El mes pasado, muchos usuarios de Linux sonreímos al leer que su cuota de mercado estaba subiendo. Y lo bueno no era que había subido un mes, sino que había subido en abril y había seguido subiendo en mayo, junio y julio. Pues bien: si estabas pensando que el momento de Linux había llegado, algo que por otra parte lleva años anunciándose, la noticia de este mes bajará un poco tu entusiasmo.

Y es que en junio, la cuota de mercado de los sistemas basados en Linux llegó hasta el 3.61%, lo que no es mucho pero sí lo es si lo comparamos con el 2.10% de cuota de mercado que abarcaba un año antes. Además, NetMarketShare no incluye Chrome OS en la lista de sistemas basados en Linux, lo que le impide añadir aproximadamente un 0.5% a su cuota de mercado. Pero, yendo al grano, la noticia de este mes es que la cuota de mercado de los sistemas que usan el kernel que desarrolla Linus Torvalds ha bajado al 3.57%.

El uso de Linux baja un 0.04% en un mes

En cualquier caso, no estamos hablando de una caída muy importante. En total, sólo hemos bajado un 0.04%, lo que es muy poco. Lo mejor para hacernos una idea de cómo ha ido la tendencia es echar un vistazo a la imagen anterior: en marzo, justo antes de los peores momentos de la pandemia, la cuota de mercado se situaba en el 1.36%, llegando a su punto más alto tres meses después con el mencionado 3.61%.

Con todas estos números, lo que sí podemos asegurar es que la historia está interesante. Lo que queda por ver en los próximos meses es si, por el motivo que sea, Linux sigue subiendo su cuota de mercado, se mantiene cerca del 3.5% o, ahora que la gente está volviendo a sus puestos de trabajo, volvemos a bajar del 2%.

from Linux Adictos https://ift.tt/31kO1CT
via IFTTT

Como cada mes aproximadamente y tras la v3.1, Vivaldi Technologies ha lanzado una nueva actualización de su navegador, concretamente Vivaldi 3.2. Como en la versión anterior, algunos de los cambios introducidos esta vez han llegado para mejorar su Pop-out, que no es más que su sistema PiP (Picture-in-Picture o ventana flotante para los vídeos) al que han querido llamar de otra manera para, bueno, desmarcarse un poco del resto. Aunque lo cierto es que es un cambio de nombre que personalmente no me gusta.

Vivaldi 3.2 nos permite controlar mejor el Pop-out, con un botón sencillo en el centro del vídeo para separar la ventana, un nuevo botón para silenciar o des-silenciar el audio y controles de reproducción, lo que incluye una barra deslizable para adelantar o retrasar el vídeo. Por otra parte, también podemos controlar el sonido de las pestañas y con comandos rápidos. A continuación tenéis una lista con otras novedades que han llegado junto a Vivaldi 3.2.

Novedades más destacadas de Vivaldi 3.2

• Mejoras en Pop-out, como el nuevo botón de silenciar el audio.
• Opción para cambiar la posición del botón para cerrar una pestaña.
• En macOS, ahora se pueden usar diferentes perfiles de instalación y directorios para instantáneas y finales.
• En la barra de direcciones, se ha solucionado un problema con las búsquedas POST, otro que no recordaba el tamaño personalizado y la palabra clave debería ser cifrada por porcentaje en la petición.
• Los favoritos tienen ahora siempre el mismo nombre por defecto en las carpetas y se ha solucionado el duplicado incluido.
• Activación de la actualización automática.
• Mejoras en la gestión de las extensiones.
• Mejoras en el gestor de notas.
• La sincronización se ha mejorado en esta versión.
• Mejoras en la interfaz de usuario, lo que incluye curvas más suaves.
• Tenéis la lista de cambios completa en la nota de su lanzamiento, disponible en este enlace (en inglés).

Vivaldi 3.2 ya está disponible para todos los sistemas soportados desde la página de descargas oficial del proyecto, a la que podéis acceder desde aquí. Para los usuarios existentes, la nueva versión estará esperando en el sistema de actualizaciones habitual.

from Linux Adictos https://ift.tt/33zpEEp
via IFTTT

Christoph Hellwig, un destacado desarrollador de kernel de Linux que alguna vez fue miembro del comité de dirección técnica de la Fundación Linux y demandó en un litigio de GPL contra VMware.

Ha propuesto reforzar las protecciones contra la vinculación de controladores propietarios a componentes de kernel de Linux exportados solo para módulos licenciados bajo la GPL.

Para evitar la restricción de exportar símbolos GPL, los fabricantes de controladores propietarios usan un módulo de capa, cuyo código es de código abierto y se distribuye bajo la licencia GPLv2, pero las funciones se reducen a transmitir el acceso del controlador propietario a las API de kernel necesarias, cuyo uso está prohibido directamente desde el código propietario.

Para bloquear tal maniobra, Christoph Helwig preparó parches para el kernel de Linux que aseguran la herencia de las banderas asociadas con la exportación de símbolos GPL.

