Hace algunos dias compartimos aquí en el blog sobre el proyecto «AlmaLinux», el cual viene de la mano de los desarrolladores de CloudLinux en respuesta a la retirada prematura del soporte para CentOS 8 por parte de Red Hat.

Recordemos que el proyecto originalmente se llamaba Lenix, pero se ha decidido que AlmaLinux sería un nombre más apropiado para reemplazar CentOS que Lenix Linux.

El kit de distribución se desarrolla de acuerdo con los principios del CentOS clásico, está formado por la reconstrucción de la base del paquete Red Hat Enterprise Linux 8 y conserva la compatibilidad binaria total con RHEL, lo que permite que se utilice para reemplazar de forma transparente el CentOS 8 clásico.

Actualizaciones para la rama de distribución de AlmaLinux basada en la base del paquete RHEL 8, promete lanzarse hasta 2029.

Desarrolladores de AlmaLinux anunciaron la primera version beta

Y ahora en noticias más recientes, se dio a conocer la primera versión beta de la distribución AlmaLinux, creada (se decidió interrumpir el lanzamiento de actualizaciones para CentOS 8 a finales de 2021, y no en 2029, ya esperaban los usuarios).

AlmaLinux está tratando de encontrar el equilibrio óptimo entre el soporte corporativo y los intereses de la comunidad; por un lado, los recursos y desarrolladores de CloudLinux, que tiene una amplia experiencia en el soporte de bifurcaciones de RHEL, estarán involucrados en el desarrollo, y por el otro Por otra parte, el proyecto será transparente y estará bajo el control de la comunidad.

CloudLinux se enorgullece de anunciar el lanzamiento de AlmaLinux Beta. Hemos recopilado los comentarios de la comunidad y hemos creado nuestra nueva versión beta en torno a lo que cabría esperar de una distribución de Linux de nivel empresarial. AlmaLinux es una bifurcación compatible con binarios 1: 1 completamente gratuita de Red Hat Enterprise Linux (RHEL) 8, inspirada en la comunidad y construida por los ingenieros y el talento detrás de CloudLinux. Visite este enlace para descargar imágenes Beta.

Con la versión Beta implementada, nos gustaría pedirle a la comunidad que participe y proporcione comentarios. Nuestro objetivo es construir una distribución de Linux completamente a partir de las contribuciones y los comentarios de la comunidad. Durante AlmaLinux Beta, solicitamos asistencia en las pruebas, documentación, soporte y dirección futura del sistema operativo. Juntos, podemos construir una distribución de Linux que llene el vacío dejado por la distribución CentOS que ahora no es compatible.

El desarrollo de AlmaLinux se lleva a cabo bajo los auspicios de CloudLinux, que proporcionó recursos y desarrolladores (se asignó un millón de dólares al año para el desarrollo del proyecto).

La distribución es gratuita para todas las categorías de usuarios, desarrollada con la participación de la comunidad y utilizando un modelo de gestión similar a la organización del proyecto Fedora.

La compilación se basa en la versión 8.3 de Red Hat Enterprise Linux y es completamente idéntica en funcionalidad con la excepción de los cambios relacionados con el cambio de marca y la eliminación de paquetes específicos de RHEL como redhat- *, insights-client y subscription-manager-migration *.

Todos los desarrollos se publicarán bajo licencias gratuitas, pero por el momento el repositorio público aún no se ha lanzado (pero los desarrolladores prometen lanzarlo cuando el código fuente revisado esté listo). Al mismo tiempo, ya se cuenta con la infraestructura para rastrear la información de errores.

El equipo de AlmaLinux configuró toda la infraestructura necesaria para que sea conveniente para nuestros colaboradores brindar sus aportes. El repositorio público de Github es donde finalizaremos el código fuente del sistema, y ​​cualquier documentación adicional se publicará en la wiki . 

Además de AlmaLinux, Rocky Linux también se posiciona como alternativas al antiguo CentOS (en la etapa de creación de la infraestructura, se promete que las compilaciones de prueba se publicarán el 31 de marzo) y Oracle Linux (vinculado a los intereses de la corporación).

Además, Red Hat ha puesto RHEL disponible de forma gratuita en implementaciones de producción de hasta 16 sistemas.

Finalmente si estás interesado en conocer más al respecto sobre la versión beta liberada de AlmaLinux, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/36Vejix
via IFTTT

Se dio a conocer una nueva técnica utilizada para poder identificar a una instancia de un navegador. El método se basa en las características del procesamiento de imágenes de Favicon con la ayuda de las cuales el sitio determina los íconos que se muestran en los marcadores, pestañas y otros elementos de la interfaz del navegador.

