Android 13 es la primera versión de Android en la que la mayoría del código nuevo agregado a la versión está en un lenguaje seguro para la memoria.

Mediante una publicación de blog, los ingenieros de Google dieron a conocer el resumen de los primeros resultados de la introducción del soporte de desarrollo de Rust en Android.

En Android 13, aproximadamente el 21 % del nuevo código compilado agregado está escrito en Rust y el 79 % en C/C++, siendo el repositorio de AOSP (Android Open Source Project), que desarrolla el código fuente de la plataforma Android, que tiene aproximadamente 1,5 millones de líneas de código Rust.

El código proporcionado por AOSP está relacionado con nuevos componentes como el almacén de claves criptográficas Keystore2, la pila para chips UWB ( Ultra-Wideband ) , implementación del protocolo DNS sobre HTTP3, marco de virtualización AVF (Android Virtualization Framework), pilas experimentales para Bluetooth y Wi-Fi.

En línea con la estrategia adoptada anteriormente para reducir el riesgo de vulnerabilidades de errores de memoria, hasta ahora Rust se ha utilizado principalmente para el desarrollo de código nuevo y para reforzar gradualmente la seguridad de los componentes de software más vulnerables y vitales.

A medida que ha disminuido la cantidad de nuevos códigos no seguros para la memoria que ingresan a Android, también ha disminuido la cantidad de vulnerabilidades de seguridad de la memoria. De 2019 a 2022, se redujo del 76 % al 35 % de las vulnerabilidades totales de Android. 2022 es el primer año en el que las vulnerabilidades de seguridad de la memoria no representan la mayoría de las vulnerabilidades de Android .

El objetivo general de transferir toda la plataforma a Rust no está establecido, y el código antiguo permanece en C/C++, y la lucha contra los errores en él se realiza mediante el uso de pruebas de fuzzing, análisis estático y el uso de técnicas similares al uso del tipo MiraclePtr (enlace sobre punteros sin formato, que realiza comprobaciones adicionales para acceder a áreas de memoria liberadas), el sistema de asignación de memoria Scudo (un reemplazo seguro para malloc/free) y mecanismos de detección de errores cuando se trabaja con memoria HWAsan(AddressSanitizer asistido por hardware), GWP-ASAN y KFENCE.

En cuanto a las estadísticas sobre la naturaleza de las vulnerabilidades en la plataforma Android, se observa que a medida que disminuye la cantidad de código nuevo que funciona con la memoria de manera insegura, también disminuye la cantidad de vulnerabilidades causadas por errores al trabajar con la memoria.

Por ejemplo, la proporción de vulnerabilidades causadas por problemas de memoria disminuyó del 76 % en 2019 al 35 % en 2022. En números absolutos, se identificaron 223 vulnerabilidades relacionadas con la memoria en 2019, 150 en 2020, 100 en 2021 y 85 en 2022 no se encontraron). 2022 fue el primer año en el que las vulnerabilidades relacionadas con la memoria dejaron de dominar.

Hasta la fecha, no se han descubierto vulnerabilidades de seguridad de memoria en el código Rust de Android.

No esperamos que ese número permanezca en cero para siempre, pero dado el volumen del nuevo código Rust en dos versiones de Android y los componentes sensibles a la seguridad donde se usa, es un resultado significativo. Demuestra que Rust está cumpliendo su propósito previsto de prevenir la fuente más común de vulnerabilidades de Android.

Dado que las vulnerabilidades relacionadas con la memoria suelen ser las más peligrosas, las estadísticas generales también muestran una disminución en la cantidad de problemas críticos y problemas que pueden explotarse de forma remota. Al mismo tiempo, la dinámica de detección de vulnerabilidades no relacionadas con el trabajo con memoria se ha mantenido aproximadamente en el mismo nivel durante los últimos 4 años: 20 vulnerabilidades por mes.

La proporción de problemas peligrosos entre las vulnerabilidades causadas por errores de memoria también se mantiene (pero a medida que disminuye la cantidad de vulnerabilidades, también disminuye la cantidad de problemas peligrosos).

Las estadísticas también rastrean la correlación entre la cantidad de código nuevo que funciona con la memoria de manera insegura y la cantidad de vulnerabilidades relacionadas con la memoria (desbordamientos de búfer, acceso a memoria ya liberada, etc.).

Esta observación confirma la suposición de que la atención principal en la implementación de técnicas de programación segura debe darse al código nuevo y no a reescribir el existente, ya que la mayor parte de las vulnerabilidades identificadas están en el código nuevo.

Fuente: https://security.googleblog.com/

from Linux Adictos https://ift.tt/PlgtouQ
via IFTTT

webOS, también conocido como webOS TV y open webOS, es un sistema operativo multitarea para dispositivos inteligentes como televisores y relojes, ​ basado en Linux

Se dio a conocer el lanzamiento de la nueva versión de WebOS OSE (Open Source Edition) 2.19, versión en la cual se han añadido muchas características interesantes a la interfaz de usuario básica, asi como tambien mejoras y correcciones de errores.

