de los puntos fuertes de SparkyLinux 7.7 es la variedad de entornos de escritorio disponibles, que se adaptan a diferentes preferencias de uso y capacidades del hardware. Entre las opciones más destacadas, se encuentran:

KDE Plasma 5.27.5, para quienes buscan una experiencia moderna y personalizable.
LXQt 1.2.0, una interfaz ligera ideal para equipos con menos recursos.
MATE 1.26, popular entre los que prefieren entornos clásicos y estables.
Xfce 4.18, combinación de ligereza y funcionalidad.
Openbox 3.6.1, para usuarios avanzados que priorizan velocidad y control total.

Estos escritorios están disponibles tanto en instalaciones completas como en versiones minimalistas (MinimalGUI y MinimalCLI), pensadas para quienes desean configurar el sistema desde cero o utilizarlo en dispositivos con requisitos específicos. Si te interesa profundizar en más distribuciones livianas de Linux, puedes consultar nuestra lista de distribuciones ligeras.

SparkyLinux introduce actualizaciones de software clave

SparkyLinux 7.7 también se preocupa por mantener actualizado el software de uso cotidiano. Así, los usuarios encontrarán versiones recientes de herramientas esenciales como:

LibreOffice 7.4.7, aunque también se puede acceder a la versión 25.2.2 desde los repositorios backports de Debian.
Firefox ESR 128.9.0, con opción de instalar la versión 137.0.1 desde los repositorios de Sparky.
Thunderbird ESR 128.9.0, para gestión de correo electrónico con garantía de estabilidad y soporte prolongado.

Estas versiones aseguran compatibilidad con documentos recientes, navegación segura y acceso a funciones modernas sin sacrificar la estabilidad del sistema.

Correcciones importantes y mejoras en la instalación

Entre las correcciones relevantes en esta versión figura una solución al instalador tipo CLI de Sparky, que presentaba fallos al seleccionar escritorios distintos del predeterminado. Esta mejora facilita la personalización desde la instalación inicial, algo que muchos usuarios valoran especialmente, sobre todo los que vienen de versiones anteriores de Sparky.

Además, se mantiene la filosofía de no forzar reinstalaciones: los usuarios con sistemas Sparky 7 ya operativos solo necesitan mantener sus paquetes al día mediante las actualizaciones regulares.

Disponibilidad de SparkyLinux 7.7 y versiones para distintas arquitecturas

SparkyLinux 7.7 está disponible para múltiples plataformas y arquitecturas, lo que lo convierte en una distribución versátil para distintos escenarios de uso. Las versiones disponibles incluyen:

amd64 BIOS/UEFI + Secure Boot: versiones completas con Xfce, LXQt, MATE, KDE Plasma; además de MinimalGUI (Openbox) y MinimalCLI (modo texto).
i686 sin PAE (Legacy): sólo se ofrece en versiones minimalistas Openbox y CLI, ideales para equipos antiguos, una opción que destaca la flexibilidad de Sparky.
ARMHF y ARM64: disponibles con Openbox o en modo CLI, útiles para placas como Raspberry Pi.

Las imágenes ISO pueden descargarse directamente desde la web oficial de SparkyLinux y están listas para ser utilizadas en modo Live o para una instalación permanente. Los datos de acceso para las sesiones en vivo son los siguientes: usuario ‘live’ con contraseña ‘live’ en PC, y usuario ‘pi’ con contraseña ‘sparky’ en ARM.

Quienes buscan un sistema ligero, funcional y cercano a Debian, sin la carga de configuraciones innecesarias, esta versión de Sparky representa una alternativa muy completa. Con un enfoque práctico y constante evolución, este proyecto sigue manteniéndose relevante dentro del ecosistema Linux.

from Linux Adictos https://ift.tt/MOAoDFR
via IFTTT

Linux Mint adelante que LMDE 7 soportará instalaciones OEM

Posted on April 10, 2025 by Frank Cisco

Linux Mint Debian instalación OEM

Clem Lefebvre ha publicado la nota de Linux Mint de abril de 2025, la que corresponde a marzo de este año. En ella se tratan diferentes puntos, pero el más llamativo está relacionado con la edición con base Debian, LMDE, y la posibilidad de que venga pre-instalado en equipos. Dicho de otro modo, es una novedad que permitirá a los fabricantes vender equipos con LMDE instalado por defecto, por lo que los usuarios ya no tendrían que hacerlo por su cuenta.