Los navegadores guardan las imágenes de Favicon en una caché separada, que no se superpone con otras cachés, es común a todos los modos de operación y no se borra con los limpiadores estándar de caché y de historial de navegación.

Esta función permite utilizar el identificador incluso cuando se trabaja en modo incógnito y dificulta su eliminación. La autenticación mediante el método propuesto tampoco se ve afectada por el uso de VPN y complementos de bloqueo de anuncios.

El método de identificación se basa en el hecho de que en el lado del servidor es posible determinar si el usuario ha abierto previamente la página analizando la información sobre la carga de Favicon si el navegador no solicitó la imagen de Favicon especificada en los parámetros de la página, luego, la página se cargó antes y la imagen se muestra desde el caché.

Dado que los navegadores permiten configurar su propio Favicon para cada página, es posible codificar información útil a través de un reenvío secuencial del usuario a varias páginas únicas.

Cuantos más redireccionamientos haya en la cadena, más identificadores se pueden determinar (el número de identificadores está determinado por la fórmula 2 ^ N, donde N es el número de redireccionamientos). Por ejemplo, 4 usuarios pueden abordar dos redireccionamientos, 3 – 8, 4 – 16, 10 – 1024, 24 – 16 millones, 32 – 4 mil millones.

La desventaja de este método son los grandes retrasos: cuanto mayor es la precisión, más tardan las redirecciones en abrir la página.

32 redirecciones generan identificadores para todos los usuarios de Internet, pero provocan un retraso de unos tres segundos. Para un millón de identificadores, el retraso es de aproximadamente un segundo y medio.

El método implica trabajar en dos modos: escritura y lectura:

• El modo de escritura genera y almacena un identificador para el usuario que accedió por primera vez al sitio.
• El modo de lectura lee un identificador almacenado previamente.

La elección del modo depende de la solicitud del archivo Favicon para la página principal del sitio: si se solicita la imagen, los datos no se almacenan en caché y se puede suponer que el usuario no ha accedido al sitio antes o al caché el contenido está desactualizado. Según los investigadores, al especificar el encabezado HTTP Cache-Control, es posible lograr el Favicon en la caché hasta por un año.

En modo lectura, al abrir un sitio, el usuario está encadenado a páginas predefinidas con sus Favicons y el servidor HTTP analiza qué Favicons se solicitan del servidor y que se muestran sin acceder al servidor desde la caché. La presencia de la solicitud se codifica como «0» y la ausencia como «1». Para que el identificador se conserve en futuras llamadas, se muestra un código de error 404 en respuesta a las solicitudes de Favicon, es decir, la próxima vez que abra el sitio, el navegador intentará cargar estos favicons nuevamente.

En el modo de escritura, en el bucle de redireccionamiento para páginas que codifican «1», se devuelve la respuesta correcta del Favicon, depositada en la caché del navegador (cuando se repite el ciclo, los datos del Favicon se devolverán desde la caché, sin acceder al servidor), y para páginas que codifican «0» – código de error 404 (si repite el ciclo de redireccionamiento, los datos de la página se volverán a solicitar).

El método funciona en Chrome, Safari, Edge y parcialmente en Firefox. En Firefox para Linux, el uso de Favicons como Supercookies se ve obstaculizado por una función que evita que el navegador almacene en caché el Favicon.

Curiosamente, los autores del método de autenticación notificaron a los desarrolladores de Firefox sobre esta función hace aproximadamente un año, señalando que había un error en el caché, pero sin mencionar su trabajo y que corregir el error conduciría a la posibilidad de identificación del usuario.

Fuente: https://www.cs.uic.edu

from Linux Adictos https://ift.tt/2ZaKJ4F
via IFTTT

Google dio a conocer hace poco el lanzamiento de un nuevo servicio llamado «OSV» (Open Source Vulnerabilities), que ofrece acceso a una base de datos de información sobre vulnerabilidades en software de código abierto.

El servicio proporciona una API que permite automatizar la formación de solicitudes para obtener información sobre vulnerabilidades, con referencia al estado del repositorio con el código. A las vulnerabilidades se les asignan identificadores OSV separados que complementan el CVE con información ampliada.

En particular, la base de datos OSV refleja el estado de la solución del problema, se indican las confirmaciones con la aparición y reparación de la vulnerabilidad, el rango de versiones vulnerables, los enlaces al repositorio del proyecto con el código y la notificación del problema.