Para quienes desconocen aún de webOS Open Source Edition (o también conocido como webOS OSE), deben saber que la plataforma webOS fue desarrollada originalmente por Palm en 2008. En 2013, la plataforma fue comprada de Hewlett-Packard by LG y ahora se usa en más de 70 millones de televisores y dispositivos de consumo LG. En 2018, se fundó el proyecto webOS Open Source Edition, a través del cual LG intentó volver al modelo de desarrollo abierto, atraer a otros participantes y ampliar la gama de dispositivos compatibles con webOS.

Principales novedades de WebOS Open Source Edition 2.19

En esta nueva versión que se presenta de WebOS 2.19 continúan las mejoras en la aplicación Home y es que ahora fue incluida una barra de estado con una selección de las funciones a las que se llama con más frecuencia.

Otro de los cambios que se destaca de esta nueva versión, es que la aplicación de Videollamada está incluida para realizar videollamadas y celebrar videoconferencias virtuales. En su forma actual, actualmente solo se admite la comunicación a través de Cisco Webex y Microsoft Teams.

Ademas de ello, tambien se destaca que se proporcionó un entorno de línea de comandos para que el usuario pueda crear sus propias aplicaciones de billetera de cadena de bloques (Blockchain Wallet), lo que facilita la realización de operaciones como la firma de transacciones y el registro de estas transacciones en la cadena de bloques.

Tambien se destaca que se agregó el soporte para detectar dispositivos de audio internos y externos en el servidor de audio «audiod», asi como tambien se agregó el soporte para dispositivos de sonido secundarios (subdispositivos), tarjetas de sonido integradas y cámaras MIPI en el servicio Sys, ademas de que ahora PulseAudio utiliza el mecanismo de cancelación de eco ECNR (Echo Cancellation Noise Reduction).

Por otra parte, tambien podremos encontrar que se proporciona soporte para la edición gratuita de los contenidos del panel con aplicaciones.

Enact Browser agregó soporte para el servicio de detección de malware e implementó una ventana emergente que solicita permisos al usuario, ademas de que se solucionó un problema por el cual las ventanas emergentes «Anterior» y «Siguiente» no desaparecían, tambien se solucionó el problema con la reproducción del sonido de la pestaña inactiva del navegador Enact.

De los demás cambios que se destacan de esta nueva versión:

• Se agregaron nuevos gestos de pantalla.
• Los componentes de Yocto Embedded Linux Platform se han actualizado a la versión 4.0.
• El motor del navegador se actualizó a la versión Chromium 94 (anteriormente se usaba Chromium 91).
• Se agregó la capacidad de usar gamepads para aplicaciones web webOS.
• Fuentes Noto actualizadas (agregado soporte para caracteres Unicode 15.0.0).
• Cambió a Qt 6.4.
• El marco web de Enact se actualizó a la versión 4.5.0.
• Problemas conocidos:
  No se pueden saltar videos usando las teclas numéricas con la tecla Intro.
  Si la resolución de pantalla de la pantalla principal es mayor que la de la pantalla secundaria, la pantalla principal no se muestra correctamente.
  En la aplicación Navegador web, si el usuario ingresa al menú Configuración mientras el menú desplegable de zoom está activado, el menú de zoom no se apaga.
  No se pueden obtener respuestas para las propiedades de Google Cloud a través de los comandos luna-send.
  No se pueden obtener devoluciones adecuadas utilizando el com.webos.service.wifi/tethering/setMaxStationCountmétodo.

Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión liberada, puedes consultar los detalles en el siguiente enlace.

¿Cómo obtener webOS Open Source Edition 2.19?

Para quienes estén interesados en poder utilizar o probar webOS Open Source Edition es necesario generar la imagen del sistema para su dispositivo, para ello pueden consultar los pasos a seguir desde el siguiente enlace. 

Cabe mencionar que como plataforma de hardware de referencia se consideran las placas Raspberry Pi 4. La plataforma se desarrolla en un repositorio público bajo la licencia Apache 2.0, y el desarrollo es supervisado por la comunidad, siguiendo un modelo de gestión de desarrollo colaborativo.

from Linux Adictos https://ift.tt/MpWzyhO
via IFTTT

Tras la anterior versión, lanzada a principios de septiembre y siendo la última LTS, ya tenemos aquí otro lanzamiento de punto de una de las herramientas de código abierto más elogiadas, hasta el punto de hacerlo personas como Edward Snowden. Blender 3.4 introduce muchas mejores interesantes, pero a los usuarios de Linux nos llamará la atención que ya soporta Wayland de manera nativa. Con esto, además de presentar menos fallos, se hará un uso más eficiente de los recursos.

Blender 3.4 ha finalizado el soporte para Wayland que introdujo hace aproximadamente dos años. Sus desarrolladores recomendaban usar este software de modelado 3D, entre otras cosas, en X11, y ahora ya no debería haber ninguna preferencia. Pero no llueve a gusto de todos, y habrá usuarios de NVIDIA que no podrán aprovechar todo el soporte. La de NVIDIA y Linux es una pareja que no siempre termina comiendo perdices.