OEM son las siglas de «Original Equipment Manufacturers», y se usan para referirse tanto a fabricantes como a cualquier compañía, sea grande o pequeña, que vende ordenadores. También pueden usar la función personas que quieren donar o vender sus equipos.

Cuando queremos preparar un ordenador para venderlo, es probable que no conozcamos a su futuro dueño, por lo que no podemos elegir usuario y contraseña. Los fabricantes probablemente ni sepan el idioma en el que será usado. Una instalación OEM instala el sistema operativo, pero deja el resto de la configuración a cargo de quien lo inicie por primera vez.

Linux Mint sigue mejorando Wayland

Entre el resto de mejoras, Clem destaca que están trabajando en añadir soporte para distribuciones de teclado y métodos de entrada en Wayland para Cinnamon, el escritorio que desarrolla el proyecto Linux Mint. En estos momentos, todo esto ya funciona, pero no está perfecto. Son buenas noticias para el avance en Wayland, pero puede presentar problemas de compatibilidad en idiomas asiáticos. Se necesitan más pruebas, por lo que no se asegura que esté disponible en la próxima versión que se espera para mediados de 2025.

Por otra parte, se ha mejorado Nemo, el gestor de archivos, con una funcionalidad de búsqueda que ahora incluye un filtro para encontrar archivos usando expresiones regulares que coincidan con sus nombres de archivos.

Por último, están modificando como se gestionan los números para el motor de JavaScript que mueve Cinnamon. Hasta ahora, el intérprete de JavaScript usado era CJS, compartía la misma versión que el escritorio Cinnamon de Linux Mint y sólo se actualizaba cuando el escritorio lo hacía. De ahora en adelante, CJS usará la numeración que usa el motor Mozilla JavaScript. Con esto tendremos actualizaciones más frecuentes y eficientes, se añadirán mejoras sin tener que esperar a nuevas versiones de Cinnamon y el escritorio podrá usar diferentes versiones del motor JavaScript.

Todas estas novedades verán la luz en los próximos meses.

from Linux Adictos https://ift.tt/BdTSquW
via IFTTT

IPFire 2.29 Core 193 implementa criptografía poscuántica y amplias mejoras del sistema

Posted on April 10, 2025 by Frank Cisco

IPFire 2.29 Core Update 193

El equipo de desarrollo de IPFire ha lanzado la actualización Core 193 de su versión 2.29, un paso importante que refuerza la seguridad de esta conocida distribución de firewall basada en Linux. Como parte de su enfoque constante en adaptarse a las amenazas emergentes, esta nueva versión incorpora soporte para criptografía poscuántica en las conexiones VPN IPsec, además de una serie de mejoras técnicas destinadas a mantener el rendimiento y la fiabilidad del sistema.

Esta actualización sigue a la Core Update 192 y supone un avance clave en la protección frente a ciberataques futuros, especialmente aquellos que podrían aprovechar las capacidades de la computación cuántica. Por ello, la integración de algoritmos resistentes a este tipo de tecnología se ha convertido en una prioridad para los desarrolladores de IPFire, que apuestan por mantenerse a la vanguardia en materia de ciberseguridad.

Criptografía poscuántica: una nueva capa de protección para túneles IPsec

La principal novedad de IPFire 2.29 Core Update 193 es la inclusión nativa de criptografía poscuántica en sus túneles IPsec. En concreto, se ha implementado el mecanismo de encapsulación de claves basado en redes de módulos, conocido como ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism). Este algoritmo ha sido desarrollado pensando en escenarios donde los atacantes puedan disponer en el futuro de computadores cuánticos capaces de romper criptografía convencional.

Esta nueva función se activa automáticamente en todos los túneles recién configurados, que también pueden usar algoritmos modernos aprobados por el Instituto Nacional de Estándares y Tecnología (NIST), como Curve448, Curve25519, RSA-4096 y RSA-3072. Asimismo, los usuarios con túneles existentes pueden actualizar su configuración para adoptar esta tecnología desde la página de ajustes avanzados.