Estamos muy contentos de lanzar OSV (Vulnerabilidades de código abierto), nuestro primer paso hacia la mejora de la clasificación de vulnerabilidades para desarrolladores y consumidores de software de código abierto. El objetivo de OSV es proporcionar datos precisos sobre dónde se introdujo una vulnerabilidad y dónde se solucionó, ayudando así a los consumidores de software de código abierto a identificar con precisión si se ven afectados y luego hacer las correcciones de seguridad lo más rápido posible. Hemos iniciado OSV con un conjunto de datos de vulnerabilidades fuzzing encontradas por el servicio OSS-Fuzz . El proyecto OSV evolucionó a partir de nuestros esfuerzos recientes para mejorar la gestión de vulnerabilidades en código abierto ( marco «Conocer, prevenir, reparar»).

La gestión de vulnerabilidades puede resultar dolorosa tanto para los consumidores como para los encargados del mantenimiento del software de código abierto, y en muchos casos implica un tedioso trabajo manual.

El propósito principal de crear OSV es simplificar el proceso de informar a los mantenedores de paquetes sobre las vulnerabilidades identificando con precisión las versiones y confirmaciones que se ven afectadas por el problema. Los datos presentes permiten a nivel de commits y tags rastrear la manifestación de la vulnerabilidad y analizar la susceptibilidad al problema de derivadas y dependencias.

Además de la búsqueda de vulnerabilidades, también debería automatizar la búsqueda de versiones afectadas. Para ello, el servicio se basa en procesos automatizados de análisis de impacto y bisección. Este último se usa para encontrar la confirmación que introdujo un error particular en el proyecto. 

Cualquiera que utilice una biblioteca de código abierto puede acceder a OSV a través de una API y consultar si una versión en particular se ve afectada por una vulnerabilidad encontrada. Se requiere una clave de API de la consola de API de Google para la consulta.

Para los consumidores de software de código abierto, a menudo es difícil asignar una vulnerabilidad como una entrada de Vulnerabilidades y Exposiciones Comunes (CVE) a las versiones de paquete que están usando. Esto se debe al hecho de que los esquemas de control de versiones de los estándares de vulnerabilidad existentes (como Common Platform Enumeration (CPE) ) no se corresponden bien con los esquemas de control de versiones de código abierto reales, que normalmente son versiones / etiquetas y hashes de confirmación. El resultado son vulnerabilidades pasadas por alto que afectan a los consumidores intermedios.

Por ejemplo, la API permite solicitar información sobre la presencia de vulnerabilidades por número de confirmación o versión del programa. Actualmente, la base de datos contiene cerca de 25 mil problemas identificados en el proceso de pruebas de fuzzing automatizado en el sistema OSS-Fuzz, que cubre el código de más de 380 proyectos de código abierto en C/C ++.

Estamos planeando trabajar con comunidades de código abierto para ampliar con datos de varios ecosistemas de lenguaje (por ejemplo, NPM, PyPI) y elaborar una canalización para que los mantenedores de paquetes envíen vulnerabilidades con un trabajo mínimo.

En el futuro, está previsto conectar fuentes adicionales de información sobre vulnerabilidades a la base de datos. Por ejemplo, se está trabajando para integrar información sobre vulnerabilidades en proyectos en el lenguaje Go, así como en los ecosistemas NPM y PyPl.

Finalmente si deseas conocer más al respecto, puedes consultar el siguiente enlace.

from Linux Adictos https://ift.tt/3cU1SaM
via IFTTT

A muchas personas les encantan las escape rooms, esos sitios donde recrean un escenario de temática muy diversa y donde tendrás que explorar ciertas pistas para poder salir. Pero, con la pandemia, quizás esas zonas cerradas y con grupos de personas en su interior no sean el mejor escenario posible. Por eso, puedes contentarte con títulos como Escape Simulator.

Este videojuego de simulación de este tipo de habitaciones llega a su Alpha, con soporte para Linux, Mac y Windows (llegará a videoconsolas, VR y móviles más adelante). Todo gracias a los esfuerzos de Pine Studio y que podrás acceder a su lanzamiento este mismo año desde la plataforma Steam de Valve.

El videojuego te lleva a una sala de escape de nueva generación. Escape Simulator representa una novedad dentro de este género, con todo eso que tanto te gusta de las reales, pudiendo explorar y resolver algunos acertijos para poder escapar. Incluso podrás mover muebles, romper algunos objetos para mirar dentro, o forzar algunas cerraduras. Todo sea por conseguir el fin esperado.