Novedades más destacadas de Blender 3.4

• Soporte para el renderizado por GPU vía EEVEE/Workbench.
• Nuevo panel de rehacer en NLA.
• Editores Dopesheet y línea de tiempo.
• Posibilidad de sobrescribir todas las rutas usando variables de entorno.
• Creación de miniaturas más rápidas para imágenes webp.
• Soporte para AV1 con FFmpeg.
• Los ajustes de mascara automática en el modo de escultura es ahora accesible desde la cabecera en el Viewport 3D.
• Atributos de reproyección más rápidos con el reajustador de vóxeles.
• Mejoras de rendimiento cuando no se utilizan conjuntos de caras y máscaras.
• La pintura de pesos y vértices utilizará toda la pila de modificadores si no produce cambios en la topología.
• Los conjuntos de caras ahora son opcionales, lo que significa que los objetos primitivos no tienen un atributo de conjunto de caras por defecto.

Blender 3.4 ya está disponible desde su página web, en donde los usuarios de Linux descargaremos su tarball. Su paquete snap ya está disponible, y pronto debería aparecer en Flathub. En los próximos días aparecerá también en los repositorios oficiales de la mayoría de distribuciones Linux.

from Linux Adictos https://ift.tt/OX6WwFv
via IFTTT

Acostumbrados a que Jon von Tetzchner empiece sus artículos sobre su navegador con una novedad destacada como el panel de tareas de la versión anterior, su artículo sobre el lanzamiento de Vivaldi 5.6 puede resultar un tanto extraño. Buena parte de él se la han dedicado a Mastodon, la red social que está de moda desde que Elon Musk compró Twitter. Vivaldi la apoya por ser de código abierto, entre otras cosas, pero no creo que la inclusión de un panel para una red social sea algo con lo que abrir la noticia de un nuevo lanzamiento.

Para mí, esto de Mastodon tiene importancia «cero-coma». A partir de ahora aparecerá el panel añadido para ver las noticias del proyecto. Y es que Vivaldi tiene su propio servidor al que se puede acceder con una cuenta de Vivaldi Social, muy diferente a lo que han hecho otros proyectos que se han limitado a abrir un servidor, y en ocasiones ni eso. Dejando esto de lado, pasamos a lo que de verdad importa, que son el resto de novedades.

Novedades de Vivaldi 5.6

• Posibilidad de anclar pilas de pestañas. Hasta ahora sólo se podían anclar pestañas sueltas.
• Página de ajustes mejorada. A partir de 5.6 tendrá un diseño retocado que se notará especialmente en los colores de la parte izquierda.
• Posibilidad de mezclar los botones de los paneles con los paneles web, mover extensiones a la barra de paneles, mover los ajustes a otra barra y mucho más. Hasta que no actualice no sé cómo funcionará esto, pero me bastaría con poder reordenar los paneles web, y parece que será posible.
• Nuevo motor de búsqueda You.com. Tiene sus luces y sus sombras. Es un motor de búsquedas privadas, pero he leído que en estos momentos da problemas con el registro, que piden cosas que llegan a preocupar.

Vivaldi 5.6 ya está disponible desde su página web oficial, y pronto debería aparecer la actualización en el repositorio que se añade tras la primera instalación en sistemas operativos como Ubuntu.

from Linux Adictos https://ift.tt/GO7mJbX
via IFTTT

Durante el pasado agosto, Offensive Security lanzó la tercera versión de 2022 de su sistema operativo, y entre sus novedades nos habló de una que no tenía que ver con el sistema operativo en sí. Empezaron su comunidad en Discord, una red social en la que no estaban hasta ese momento. Hace unas horas, la compañía ha hecho oficial el lanzamiento de Kali Linux 2022.4, y ahora podemos encontrarlo en más redes sociales.

Uno de los servicios a dónde han ido o donde se han creado un perfil no debe ser una sorpresa. Desde que Elon Musk compró Twitter, circulan rumores de que puede haber problemas en la famosa red de microblogging, motivo por el que muchos proyectos se han creado una cuenta y/o un servidor en la red del «elefante», más concretamente Mastodon (aquí su perfil). Por otra parte, han aprovechado la inercia y también están en Instagram (aquí su perfil).

Novedades más destacadas de Kali Linux 2022.4

• Mejoras en GNOME y KDE. GNOME está ahora en la v43, y Plasma en v5.26.
• Kali Linux ha sido añadido a Microsoft Azure, y esta vez para quedarse.
• Nueva imagen para QEMU, que se suma al resto de imágenes pre-generadas.
• Han creado un paquete de logotipos para la prensa.
• Soporte para NetHunter para el PinePhone Pro y el PinePhone.
• El logo del dragón Kali está ahora en nerd-fonts (f327 aka nf-linux-kali_linux).
• Fuente RSS para torrents, kali.org/torrents.xml.
• Nuevas herramientas:
  • bloodhound.py: un ingestor basado en Python para BloodHound.
  • certipy: una herramienta para enumeración y abuso de Active Directory Certificate.
  • hak5-wifi-coconut: un driver user-space para NICs WiFi y Hak5 WiFi Coconut.
  • ldapdomaindump: volcado de información de Active Directory vía LDAP.
  • peass-ng: herramienta de escalado de privilegios para Windows y Linux/Unix y macOS.
  • rizin-cutter: plataforma de ingeniería inversa impulsada por rizin.
  • Actualizadas las herramientas existentes.
• Kali Liux aparece ahora como opción en Raspberry Pi Imager, el instalador de sistemas oficial de Raspberry Pi para su placa.