Revisión profunda de algoritmos criptográficos y eliminación de AES-128 en IPFire 2.29 Core 193

Con la seguridad como prioridad, se ha revisado la lista de algoritmos de cifrado por defecto. Ahora, IPFire establece como estándar el uso de AES-256 en modos GCM y CBC, junto con ChaCha20-Poly1305. En ese contexto, AES-128 se ha eliminado completamente de la configuración predeterminada, ya que se considera más vulnerable comparado con su homólogo de 256 bits.

Los desarrolladores argumentan que la mayoría del hardware moderno incluye aceleración para operaciones con AES, por lo que AES-256 puede alcanzar rendimientos similares al AES-128 pero con mayor nivel de protección. Este cambio representa una evolución en la política del proyecto hacia un modelo de seguridad basado en la prevención y la proactividad.

Actualizaciones al sistema base: librerías, herramientas y rendimiento

El núcleo del sistema también ha recibido importantes mejoras a nivel de herramientas de compilación y rendimiento. Entre las novedades destaca la inclusión de GNU C Library (glibc) en su versión 2.41 y GNU Binutils 2.44, lo que permite generar código más eficiente y optimizado para hardware reciente. Esto no solo mejora el rendimiento general, sino que refuerza la seguridad operativa del sistema.

Además, se han incorporado actualizaciones de firmware y microcódigo para mitigar vulnerabilidades conocidas como INTEL-SA-01213 y otros problemas que afectan a la integridad de los sistemas modernos. Se trata de medidas que, aunque no visibles para el usuario final, impactan directamente en la fiabilidad del entorno de red protegido por IPFire.

Otros cambios importantes: DNS-over-TLS, mejoras visuales y corrección de errores

La lista de servicios por defecto se ha ampliado incluyendo soporte nativo para DNS-over-TLS, lo cual refuerza la privacidad de las consultas DNS frente a escuchas o manipulaciones externas. También se ha corregido un fallo que impedía la renovación del certificado IPsec del host debido a un número de serie erróneo, un bug que podía representar una complicación significativa en ambientes empresariales.

En cuanto a la interfaz de usuario, se han introducido mejoras visuales en la sección de grupos de cortafuegos, en parte gracias a aportes de colaboradores de la comunidad como Stephen Cuka. Este tipo de cambios, aunque menores, ayudan a mejorar la experiencia de uso diaria y facilitan la gestión de reglas para los administradores de red.

Finalmente, se ha retirado la lista de bloqueo de comandos y servidores C2 incluidos antes por Abuse.ch, ya que esta ha sido discontinuada. Esta decisión reduce la dependencia de fuentes externas de datos no mantenidas, fortaleciendo la coherencia del ecosistema IPFire.

Actualización de aplicaciones y paquetes adicionales en IPFire 2.29 Core 193

Con el objetivo de mantener la compatibilidad con las tecnologías más recientes, varios paquetes clave han sido actualizados. Entre ellos se encuentran Apache 2.4.63, StrongSwan 6.0.0 y Squid 6.13, componentes esenciales para escenarios de red complejos basados en servidores proxy o VPN. Complementariamente, se ha trabajado en mejorar múltiples complementos (add-ons), destacando nuevas versiones de HAProxy 3.1.2, Git 2.48.1 y Samba 4.21.4.

Estas actualizaciones no solo ofrecen nuevas funcionalidades, sino que también corrigen fallos previos y garantizan que los entornos de producción puedan seguir funcionando sin conflictos derivados de versiones antiguas.

El equipo de IPFire ha aprovechado la ocasión para agradecer a su comunidad global por su colaboración continua, ya sea mediante la aportación de código, informes de errores o soporte entre pares. Como es habitual en proyectos de código abierto, la participación activa de los usuarios ha sido crucial para llevar a cabo una versión tan completa como esta.

IPFire 2.29 Core Update 193 ya está disponible para su descarga desde la web oficial del proyecto. Los archivos están disponibles tanto en formato ISO como en imágenes USB, y se recomienda su instalación cuanto antes para aprovechar las mejoras introducidas y mantener el entorno seguro acorde a las últimas amenazas.