El videojuego se puede jugar de forma individual, y también online multijugador en modo colaborativo. Y las características más destacables son:

• 15 habitaciones diferentes para descubrir tus talentos en Escape Simulator. Además, están divididas en tres escenarios «A la deriva en el espacio», «Laberinto de Egipto» y «Edgewood Mansion». Diseñados por ExitGames y Enigmariumu.
• Una jugabilidad basada en simulador, por lo que te permitirá hacer bastantes cosas. No se asemeja a otros juegos en los que estás mucho más limitado. Aquí podrás sostener, arrojar, romper, desplazar, etc.
• Modo multijugador cooperativo, para jugar como en una escape room real, con un grupo de amigos que puedan ayudarte a resolver el problema.
• Además, habrá fichas secretas para los que buscan un desafío adicional.
• Community Escape Simulator está pensado para que cada semana se lancen nuevas habitaciones, diseñadas por parte de la comunidad, por lo que habrá más contenido en el futuro…

from Linux Adictos https://ift.tt/3aOSW3w
via IFTTT

Lo confieso, me encantan los paquetes Snap. Son una forma rápida de instalar, probar y desinstalar programas. Además me recuerda lo que alguna vez fue lo mejor de Ubuntu, una distribución que no tenía miedo de probar cosas nuevas sin importar lo que pensara el resto de la comunidad linuxera. Claro, que eso fue antes de que Shuttleworth perdiera el interés en el mercado doméstico y Ubuntu comenzara a transformarse en un clon de Fedora pero basado en Debian.

Pero, así como me gustan los Snap, odio los títulos de post que pretenden decirme lo que tengo que hacer. Me refiero a los del tipo «Programas que no te puedes perder» o «Distribuciones que tienes que instalar». Por lo tanto, este post no te dice que hagas nadas. Si quieres puedes probar estos programas y contarte que te parecieron. Y, si no quieres, no.

Paquetes en formato Snap. Algunas recomendaciones

OBS Studio

OBS Studio es el programa si quieres hacer streaming en servicios como Twitch, Facebook Live o Youtube. También puedes usarlo para crear y editar video desde diferentes orígenes. En este caso tenemos algo más que un paquete en formato alternativo ya que los desarrolladores integraron prestaciones que no se encuentran en las versiones por defecto.

Algunas de las características son:

• Soporte para codificación de video acelerada en Nvidia, AMD e Intel.
• Plugin para cambio de escena automático.
• Plugin para grabar sitios web.
• Plugin para buscar medios almacenados en disco.
• Creador de salvapantallas para dvd.
• Utilizar imágenes de cámaras DSLR mediante gPhoto.
• Usar Gstreamer para codificar videos.
• Posibilidad de mover un recurso durante una transición entre escenas.
• Capasidad de repetir la reproducción de un recurso en cámara lenta.
• Soporte para cámara virtual.

En la página del proyecto en la tienda de Snap hay instrucciones adicionales para la instalación.

Brave

No todo el mundo es fanático del navegador Brave después de la metida de pata cuando insertaban un enlace referido sin autorización. pero, realmente es un gran navegador con muchas opciones de privacidad y, que busca una forma de compatibilizar las necesidades de los creadores de contenidos con los derechos a navegar sin interferencias de los internautas.

Por algún motivo, Brave no tenía una forma fácil de instalarse en Linux, pero recientemente volvió a estar disponible en la tienda de Snap.

Skype

A esta altura del partido, recomendar Skype puede parecerse a recomendar MSN Messenger. Después de todo, los que no están usando WhatsAPP se comunican por Telegram o Signal.  Sin embargo, el cliente de video llamadas y chat de Microsoft sigue teniendo su lugar en el mundo.

Hace poco perdí mi acceso a la cuenta de Amazon.  Un ordenador decidió que había actividad sospechosa y me exigió que validara mi identidad pulsando el enlace que enviaban a mi teléfono. El problema es que yo ya no tenía acceso a ese número. La única alternativa era llamar a EE.UU para validar mi identidad.

En aquel momento pagaba una suscripción a Microsoft que incluía una cantidad de minutos de llamada a teléfonos de línea desde Skype, por lo tanto decidí instalar la aplicación.

Hacía años que no usaba Skype, y me sorprendió  por la calidad del sonido y la facilidad de establecer la comunicación . Además su capacidad para armar grupos de Chat y hacer videollamadas no tiene nada que envidiarle a las aplicaciones de moda.

Si consigues que tus contactos la instalen, puedes descargar Skype desde aquí.

KeePassXC

No sé si será por la edad o el stress, pero mi memoria no es lo que era. He llegado a olvidarme del pin del cajero inmediatamente después de haberlo cambiado. Ni hablemos de la necesidad de recordar las contraseñas complejas que recomiendan los especialistas en seguridad informática.

De hecho pasé un momento incómodo cuando el operador de Amazon me pidió que nombrara algunas de mis compras para recobrar el acceso. Por suerte  recordé por aproximación algunos títulos. Inmediatamente decidí instalar KeePassXC.

Este programa es mucho más que un gestor de contraseñas multiplataforma (Windows, Mac y Linux) ya que permite guardar en forma cifrada contraseñas, nombres de usuario, enlaces, documentos y notas.