Las nuevas imágenes ya están disponibles en este enlace.

from Linux Adictos https://ift.tt/GFH9mZ6
via IFTTT

Las videollamadas vía Internet han estado disponibles desde siempre, o por lo menos desde que yo lo conozco. Clientes de mensajería como MSN o Yahoo! Messenger ya permitían compartir «cam» y el sonido del micrófono, pero no fue hasta la llegada de los teléfonos inteligentes que empezaron a usarse un poco más. Aún así, el boom real lo pegaron al inicio de la década de los ’20 (2020), cuando la pandemia de la COVID19 también nos obligó a teletrabajar. Se han usado muchas opciones, pero Zoom ha sido de las más populares.

Los diferentes medios que conocían a Zoom desde sus inicios no se ponen de acuerdo de por qué esta fue la opción elegida por muchos. Si se busca por la red, hay respuestas de todo tipo, como un buen marketing que incluye el nombre de la aplicación, muy descriptivo, o que ha sido de las primeras en aparecer. Pero pocos suelen explicar su crecimiento con la pandemia, ya que antes de 2020 ya estaba subiendo mucho. Por el motivo que sea, la realidad es la que es, y hay mucho interés en Zoom.

Qué nos ofrece Zoom

Zoom ofrece muchos productos, pero básicamente todo gira alrededor de las comunicaciones a distancia. Lo que más conocemos son las videoconferencias, pero no todas son iguales. No es lo mismo una videollamada de una persona a otra que una en la que participan decenas de usuarios. Ni tampoco lo es verse sólo las caras que incluir la opción de usar una pizarra virtual, muy útil para dar/recibir clases. La captura anterior habla por sí sola.

Sabiendo que podemos comunicarnos a distancia, usando sólo el chat, el micro, la cámara o todo junto, y usar sus diferentes herramientas, lo que quizá queda por saber es por cuánto lo ofrecen. Zoom está disponible para un uso personal y para hacer un uso profesional de la plataforma. El plan básico es el que nos va a permitir hacer reuniones de hasta 100 personas, siempre y cuando no se pase de una duración de 40 minutos, sin tener que pagar ni un euro. Luego hay tres planes de pago, el Pro, el Business y el Enterprise, cada uno con más opciones que el anterior, pero por un precio más alto.

Si lo que necesitamos es hacer un uso más serio de Zoom, la opción Pro nos costará, a día de publicación de este artículo, 140€ por usuario al año. Es dinero, pero esos planes están pensados para los que necesiten hacer reuniones de empresa serias. Para un uso normal, el plan básico es más que suficiente. En el peor de los casos, se vuelve a llamar superados los 40 minutos.

Instalación en Linux

Gracias a los paquetes de nueva generación, instalar Zoom en Linux es muy sencillo, también de explicar. Podemos instalarlo como paquetes flatpak y snap, y esto es válido para cualquier distribución que soporte de fábrica o se le haya añadido el soporte para este tipo de paquetes.

En este enlace se explica cómo añadir el soporte de los paquetes flatpak, y en este para los paquetes snap. Una vez añadido, ambas opciones deberían aparecer en los diferentes centros de software. Si buscamos por nuestro centro de software y no encontramos nada, se puede instalar con estos comandos:

• Paquete snap:

sudo snap install zoom-client

• Paquete flatpak:

flatpak install flathub us.zoom.Zoom

En ambos casos estaremos instalando software que ha pasado por las manos de la comunidad, siendo el primero el paquete DEB oficial para Debian/Ubuntu que se ha empaquetado como paquete snap.

Descargar el paquete oficial

En la página de descargas podemos conseguir los paquetes que ofrece la misma compañía, entre los que hay DEB, RPM y un tarball, este para distribuciones como Arch Linux. Para los usuarios de Arch, también está disponible en AUR en lo que para mí es la mejor opción; no sólo es más fácil de instalar (yay -S zoom, como explicamos en este tutorial), sino que también lo es de actualizar.

Para instalar la versión DEB (Debian/Ubuntu y derivados), bastará con abrir un terminal y escribir:

sudo dpkg -i "nombre del paquete"

Para instalar el paquete RPM, lo más habitual será escribir:

sudo rpm -i "nombre del paquete"

En cualquier caso, se puede hace doble clic en los archivos y elegir que se instalen con el instalador gráfico, si nuestra distribución ofrece esta posibilidad.