Este nuevo lanzamiento refuerza el compromiso de IPFire con la evolución constante frente a la sofisticación creciente del panorama de ciberseguridad. Con su apuesta por la criptografía poscuántica, mejoras técnicas internas, y atención a los detalles, la comunidad de usuarios tiene a su disposición una herramienta más sólida, preparada para los desafíos actuales y los que están por venir.

from Linux Adictos https://ift.tt/2EDw9Zy
via IFTTT

OpenSSH 10.0 refuerza la seguridad criptográfica y rediseña la arquitectura de autenticación

Posted on April 10, 2025 by Frank Cisco

OpenSSH 10.0

La versión 10.0 de OpenSSH ya está disponible con una serie de mejoras importantes relacionadas con la seguridad, la criptografía post-cuántica y la eficiencia del sistema. Este lanzamiento supone un paso relevante para fortalecer la infraestructura de comunicaciones seguras frente a amenazas tanto actuales como futuras. Además, este avance resalta la importancia de mantenerse al día con las herramientas de cifrado y seguridad en un mundo tecnológico en constante evolución.

OpenSSH, una de las implementaciones de SSH más utilizadas a nivel mundial, sigue evolucionando para adaptarse a nuevos retos en ciberseguridad. En esta ocasión, la versión 10.0 no solo corrige errores, sino que también introduce cambios estructurales y criptográficos que pueden afectar a administradores de sistemas y desarrolladores por igual.

OpenSSH 10.0 refuerza la seguridad criptográfica

Una de las decisiones más notables ha sido eliminar completamente la compatibilidad con el algoritmo de firma DSA (Digital Signature Algorithm), obsoleto desde hace años y considerado vulnerable frente a ataques modernos. OpenSSH ya lo tenía en desuso, pero seguía soportándolo, lo cual representaba un riesgo innecesario.

En cuanto al intercambio de claves, se ha apostado por un algoritmo híbrido post-cuántico por defecto: mlkem768x25519-sha256. Esta combinación integra el esquema ML-KEM (estandarizado por NIST) con la curva elíptica X25519, ofreciendo resistencia ante ataques de ordenadores cuánticos sin renunciar a la eficiencia en sistemas actuales. Este cambio coloca a OpenSSH como pionero en cuanto a adoptar métodos criptográficos preparados para una era post-cuántica.

OpenSSh 10.0 rediseña la arquitectura de autenticación

Uno de los avances más técnicos pero relevantes es la separación del código responsable de la autenticación en tiempo de ejecución en un nuevo binario llamado «sshd-auth». Esta modificación reduce de forma efectiva la superficie de ataque antes de que se complete la autenticación, ya que el nuevo binario se ejecuta de manera independiente desde el proceso principal.

Con este cambio, se optimiza además el uso de memoria, ya que se descarga el código de autenticación una vez que ha sido utilizado, mejorando la eficiencia sin comprometer la seguridad.

Compatibilidad con FIDO2 y mejoras en configuraciones

OpenSSH 10.0 también amplía el soporte para tokens de autenticación FIDO2, introduciendo nuevas capacidades para verificar blobs de atestación FIDO. Aunque esta utilidad aún permanece en fase experimental y no se instala por defecto, supone un paso hacia una autenticación más robusta y estandarizada en entornos modernos.

Otro añadido destacable es la mayor flexibilidad en las opciones de configuración específicas del usuario. Ahora se pueden definir criterios de coincidencia más precisos, lo cual permite establecer reglas más detalladas sobre cuándo y cómo se aplican ciertas configuraciones SSH o SFTP. En este contexto, la evolución de plataformas como OpenSSH 9.0 marca un precedente importante en la configuración de estas herramientas.

Optimización de algoritmos de cifrado

En cuanto al cifrado de datos, se prioriza el uso de AES-GCM sobre AES-CTR, una decisión que mejora tanto la seguridad como el rendimiento en conexiones cifradas. A pesar de ello, ChaCha20/Poly1305 sigue siendo el algoritmo de cifrado preferido, debido a su rendimiento superior en dispositivos que no disponen de aceleración por hardware para AES.

Otros cambios técnicos y de protocolo

Más allá de la seguridad, se han introducido cambios en la gestión de sesiones, así como mejoras en la detección del tipo de sesión activa. Estas modificaciones apuntan a hacer que el sistema sea más adaptable ante distintas condiciones de conexión y uso.

Además, se han realizado ajustes en la portabilidad y mantenimiento del código, como una mejor organización para el tratamiento modular de los archivos de parámetros criptográficos (moduli), lo que facilita futuras actualizaciones y auditorías.