El programa permite generar contraseñas e integrarse con los navegadores Chrome y Firefox.

Si quieres hacer recomendaciones sobre tus paquetes en formato Snap preferidos, ahí abajo tienes el formulario de comentarios. Me encantará leerte.

from Linux Adictos https://ift.tt/2N2r2Jt
via IFTTT

Más temprano les comentaba la propuesta de una legisladora del partido verde australiano de que el Estado administre su propio buscador como reemplazo a Google. Sin embargo, por muy atractiva que suene la propuesta, puede no ser tan fácil de poner en práctica.

El escenario

Todo comenzó cuando la Comisión de la Competencia y los Consumidores decidió enviar un proyecto de ley que establece un procedimiento de arbitraje. Este procedimiento es voluntario para los medios de comunicación  tradicionales pero obligatorio para las empresas de tecnología. El objetivo es nivelar el campo de juego haciendo que el buscador y Facebook (los destinatarios de la norma) negocien con los medios formas de compensación por el uso del contenido y las formas en que los cambios en el algoritmo de indexación afectan al posicionamiento.

En verdad Google tampoco se quedó quieta y mientras amenazaba con irse ya se apresuró a negociar con algunos editores. Por el lado del gobierno decidieron tenderle una mano a los competidores, especialmente a Bing.

La propuesta verde

Por su lado, el partido de centroizquierda conocido como los verdes hizo su propia propuesta. En un comunicado de prensa escribieron:

La amenaza de Google de abandonar Australia demuestra que no podemos depender de las empresas para proporcionar servicios esenciales como el acceso a la información en línea. Esta es una oportunidad para que el gobierno investigue la creación de un motor de búsqueda de propiedad pública que podría ser la puerta de entrada a Internet para los australianos. Esto significaría que los australianos podrían buscar en Internet con la tranquilidad de que sus datos no se venden a anunciantes y empresas.

Internet es un servicio esencial para la mayoría de los australianos. Actualmente, el acceso a Internet está controlado por un pequeño número de empresas muy poderosas. No deberíamos buscar otro gigante extranjero para llenar el vacío de Google, ya sea Microsoft o cualquier otro, ya que seguirán lucrándose con los datos de los australianos y estarán en deuda con los intereses de los accionistas. Un motor de búsqueda independiente y de propiedad pública sería un paso importante para restaurar un Internet libre y abierto.

Por qué un buscador administrado por el Estado no es una propuesta factible

En el papel la propuesta verde suena genial:

Un motor de búsqueda de propiedad pública que rinda cuentas al público y no a los accionistas podría establecerse con las mejores prácticas mundiales de privacidad de datos para garantizar que los usuarios son dueños de sus propios datos y tienen control sobre los datos que se recogen sobre ellos y cómo se utilizan.

Pero, para los especialistas hay bastantes obstáculos a tener en cuenta

En principio, el funcionamiento de un buscador es bastante sencillo. uno escribe una palabra o frase y recibe un listado de sitios web relacionados con la búsqueda. Pero, ¿Cómo se determina cuales son los sitios web relevantes y en que orden se muestra?

Los buscadores principales determinan los resultados en función de diferentes parámetros incluyendo ubicación, búsquedas anteriores, búsquedas realizadas por otros usuarios del mismo tema, etc.

Además deben tenerse en cuenta las peculiaridades del idioma; sinónimos, palabras con diferentes significados, errores de tipeo y faltas de ortografía. Y, no olvidemos las particularidades del idioma inglés de escribir de una forma y pronunciar de otra.

Indexado y búsqueda

Google lleva más de dos décadas perfeccionando su algoritmo. Aunque, es cierto que hay soluciones de código abierto que los australianos podrían adoptar para ahorrarse trabajo, pasará tiempo para que alcance el mismo nivel de calidad.

Pero, una vez que tengas el algoritmo se presenta otro problema. Completar la base de datos. Sin dudas, el gobierno australiano puede obligar a todos los sitios con dominio local a registrarse en el buscador, pero, no podrá hacer nada con los sitios de otros países. Por lo tanto, el hipotético buscador australiano deberá implementar un mecanismo para rastrear la World Wide Web e indexar su contenido.

Y, por si fuera poco, deberá mostrar los resultados con rapidez. Desde Argentina Google tardó menos de 1 minuto en recuperar los 98000 resultados de la búsqueda «LinuxAdictos» Sin dudas hablamos de una inversión en hardware considerable.

from Linux Adictos https://ift.tt/3rvmtX0
via IFTTT

Seguro que en multitud de ocasiones estás grabando algo y deseas silenciar el micrófono mientras estás tecleando para que no se escuche el sonido del teclado. Pero estar parando el micrófono al comenzar a escribir en tu teclado y reanudarlo cuando lo terminas no es nada práctico, eso sería bastante incómodo de no ser porque existen programas como Hushboard.