Versión web

Zoom también está disponible en versión web para los que no quieran o no puedan instalar el software. La página es zoom.us/join, en donde habrá que añadir el usuario y contraseña para poder empezar a usar todo lo que Zoom nos ofrece.

Alternativas

Zoom es una de las opciones más populares, pero no al única. También podemos usar otras, como:

• Telegram: la aplicación de mensajería sirve para hacer videollamadas, aunque está más centrada en el uso personal.
• Skype: sorprende un poco que Zoom haya superado a Skype en popularidad, por lo menos si tenemos en cuenta las fechas en las que nacieron las aplicaciones. Skype fue comprada por Microsoft para sustituir (y de paso matar) a su MSN.
• Google Meet: Google también tiene su aplicación de videollamadas, y también sirve para tener reuniones de todo tipo. Que no sea más popular puede tener que ver con una cuestión de privacidad, o por la manía de esta compañía de cambiarle el nombre a las cosas.
• Teams: también de Microsoft, Teams nos permite realizar videollamadas y tener reuniones a distancia.
• Discord: es una de las opciones favoritas por las diferentes comunidades Linux, en parte porque se pueden crear como una especie de servidores con diferentes chats separados por temas.
• Signal: tampoco puede quedar fuera de esta lista esta aplicación centrada en la privacidad, aunque, como Telegram, también está más centrada en el uso personal.
• Brave Talk: si usamos el navegador Brave, además de navegar también podremos hacer otras cosas. Entre ellas, videollamadas privadas. Lo malo es que tenemos que hacerlas desde el navegador web… su navegador web.

Se elija lo que se elija, una cosa está clara: la distancia no es excusa para no ser productivos o para tratar más con amigos y familiares.

from Linux Adictos https://ift.tt/YJLv8Zz
via IFTTT

Lo de Alemania con las suites ofimáticas parece una telenovela. Hace años nos alegramos cuando la ciudad de Munich decidió pasarse a Linux y LibreOffice. Tiempo después eligieron a un antiguo colaborador de Microsoft como alcalde y la decisión se revirtió.  Ahora nos enteramos de que en toda Alemania se produce la prohibición del uso de Microsoft 365 en todas las escuelas.

Claro, que la situación no es la misma. En este caso no estamos hablando de un programa informático instalado en cada ordenador ni del costo de las licencias. Hablamos de una solución en la nube y de problemas de privacidad.

¿Por qué declaran ilegal a Office 365?

En pocas palabras, porque la DSK, el organismo alemán encargado de la protección de datos decidió que ante lo que consideró una falta de transparencia con respecto a la protección de datos y el posible acceso de terceros, no se deben almacenar datos personales de niños escolares alemanes en los servidores de Microsoft fuera de Alemania

Esto sucede después de dos años de infructuosas negociaciones con la empresa norteamericana. En un tiempo, Microsoft daba la opción de guardar la información en centros de datos ubicados en Alemania, pero esa opción no sigue disponible y las autoridades germanas consideraron que Microsoft 365 (El nombre actual de la suite ofimática en la nube) no cumple con la normativa europea para protección de datos personales. Como consecuencia, el producto de Microsoft no es apto para su uso en escuelas. 

Los puntos sobresalientes del dictamen del DSK son:

Los controladores deben poder cumplir con sus obligaciones de responsabilidad de conformidad con el Art. 5 (2) GDPR en todo momento. Al usar Microsoft 365, todavía se pueden esperar dificultades a este respecto sobre la base del «complemento de protección de datos». Microsoft no revela completamente qué operaciones de procesamiento se llevan a cabo en detalle. Además, Microsoft no revela completamente qué operaciones de procesamiento se llevan a cabo en nombre del cliente o cuáles se llevan a cabo para sus propios fines. Los documentos contractuales no son precisos a este respecto y no permiten una evaluación concluyente del tratamiento, que incluso puede ser extenso, incluso para fines propios de la empresa».

El uso de datos personales de los usuarios (por ejemplo, empleados o estudiantes) para los propios fines del proveedor excluye el uso de un procesador en el sector público (especialmente en las escuelas).

Además, al DSK tampoco le gusta la transferencia de datos a los EE. UU porque esto automáticamente brinda a las autoridades de ese país el acceso a la información.

Las discusiones del grupo de trabajo con Microsoft confirmaron, de acuerdo con las disposiciones contractuales, que los datos personales se transferirán en cualquier caso a los EE. UU. cuando se use Microsoft 365. No es posible usar Microsoft 365 sin transferir los datos personales a los EE. UU.

Por el mismo motivo, el DSK también aconseja a los usuarios privados no utilizar Microsoft 365, ya que simplemente no se puede confiar en que Microsoft maneje la información recopilada de manera compatible con la privacidad.

En LinuxAdictos ya habíamos comentado medidas similares tomadas en Alemania y otros países europeos contra los productos de Google.