Correcciones de fallos y usabilidad

Tal como ocurre con cualquier versión mayor, OpenSSH 10.0 incorpora diversas correcciones de errores reportados por usuarios o detectados en auditorías internas. Uno de los errores solucionados es el relacionado con la opción «DisableForwarding», que no desactivaba correctamente el reenvío de X11 y del agente, tal como se indicaba en la documentación oficial.

También se han introducido mejoras en la interfaz de usuario para una experiencia más coherente, incluso en la detección de sesión o al aplicar configuraciones específicas. Estos detalles, aunque técnicos, repercuten directamente en la estabilidad y fiabilidad del software en entornos de producción.

Otro detalle señalable es la aparición de una herramienta de línea de comandos, aunque aún en fase experimental, destinada a verificar blobs de atestación FIDO. Esta se encuentra disponible en los repositorios internos del proyecto, pero no se instala de forma automática.

OpenSSH continúa su evolución como un pilar clave en la seguridad de las comunicaciones remotas. Esta última actualización no solo responde a necesidades actuales, sino que también anticipa retos futuros como la irrupción de la computación cuántica. Al retirar tecnologías obsoletas y adoptar estándares emergentes, el proyecto sigue consolidando su papel central en la protección de infraestructuras digitales críticas.

from Linux Adictos https://ift.tt/rZshRUQ
via IFTTT

Fwupd 2.0.8 incorpora nuevos complementos para mejorar la compatibilidad con UEFI

Posted on April 10, 2025 by Frank Cisco

Fwupd 2.0.8

La versión 2.0.8 de fwupd ya está disponible y llega como una actualización de mantenimiento que continúa el desarrollo de esta herramienta de código abierto enfocada en facilitar las actualizaciones de firmware en sistemas Linux. Esta nueva versión incorpora varias mejoras funcionales, correcciones de errores y compatibilidad ampliada con dispositivos, consolidando su papel como una herramienta esencial para los administradores de sistemas y usuarios avanzados.

Fwupd se utiliza principalmente para aplicar actualizaciones de firmware en hardware a través de Linux, y esta actualización llega tan solo dos semanas después del lanzamiento de la versión 2.0.7, mostrando un ritmo de desarrollo constante. Con la 2.0.8, se introduce soporte para nuevas características dentro de entornos UEFI, mejoras en la detección de protocolos y ajustes clave para una mayor robustez en situaciones específicas.

Nuevos complementos para la base de datos UEFI en Fwupd 2.0.8

Uno de los cambios más relevantes en fwupd 2.0.8 es la incorporación de dos nuevos complementos diseñados para actualizar la UEFI Signature Database y KEK, componentes esenciales en el arranque seguro de los sistemas utilizando firmware UEFI. Estos complementos permiten una gestión más directa y flexible de estas bases de datos de seguridad, ofreciendo a los usuarios mayor control sobre las actualizaciones relacionadas con el arranque seguro.

Fwupd 2.0.8 innova en el manejo de atributos y rutas

Además, se ha añadido un nuevo atributo HSI para representar una base de datos UEFI actualizada, lo que mejora la forma en la que fwupd interactúa con los sistemas EFI. El directorio /sys/firmware/efi/efivars se ha incluido ahora dentro de los ReadWritePaths, indicando una integración más profunda y controlada del sistema EFI por parte de fwupd. También destaca la incorporación de soporte para el valor de segmento 0 en el analizador de imágenes ccgx-dmc, lo que permite manejar nuevos casos de uso en actualizaciones específicas relacionadas con estos controladores.

Mejoras en la detección del protocolo y compatibilidad con hardware

Fwupd 2.0.8 soluciona varios errores críticos, entre ellos uno que generaba advertencias al enumerar el dispositivo DTH135K0C, lo que podía llevar a confusión o afectar procesos automatizados. Además, esta versión ahora puede detectar características del protocolo Firehose incluso cuando no se envían automáticamente, aumentando la fiabilidad de la herramienta en diversos entornos de hardware.

También se ha mejorado la forma en que se establecen los metadatos EFI LOADOPT, permitiendo que se interpreten correctamente ya sea como ruta o como ShimHive. Esta flexibilidad es clave para garantizar la compatibilidad con distintas configuraciones de arranque.