Con este nuevo programa, podrás hacer que en tu distro Linux se silencie automáticamente el micrófono mientras escribes y automáticamente se reactive cuando detienes la escritura. Así, tus grabaciones saldrán perfectas, sin ese sonido de los impactos de tus teclas. Además, también lo podrás usar en videollamadas, lo que puede ser interesante para el teletrabajo.

Es una simple aplicación que usa PyGTK3 para anclarla en el menú de tu escritorio, en la zona de arriba, y estará siempre al a espera de que comiences a escribir para detener el micrófono sin que tengas que hacer nada. Además, podrás ver que está funcionando gracias al icono de Hushboard que muestra el estado: activado o silenciado. Incluso podrás pinchar en él para salir de él y dejar de usarlo.

Un funcionamiento muy simple que usa PulseAudio para funcionar, y que actualmente se encuentra empaquetada para diversas distros mediante parquetes Snap, y también en AUR para Arch Linux. No obstante, en Ubuntu funcionará de forma predeterminada bastante mejor que en otras, ya que, por ejemplo, Ubuntu tiene algunas extensiones en GNOME que se necesitan para que el indicador aparezca en pantalla, como AppIndicator y KStatusNotifierItem Support. Con eso sería suficiente…

Si te interesa instalar Hushboard en tu distro, puedes acceder al paquete Snap desde aquí. O también a AUR si estás usando Arch Linux o derivados. Y si prefieres instalarlo desde el código fuente, también puedes usar este otro enlace al sitio de GitHub…

from Linux Adictos https://ift.tt/2YVMJxw
via IFTTT

En el artículo anterior les había contado la pelea entre Google y el gobierno de Australia por la decisión de la Comisión Australiana para la Competencia y los Consumidores de imponer a dicha empresa y a Facebook un código de negociación. De acuerdo a dicho código ambas están obligadas a someterse a un proceso de negociación con los medios de comunicación del país si estos lo solicitan.

Mientras desde Google amenazan con irse, los australianos no dudan en que podrán arreglárselas perfectamente.

La alternativa a Google ¿Privada o estatal?

Por el lado del gobierno de Australia se ilusionan con que otra empresa ocupe el lugar que hipotéticamente quedaría vacío. Se sabe que el Primer Ministro tuvo conversaciones con Satya Nadella, el máximo ejecutivo de Microsoft.

Hay precedentes. Durante mucho tiempo Coca Cola no se vendió en algunos países porque se negó al requerimiento de las autoridades locales de hacer pública su fórmula. En esos países Pepsi se convirtió en líder del Mercado.
De acuerdo al Ministro de Comunicaciones, Ciberseguridad y Arte, Paul Fletcher:

No me considero alguien que proporcione valoraciones de productos y está claro que Google tiene una cuota de mercado mucho mayor en nuestro país que Bing, dijo. Pero lo que está claro por la reunión iniciada por Microsoft … es que están muy significativamente interesados en la oportunidad de crecer en el mercado si Google desea retirarse.

Una propuesta de los verdes

Sin embargo, no todo el mundo está de acuerdo con que la solución esté en la empresa privada.

Sarah Hanson-Young es senadora por Australia del Sur y milita en los Verdes Australianos (Australian Green) Entró en el parlamento en el 2008 y fue reelecta otras 4 veces. Forma parte de los comités de Comunicaciones y Ambiente.

Según declaró:

El gobierno necesita un plan para que los australianos puedan seguir accediendo a la información esencial en línea si el buscador de Google desaparece. Necesitamos un motor de búsqueda independiente que se gestione en interés del público y no en beneficio de un gigante empresarial

La amenaza de Google de abandonar Australia demuestra que no podemos depender de las empresas para proporcionar servicios esenciales como el acceso a la información en línea. Esta es una oportunidad para que el gobierno investigue la creación de un motor de búsqueda de propiedad pública que podría ser la puerta de entrada a Internet para los australianos

Para la legisladora esto significaría que los australianos podrían buscar en Internet sabiendo que sus datos no se venden a anunciantes y empresas.

Sobre las ventajas del motor de búsqueda que propone, afirmó:

Un motor de búsqueda de propiedad pública e independiente sería un paso importante para restaurar una Internet libre y abierta.