Aunque no puedo dejar de estar de acuerdo con la medida y los motivos esgrimidos para tomarla, no puedo evitar preguntarme si detrás de la defensa de la privacidad de los usuarios no hay una intención de implantar medidas proteccionistas encubiertas. Competidores de Google y Microsoft salieron a aplaudir la medida. Uno de ellos fue Matthias Pfau, fundador del servicio de correo electrónico cifrado Tutanota:

Es increíble que los servicios en línea estadounidenses sigan pisoteando la directiva europea más de cuatro años después de su aprobación. Evidentemente, las grandes corporaciones americanas están aguantando las quejas y también las sanciones porque el modelo de negocio -«usa mi servicio y yo uso tus datos»- les resulta sumamente lucrativo. En lugar de depender de la cooperación voluntaria, aquí deben aplicarse medidas mucho más duras; por ejemplo, mediante el uso de sistemas completamente diferentes. Linux con LibreOffice es una muy buena alternativa a la que las escuelas y las autoridades deberían cambiar de inmediato. Mientras las escuelas y las autoridades sigan usando Microsoft, aunque instalado localmente, Microsoft obviamente no ve ninguna razón para respetar las normas europeas de protección de datos».

Otras soluciones en la nube, como el correo electrónico y el calendario, no tienen por qué ser de Microsoft. Ahora hay servicios muy buenos y completamente encriptados, como Tutanota de Hannover. Aquí, la privacidad y la protección de datos están garantizadas, además todos los datos se almacenan en servidores alemanes

from Linux Adictos https://ift.tt/8f2RorX
via IFTTT

Ahora que la burbuja del Metaverso se va desinflando, una nueva palabra está ocupando su lugar en redes sociales, blogs y videos relacionados con la tecnología. En este post te explicamos qué es y para qué sirve ChatGPT.

Para contarlo en pocas palabras, el inquieto señor Elon Musk fundó un laboratorio de investigación sobre inteligencia artificial llamado OpenAI. Ese laboratorio creó un modelo que permite interactuar con una inteligencia artificial como si se conversara normalmente. Pero, bastante antes que eso Musk ya se había ido.

Qué es y para que sirve ChatGPT

En las propias palabras de la web del proyecto:

Hemos entrenado un modelo llamado ChatGPT que interactúa de forma conversacional. El formato de diálogo hace posible que ChatGPT responda preguntas de seguimiento, admita sus errores, cuestione premisas incorrectas y rechace solicitudes inapropiadas. ChatGPT es un modelo hermano de InstructGPT, que está capacitado para seguir una instrucción o una pregunta y brindar una respuesta detallada.

Lo que hace diferente a ChatGPT de otros bots conversacionales es que no trabaja sobre la base de un conjunto de reglas o comandos ya que las respuestas a los usuarios surgen del aprendizaje automático. Este aprendizaje se basa en una enorme cantidad de datos provenientes de hilos de foros en línea, artículos en blogs, posteos en redes sociales y otros muchos orígenes. Esta información ayuda a que ChatGPT  aumente su comprensión sobre el lenguaje natural lo que le permite identificar y responder mejor al propósito de la pregunta. Entre esas fuentes de conocimiento ya no está Twitter, En su cuenta de la red social, el millonario sudafricano aclaró:

No es sorprendente, ya que acabo de enterarme de que OpenAI tenía acceso a la base de datos de Twitter para capacitación. Lo puse en pausa por ahora.

Necesito comprender más sobre la estructura de gobierno y los planes de ingresos (De  OpenAI)  en el futuro.

OpenAI se inició como código abierto y sin fines de lucro. Ninguno de los dos sigue siendo cierto.

Un bot conversacional (Chatbot) es una aplicación de software que puede interactuar en una conversación similar a la humana en función de las indicaciones del usuario. En el caso de ChatGPT, sus desarrolladores prometen que es capaz de simular diálogos, responder preguntas de seguimiento, admitir errores, desafiar premisas incorrectas y rechazar solicitudes inapropiadas.

Sin embargo, esta capacidad no se limita a cuestiones profundas sobre intrigantes enigmas científicos. También se le pueden plantear temas como eventos deportivos o pedirle su opinión sobre el clima. Entre los usos posibles están la creación de contenidos, la adecuación en tiempo real de campañas de marketing digital, la atención a consumidores y el hallazgo y corrección de errores en programas de computación.

De todas formas, no todo es tan perfecto como suena. Los propios desarrolladores detectaron una tendencia a responder con «respuestas que suenan plausibles pero incorrectas o sin sentido». Además, como algunos expertos humanos, parece que habla demasiado.

El modelo a menudo es excesivamente detallado y usa en exceso ciertas frases, como reafirmar que es un modelo de lenguaje entrenado por OpenAI. Estos problemas surgen de sesgos en los datos de entrenamiento (los entrenadores prefieren respuestas más largas que parezcan más completas) y problemas de sobreoptimización bien conocidos

Quise probar personalmente ChatGPT para incluir ejemplos en este artículo, sin embargo, después de pedir mi correo electrónico y una contraseña, verificarlo, poner mi nombre y mi teléfono, escribir el código que me mandaron al teléfono y explicar mi propósito, me pidieron que mandara un mail comentándoles para que quería el acceso. Tendremos que conformarnos con los ejemplos de la web del proyecto. 