Hemos tenido un error en nuestra resolución de módulos _GPL desde el primer día,
es decir, un módulo puede reclamar tener licencia GPL y usar exportaciones _GPL, mientras que también depende de símbolos de módulos que no son GPL. Esto se usa como una elusión de las exportaciones _GPL mediante el uso de un pequeño módulo de calce que utiliza las exportaciones _GPL y la otra funcionalidad.

La propuesta se reduce a heredar el indicador TAINT_PROPRIETARY_MODULE en todos los módulos que importan símbolos de módulos con este indicador.

Por lo tanto, si un módulo de capa intermedia GPL intenta importar símbolos de un módulo que no es GPL, el módulo GPL heredará la etiqueta TAINT_PROPRIETARY_MODULE y no podrá acceder a los componentes del núcleo disponibles solo para módulos con licencia GPL, incluso si el módulo importó previamente símbolos de «gplonly «.

El parche de Hellwig ahora está tratando de hacer esto difícil. Los módulos que importan símbolos propietarios están marcados como propietarios y no tienen acceso a los símbolos GPL. 

El cambio se propuso en respuesta a una serie de parches publicados por un ingeniero de Facebook con la implementación de un nuevo subsistema netgpu, que permite el intercambio directo de datos (copia cero DMA) entre la tarjeta de red y la GPU, mientras realiza el procesamiento del protocolo por parte de la CPU.

Esto evitaría el método originalmente planeado por Jonathan Lemon para sus parches y haría que el desarrollo de las capas intermedias para omitir el símbolo GPL sea mucho más difícil, incluso si todavía hay una pequeña brecha, como lo indica.

En la discusión que actualmente están tendiendo diversos desarrolladores del Kernel de Linux también se sugirió el bloqueo inverso: si un módulo importa símbolos EXPORT_SYMBOL_GPL, los símbolos exportados por ese módulo no deben importarse por módulos que no reclamen explícitamente la compatibilidad GPL.

Aquellos sin un módulo importa símbolos EXPORT_SYMBOL_GPL, todos sus símbolos exportados deben tratarse como EXPORT_SYMBOL_GPL.

Christoph Helwig escribió que está 100% de acuerdo con esta propuesta, pero Linus Torvalds no se perderá ese cambio, ya que hará que la mayoría de los subsistemas del núcleo no estén disponibles para los controladores propietarios, debido al hecho de que al desarrollar controladores, los símbolos base se exportan bajo GPL

Los desarrolladores no estaban satisfechos con la disponibilidad de la implementación solo para los controladores NVIDIA patentados a través de la capa GPL proporcionada por estos controladores.

En respuesta a las críticas, el autor del parche indicó que el subsistema no está vinculado a NVIDIA y su soporte se puede proporcionar, entre otras cosas, para interfaces de software para GPU AMD e Intel.

Como resultado, la promoción de netgpu en el núcleo se consideró imposible hasta la disponibilidad de soporte de trabajo basado en controladores gratuitos como AMDGPU, Intel i915 o Nouveau.

Hay que recordar que en el pasado, la comunidad del kernel de Linux ha implementado una variedad de cambios que, a sabiendas o como efecto secundario, han dificultado el desarrollo de módulos propietarios o no compatibles con licencias.

Finalmente si quieres conocer mas al respecto, puedes consultar los detalles dirigiéndote al siguiente enlace.

Fuente: https://lkml.org/

from Linux Adictos https://ift.tt/3guGIPc
via IFTTT

Meow es un ataque que continúa ganando impulso y es que desde hace ya varios días se han dado a conocer diversas noticias en el que diversos ataques desconocidos destruyen datos en instalaciones desprotegidas de acceso público de Elasticsearch y MongoDB.

Además de que también se registraron casos aislados de limpieza (aproximadamente el 3% de todas las víctimas en total) para bases de datos desprotegidas basadas en Apache Cassandra, CouchDB, Redis, Hadoop y Apache ZooKeeper.

Sobre Meow

El ataque se lleva a cabo a través de un bot que enumera los puertos de red DBMS típicos. El estudio del ataque en un servidor honeypot falso ha demostrado que la conexión del bot se realiza a través de ProtonVPN.

La causa de los problemas es la apertura del acceso público a la base de datos sin la configuración de autenticación adecuada.

Por error o descuido, el controlador de solicitud se adjunta no a la dirección interna 127.0.0.1 (localhost), sino a todas las interfaces de red, incluida la externa. En MongoDB, este comportamiento se ve facilitado por la configuración de muestra que se ofrece de forma predeterminada, y en Elasticsearch antes de la versión 6.8, la versión gratuita no era compatible con el control de acceso.

La historia con el proveedor de VPN «UFO» es indicativa, en la que se reveló una base de datos Elasticsearch de 894 GB disponible públicamente.