Un motor de búsqueda de propiedad pública que rinda cuentas al público y no a los accionistas podría establecerse con las mejores prácticas mundiales de privacidad de datos para garantizar que los usuarios son dueños de sus propios datos y tienen control sobre los datos que se recogen sobre ellos y cómo se utilizan»

Por el contrario, si se reemplazara a Google por otra empresa:

Seguirán lucrándose con los datos de los australianos y estarán en deuda con los intereses de los accionistas

Nada más que una amenaza

De todas formas, lo más probable es que lo de Google solo se trate de una amenaza vacía.  La empresa acabo de lanzar en Australia una versión limitada de su «escaparate de noticias». Según Google

ofrece una visión mejorada de los artículos y pretende brinda a los editores de noticias participantes más formas de compartir noticias importantes con los lectores, a la vez que tienen «un control más directo de la presentación y de su marca.

El producto estará disponible en Google News en Android, iOS y la web móvil, y en Discover en iOS.

Esta primera edición del escaparate de noticias en Australia contará con la participación de siete editores de noticias locales.

Igual, espero que la propuesta de Sara prospere y se copie en otros países.

from Linux Adictos https://ift.tt/3pXPXwn
via IFTTT

Un país sin Google puede parecer imposible. Pero, para Paul Fletcher, Ministro de comunicaciones de Australia, sus habitantes podrían arreglárselas perfectamente con Bing, el buscador de MIcrosoft.

Un país sin Google

La respuesta de Fletcher se produjo por la afirmación de un alto directivo local de Google en el sentido de que sería un riesgo insostenible para sus operaciones en Australia seguir funcionando bajo el nuevo Código de Negociación con los Medios que se está debatiendo en el parlamento de ese país.

La nueva ley obligará tanto a Google como a Facebook a informar  a las empresas de medios de comunicación de los cambios de algoritmo que afecten de manera sustancial al tráfico de referencia de las noticias, a la clasificación de las noticias tras los muros de pago y a cualquier cambio significativo en la visualización y presentación de las noticias y la publicidad directamente asociada a ellas.

Así funcionará el nuevo código

Según las autoridades de la Comisión Australiana para la competencia y los consumidores, el nuevo código adopta un modelo basado en la negociación, la mediación y el arbitraje.

El objetivo es_

…facilitar de la mejor manera posible una auténtica negociación comercial entre las partes, permitiendo resultados negociados comercialmente y adecuados a los diferentes modelos de negocio utilizados por las empresas de medios de comunicación australianas.

De acuerdo a  sus impulsores, el código es lo suficientemente flexible para que un medio de comunicación individual o grupos de empresas de medios lleguen a un acuerdo que se adapte a sus necesidades.

En caso de que las empresas periodísticas y las plataformas digitales no logren llegar a un acuerdo a través de un proceso formal de negociación y mediación de tres meses, será un árbitro independiente quién deberá elegir cuál de las ofertas finales de las dos partes es la más razonable. Tendrá para ello un plazo de 45 días hábiles.

Un código con dos destinatarios

Aunque no descartan sumar otras plataformas en caso de que se detecte un desequilibrio de poder manifiesto, el código está pensado para aplicarse con Google y Facebook.

Rod Sims, presidente de la comisión declaró que:

Hay un desequilibrio fundamental en el poder de negociación entre las empresas de medios de comunicación y las principales plataformas digitales, en parte porque las empresas de noticias no tienen otra opción que tratar con las plataformas, y han tenido poca capacidad para negociar el pago de sus contenidos u otras cuestiones

Queríamos un modelo que abordara este desequilibrio en el poder de negociación y diera lugar a un pago justo por los contenidos, que evitara negociaciones improductivas y prolongadas, y que no redujera la disponibilidad de las noticias australianas en Google y Facebook,

De acuerdo al código serán las organizaciones de medios de comunicación quienes deberán notificar a Google o a Facebook su intención de empezar a negociar el pago por los contenidos, así como cualquier otra cuestión que quieran incluir en el proceso de negociación.

En una declaración ante el congreso australiano,  la directora general de Google Australia y Nueva Zelanda, Mel Silva, dijo que lo que le preocupa a su empresa es que el código exija al buscador pagar por los enlaces y fragmentos en la Búsqueda.

De acuerdo a la ejecutiva, este requisito sentaría un precedente insostenible para su empresa y la economía digital, y cito opiniones de expertos en el  sentido de que el código no es compatible con el funcionamiento de los motores de búsqueda ni con el de Internet.

En lo que fue tomado por los parlamentarios como un chantaje, declaró:

El principio de la vinculación sin restricciones entre sitios web es fundamental para la Búsqueda y, junto con el riesgo financiero y operativo inmanejable, si esta versión del código se convirtiera en ley, no nos daría otra opción real que dejar de hacer que la Búsqueda de Google esté disponible en Australia

Eso sería un mal resultado para nosotros, pero también para los australianos, la diversidad de los medios de comunicación y las pequeñas empresas que utilizan nuestros productos

No todos los políticos australianos miran con entusiasmo el proyecto.