Es demasiado pronto para saber si de ChatGPT saldrá algo y la Inteligencia Artificial cumplirá sus promesas. Vengo esperando desde 1985 la desaparición del teclado y el reemplazo definitivo del papel en las oficinas y trámites. Como muy bien lo definió el twittero @OrwellGeorge:

Cuando era chico me hacían dibujar sobre el 2022 y hacia autos voladores. Mañana en el censo 2022 van a venir a preguntarme si tengo inodoro.

Como dato anecdótico, ese censo salió mal por falla en la recogida de datos y probablemente tenga que repetirse el año próximo.

from Linux Adictos https://ift.tt/kMn2eIU
via IFTTT

RawTherapee es un programa de procesamiento de imágenes RAW multiplataforma

Después de casi tres años de desarrollo, se ha publicado el lanzamiento de RawTherapee 5.9, versión en la cual se han añadido nuevas herramientas, asi como mejoras, correcciones de errores y tambien soporte para nuevos modelos de cámaras.

Para quienes desconocen de RawTherapee, deben saber que este proporciona un conjunto de herramientas para la corrección de color, el balance de blancos, el brillo y el contraste, así como la mejora automática de imágenes y la eliminación de ruido.

Se han implementado varios algoritmos para la normalización de la calidad de la imagen, la corrección de la iluminación, la supresión del ruido, la mejora de los detalles, el control adicional de las sombras, la corrección de los bordes y la perspectiva, la eliminación automática de píxeles muertos y el cambio de la exposición, la nitidez, la eliminación de arañazos y marcas de polvo.

Principales novedades de RawTherapee 5.9

La nueva versión de RawTherapee 5.9 se agregó el soporte para nuevas cámaras, formatos sin procesar y perfiles de color. En total, se ha mejorado la compatibilidad con 130 cámaras, incluidos varios modelos Canon EOS, Canon PowerShot, Fujifilm X*, Fujifilm GFX, Leica, Nikon COOLPIX, Nikon D*, Nikon Z*, OLYMPUS, Panasonic DC, Sony DSC y Sony ILCE.

Otra de las novedades que se presenta, es que se ha agregado una herramienta para eliminar manchas y objetos pequeños (por ejemplo, defectos del sensor y partículas de polvo en la lente), reemplazando la mancha con contenido del área vecina.

Ademas de ello, tambien se menciona que se ha agregado una herramienta de ajuste local que permite realizar varias operaciones de edición en áreas de la imagen que se seleccionan en función de una máscara geométrica o color, asi como tambien que se agregaron nuevos modos de construcción de histogramas para la inspección del color: forma de onda, vectorescopio y desfile RGB (forma de onda, vectorescopio, desfile RGB).

Se ha implementado un nuevo algoritmo doble para calcular los componentes de color que faltan en función de la información de los elementos vecinos (demosaicing), que permite reducir los artefactos de las imágenes bajo iluminación artificial.

Se agregó soporte para el modelo de percepción de color CAM16, que reemplazó al modelo CIECAM02 y le permite corregir el color de una foto teniendo en cuenta la percepción del color por parte del ojo humano.

Tambien se destaca que se ha agregado un nuevo método automático de «correlación de temperatura» a la herramienta de ajuste del balance de blancos (el antiguo método se ha renombrado como «gris RGB»).

De los demás cambios que se destacan de esta nueva versión:

• Se ha agregado una herramienta de preprocesamiento del balance de blancos que le permite aplicar el balance automático para canales individuales o usar los parámetros de balance de blancos registrados por la cámara.
• Se ha rediseñado la herramienta para invertir negativos.
• Se ha agregado una herramienta para corregir automáticamente los bloqueos horizontales o verticales en perspectiva.
• Herramientas de edición de wavelet mejoradas en diferentes niveles de detalle.
• Se agregó soporte para el ajuste de saturación a la herramienta de eliminación de neblina.
• Se ha mejorado el tema de la interfaz y se ha aumentado la visibilidad de la inclusión de herramientas.
• Se agregó la capacidad de cambiar el tamaño del navegador (pestaña «Editor»).
• La herramienta de cambio de tamaño (pestaña Transformar) ahora admite el cambio de tamaño de borde largo o corto.
• Se agregó el modo de recorte «Cuadrado centrado» a la herramienta Recortar.

Finalmente si estás interesado en poder conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.

¿Cómo descargar e instalar la nueva versión de RawTherapee 5.9?

Para quienes estén interesados en poder obtener esta nueva versión de RawTherapee pueden obtener esta nueva versión visitando su sitio web oficial en donde podrán encontrar los diferentes instaladores de la aplicación (Windows, Mac y Linux), por lo que para nuestro caso “Linux” podremos obtener esta nueva versión descargando el AppImage.