Compatibilidad reforzada y ajustes de seguridad

A partir de esta versión, fwupd evita cualquier operación DPAUX IO si el identificador DPCD de BnR no coincide, un cambio importante para prevenir errores de compatibilidad. Por otro lado, el sistema ahora es más meticuloso al recurrir a versiones antiguas de emulación en caso de que la versión actual no funcione como se espera.

Se ha ajustado también el comportamiento con métodos Redfish de SMC, que ya no se aplican cuando se detecta hardware que no es de Supermicro, evitando así falsas detecciones o intentos de actualización no apropiados.

Mejor experiencia de uso y control por consola

El modo --json ahora omite cualquier mensaje o aviso, facilitando su uso en scripts y flujos de automatización donde se espera una salida limpia. Además, se ha restringido que las actualizaciones de cápsulas UEFI solo se apliquen en arquitecturas que realmente las soportan, minimizando riesgos de ejecución en plataformas no compatibles.

Por último, el uso del comando fwupdtool install en modo sin conexión ahora establece correctamente el formato de versión, algo crucial para entornos donde las actualizaciones se realizan manualmente y fuera de línea.

Recomendaciones sobre instalación

La versión 2.0.8 puede descargarse directamente desde la página oficial del proyecto en GitHub, aunque lo más aconsejable para la mayoría de los usuarios es instalarla desde los repositorios estables de su distribución GNU/Linux de preferencia. De esta forma, se aseguran de mantener la compatibilidad con el resto del sistema y obtener soporte en caso de necesitarlo.

Para más detalles técnicos y conocer todos los cambios incluidos, se recomienda consultar las notas de la versión disponibles en el portal del proyecto.

Las nuevas funciones enfocadas en entornos UEFI, correcciones relevantes en el manejo de dispositivos y mejoras destinadas a integradores y desarrolladores hacen de fwupd 2.0.8 un avance importante dentro del ciclo de versiones 2.0. Está pensado para ofrecer un entorno más seguro, controlado y versátil al aplicar actualizaciones de firmware, especialmente en infraestructuras de servidores y equipos modernos que dependen del arranque seguro.

from Linux Adictos https://ift.tt/0PGB4ki
via IFTTT

Pacosite's Blog

Comunicaciones, Linux, Tecnología e Internet

Daily Archives: April 10, 2025

China-based SMS Phishing Triad Pivots to Banks

SparkyLinux 7.7 introduce nuevas versiones del kernel en su versión con base Debian 12

Actualizaciones generales y soporte extendido en SparkyLinux 7.7

Escritorios y entorno gráfico al gusto del usuario

SparkyLinux introduce actualizaciones de software clave

Correcciones importantes y mejoras en la instalación

Disponibilidad de SparkyLinux 7.7 y versiones para distintas arquitecturas

Linux Mint adelante que LMDE 7 soportará instalaciones OEM

Linux Mint sigue mejorando Wayland

IPFire 2.29 Core 193 implementa criptografía poscuántica y amplias mejoras del sistema

Criptografía poscuántica: una nueva capa de protección para túneles IPsec

Revisión profunda de algoritmos criptográficos y eliminación de AES-128 en IPFire 2.29 Core 193

Actualizaciones al sistema base: librerías, herramientas y rendimiento

Otros cambios importantes: DNS-over-TLS, mejoras visuales y corrección de errores

Actualización de aplicaciones y paquetes adicionales en IPFire 2.29 Core 193

OpenSSH 10.0 refuerza la seguridad criptográfica y rediseña la arquitectura de autenticación

OpenSSH 10.0 refuerza la seguridad criptográfica

OpenSSh 10.0 rediseña la arquitectura de autenticación

Compatibilidad con FIDO2 y mejoras en configuraciones

Optimización de algoritmos de cifrado

Otros cambios técnicos y de protocolo

Correcciones de fallos y usabilidad

Fwupd 2.0.8 incorpora nuevos complementos para mejorar la compatibilidad con UEFI

Nuevos complementos para la base de datos UEFI en Fwupd 2.0.8

Fwupd 2.0.8 innova en el manejo de atributos y rutas

Mejoras en la detección del protocolo y compatibilidad con hardware

Compatibilidad reforzada y ajustes de seguridad

Mejor experiencia de uso y control por consola

Recomendaciones sobre instalación