Alex Gallacher, del opositor partido Laborista de centroizquierda, afirmó que el Gobierno fue cómplice de la desfinanciación de los medios de comunicación tradicionales al pasarse a otros métodos de publicidad.

Él se preguntó

Si se hace lo que todo el mundo está haciendo, ¿estamos intentando salvar el Titanic que se está hundiendo?

from Linux Adictos https://ift.tt/2YQ8GxO
via IFTTT

Durante la ultima semana se dieron a conocer las noticias sobre tres vulnerabilidades que fueron identificadas tres vulnerabilidades en el kernel de Linux que potencialmente permiten a un usuario local elevar sus privilegios en el sistema.

Una de las vulnerabilidades reportadas (CVE-2021-26708) fue encontrada en la implementación de sockets con direccionamiento AF_VSOCK, destinados al networking entre aplicaciones huésped y host. El problema se debe a una condición de carrera al configurar bloqueos para manejar el transporte múltiple (transporte múltiple VSOCK).

El investigador que identificó la vulnerabilidad afirma haber creado un exploit funcional que le permite obtener derechos de root en Fedora Server 33, sin pasar por los mecanismos de protección SMEP (Supervisor Mode Execution Prevention) y SMAP (Supervisor Mode Access Prevention). El código de explotación se publicará después de la distribución general de actualizaciones.

La vulnerabilidad ha aparecido desde v5.5-rc1 y se ha corregido en la actualización 5.10.13. En RHEL, el problema solo se manifiesta desde la versión 8.3 (kernel 4.18.0-240), que introdujo el soporte VSOCK. Las ramas estables de Debian y SUSE no se ven afectadas por el problema. En Ubuntu, el estado de la vulnerabilidad aún no se ha determinado.

Otra de las vulnerabilidades reportadas es (CVE-2021-3347) que podría permitir la ejecución de código a nivel de kernel a través de la manipulación futex. El problema se debe al acceso a un área de memoria ya liberada (use-after-free) mientras se maneja una excepción.

Aún no hay información sobre la existencia de un exploit, pero el exploit para la antigua vulnerabilidad futex CVE-2014-3153, que se encontró en 2014, que apareció en el último mes, puede indicar la posibilidad de explotar esta clase de problemas.

El problema se ha manifestado desde 2008 y potencialmente afecta a todas las distribuciones. La vulnerabilidad ya se ha solucionado en SUSE, Fedora y parcialmente en Debian. En Ubuntu y RHEL, el problema aún no se ha solucionado.

Abordar un problema de larga data en el que el espacio de usuario forma parte de futex no se puede escribir. El kernel regresa con un estado inconsistente que puede, en el peor de los casos, resultar en un UAF de un kernel de tareas apilar.

La solución es establecer un estado de kernel consistente que haga las operaciones futuras en el futex fallan porque el espacio de usuario y el kernel el estado del espacio es inconsistente. No es un problema ya que PI funciona fundamentalmente requieren un mapeo RW funcional y si el espacio de usuario
tira de la alfombra debajo de ella, luego puede guardar las piezas que pidió.

La última de las vulnerabilidades reportadas es (CVE-2021-20226) en la interfaz de E/S asincrónica io_uring, causada por acceder a un bloque de memoria ya liberado (use-after-free) mientras se procesan descriptores de archivos debido a una verificación incorrecta de la existencia de un objeto antes de realizar la operación IORING_OP_CLOSE.

De acuerdo a Red Hat, la vulnerabilidad se limita a una denegación de servicio o pérdida de memoria del kernel, pero de acuerdo a la Iniciativa Día Cero, la vulnerabilidad permite a un usuario local para ejecutar código en el nivel del núcleo.

Se encontró una falla de uso posterior a libre en io_uring en el kernel de Linux, donde un atacante local con privilegios de usuario podría provocar una denegación de servicio problema en el sistema

El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto sin incrementar el archivo contador de referencia mientras está en uso.

La vulnerabilidad se ha manifestado desde el kernel 5.5 y se ha corregido en el kernel 5.10.2 (según otras fuentes, se incluyó un parche con la eliminación de la vulnerabilidad en el kernel 5.9-rc1). El problema ya se ha solucionado en Fedora.

En las ramas estables de RHEL y Debian, el problema no aparece. El estado de la vulnerabilidad en Ubuntu aún no se ha determinado.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en los siguientes enlaces.

CVE-2021-26708, CVE-2021-3347, CVE-2021-20226

from Linux Adictos https://ift.tt/3oPN53a
via IFTTT