Esto lo pueden hacer abriendo una terminal y en ella ejecutando el siguiente comando:

wget -O RawT.AppImage https://rawtherapee.com/shared/builds/linux/RawTherapee_5.9.AppImage

Hecha la descarga ahora debemos de darle permisos de ejecución con:

sudo chmod u+x RawT.AppImage

Y pueden ejecutar la aplicación dando doble clic sobre el archivo o desde la terminal con:

./RawT.AppImage

from Linux Adictos https://ift.tt/OsXNC8J
via IFTTT

Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Hace pocos días Qualys dio a conocer la noticia de que ha identificado una vulnerabilidad grave (ya catalogada bajo CVE-2022-3328) en la utilidad snap-confine, que se envía con el indicador root SUID y el proceso snapd la llama para formar un entorno ejecutable para aplicaciones distribuidas en paquetes formato snap.

Se menciona que la vulnerabilidad permite que un usuario local sin privilegios logre la ejecución del código como root en la configuración predeterminada de Ubuntu.

Curiosamente, la vulnerabilidad en cuestión se introdujo en el proceso de corregir una vulnerabilidad similar de febrero en un snap-confine.

¿Qué impacto tiene CVE-2022-3328?

Qualys detalle en su informe que la vulnerabilidad en snap-confine es causada por una condición de carrera en la función must_mkdir_and_open_with_perms(), agregada para proteger contra la sustitución del directorio /tmp/snap.$SNAP_NAME por un enlace simbólico después de la verificación del propietario, pero antes de la llamada al sistema de montaje se llama para enlazar directorios de montaje en él para un paquete en formato span.

La seguridad agregada fue cambiar el nombre del directorio /tmp/snap.$SNAP_NAME a otro directorio en /tmp con un nombre aleatorio si existe y no es propiedad del usuario root.

Al explotar la operación de cambio de nombre del directorio /tmp/snap.$SNAP_NAME, los investigadores aprovecharon el hecho de que snap-confine también crea un directorio /tmp/snap.rootfs_x para el contenido del paquete snap. mkdtemp() que elige aleatoriamente la parte «x del nombre, pero un paquete llamado «rootfs_x» puede pasar por sc_instance_name_validate (es decir, la idea es tener $SNAP_NAME establecido en «rootfs_x» y luego la operación de cambio de nombre dará como resultado la sobrescritura el directorio /tmp/snap.rootfs_x con el root en snap).

Para lograr el uso simultáneo de /tmp/snap.rootfs_xx y el cambio de nombre de /tmp/snap.$SNAP_NAME, se iniciaron dos instancias de snap-confine.

Tan pronto como la primera instancia creaba /tmp/snap.rootfs_xx el proceso se bloqueaba y se iniciaba una segunda instancia con el nombre de paquete rootfs_x, lo que provocaba que el directorio temporal de la segunda instancia /tmp/snap.$SNAP_NAME se convirtiera en /tmp/snap .rootfs_x (directorio root) de la primera instancia.

Inmediatamente después de realizar el cambio de nombre, la segunda instancia falló y /tmp/snap.rootfs_x se reemplazó con manipulación de condiciones de carrera, como en la explotación de la vulnerabilidad de febrero. Después del cambio, el bloqueo de ejecución se eliminó de la primera instancia y los atacantes obtuvieron control total sobre el directorio raíz instantáneo.

El último paso fue crear un enlace simbólico /tmp/snap.rootfs_x/tmp que fue utilizado por la función sc_bootstrap_mount_namespace() para enlazar y montar el directorio real grabable /tmp a cualquier directorio en el sistema de archivos, ya que la llamada mount() sigue enlaces simbólicos antes del montaje. Dicho montaje está bloqueado por las restricciones de AppArmor, pero para eludir este bloqueo, el exploit utilizó dos vulnerabilidades auxiliares en multipathd.

La explotación exitosa de las tres vulnerabilidades permite que cualquier usuario sin privilegios obtenga privilegios de root en el dispositivo vulnerable. Los investigadores de seguridad de Qualys verificaron la vulnerabilidad, desarrollaron un exploit y obtuvieron privilegios completos de raíz en las instalaciones predeterminadas de Ubuntu. 

Tan pronto como la Unidad de Investigación de Amenazas de Qualys confirmó la vulnerabilidad, nos involucramos en la divulgación responsable de la vulnerabilidad y nos coordinamos con los proveedores y las distribuciones de código abierto para anunciar esta vulnerabilidad recién descubierta. 

Los investigadores pudieron preparar un exploit funcional que brinda acceso al root en Ubuntu Server 22.04, que, además de la vulnerabilidad de snap-confine, también involucra dos vulnerabilidades en el proceso multipathd (CVE-2022-41974, CVE-2022-41973) relacionado con la omisión de permisos al pasar comandos privilegiados y el manejo inseguro de enlaces simbólicos.

Cabe mencionar que el problema se solucionó en el lanzamiento de snapd 2.57.6, ademas de que se han lanzado actualizaciones de paquetes para todas las ramas compatibles de Ubuntu.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/xmVpveZ
via IFTTT