El proveedor se posicionó como preocupado por la privacidad del usuario y no guardando registros. Contrariamente a lo dicho, había registros en la base de datos emergente que incluían información sobre las direcciones IP, el enlace de la sesión al tiempo, las etiquetas de ubicación del usuario, información sobre el sistema operativo y el dispositivo del usuario, y listas de dominios para insertar anuncios en el tráfico HTTP desprotegido.

Además, la base de datos contenía contraseñas de acceso de texto sin cifrar y claves de sesión, lo que permitió descifrar las sesiones interceptadas.

El proveedor de VPN «UFO» fue informado del problema el 1 de julio, pero el mensaje permaneció sin respuesta durante dos semanas y se envió otra solicitud al proveedor de alojamiento el 14 de julio, después de lo cual la base de datos estuvo protegida el 15 de julio.

La compañía respondió a la notificación de moviendo la base de datos a otra ubicación, pero una vez más no pudo asegurarla adecuadamente. No mucho después, el ataque de Meow la aniquiló.

Ya que el 20 de julio, esta base de datos volvió a aparecer en el dominio público en una IP diferente. En cuestión de horas, se eliminaron casi todos los datos de la base de datos. El análisis de esta eliminación mostró que estaba asociado con un ataque masivo llamado Meow por el nombre de los índices que quedan en la base de datos después de la eliminación.

«Una vez que los datos expuestos fueron asegurados, volvieron a aparecer por segunda vez el 20 de julio en una dirección IP diferente: todos los registros fueron destruidos por otro ataque del robot ‘Meow’», tuiteó Diachenko a principios de esta semana. .

Victor Gevers, presidente de la fundación sin fines de lucro GDI, también fue testigo del nuevo ataque. Afirma que el actor también está atacando las bases de datos expuestas de MongoDB. El investigador observó el jueves que quien está detrás del ataque aparentemente apunta a cualquier base de datos que no sea segura y accesible en Internet.

Una búsqueda a través del servicio Shodan mostró que varios cientos de servidores más también se habían convertido en víctimas de la eliminación. Ahora el número de bases de datos remotas se acerca a 4000 de las cuales más del 97% de estas son bases de datos Elasticsearch y MongoDB.

Según LeakIX, un proyecto que indexa servicios abiertos, Apache ZooKeeper también fue blanco del ataque. Otro ataque menos malicioso también etiquetó 616 archivos ElasticSearch, MongoDB y Cassandra con la cadena «university_cybersec_experiment». 

Los investigadores sugirieron que en estos ataques, los atacantes parecen demostrar a los mantenedores de bases de datos que los archivos son vulnerables a la visualización o eliminación.

from Linux Adictos https://ift.tt/2DjinxE
via IFTTT

En nuestro repaso sobre la computación tras la cortina de Hierro, vamos a hacer un pequeño desvió para contar como los aficionados a la tecnología se las arreglaban en Yugoslavia. En particular nos vamos a referir a un equipo, el Galaksija, que no solo podría ser considerado algo así como un tío abuelo de dispositivos de hardware abierto como la Raspberry Pi, además dio origen a un movimiento que recuerda mucho al de las comunidades de código abierto.

Aunque se consideraba un país socialista, Yugoslavia se las arregló para permanecer independiente de Moscú, bajo el fuerte liderazgo de su presidente vitalicio Josip Broz Tito.

Este país, que ya no existe, estaba conformado por seis repúblicas socialistas; Bosnia y Herzegovina, Croacia, Eslovenia, Macedonia, Montenegro y Serbia.

Junto con India, Egipto, Ghana, e Indonesia, Yugoslavia fundó el Movimiento de los No Alineados, un acuerdo de naciones en desarrollo que aspiraban a mantener su neutralidad durante la Guerra Fría.

Con la amenaza permanente de que su vecino soviético decidiera disciplinar al hermano socialista díscolo, y sin poder recurrir a Washington sin resignar su apuesta por el socialismo, Tito debió encontrar una forma de impulsar la industria local de armamentos y de diversos productos de consumo masivo. Esto requería una capacidad de control que solo podría conseguirse con las computadoras.

El Dr. Rajko Tomović , especialista en robótica, junto con equipos de matemáticos e ingenieros mecánicos comenzó el desarrollo de la industria informática yugoslava. Para los años 80 existían varios modelos de computadoras de producción local que no estaban al alcance del yugoslavo medio, y algunos más importados, aunque esto tampoco era fácil.

Como resultado, el uso de computadoras que en Occidente se destinaban al uso doméstico, en Yugoslavia solo podían hallarse en oficinas gubernamentales, grandes empresas y universidades.

Un joven ingeniero e inventor, Voja Antonić, tuvo acceso al manual de un nuevo chip desarrollado por la RCA. Al leerlo se le ocurrió la idea de construir una computadora cuyos gráficos de 64×48 bloques fueran generados en su totalidad utilizando el microprocesador Zilog Z80A, muy barato y disponible en tiendas de electrónica en toda Yugoslavia.

Opensource a la yugoslava

Dado que el diseño de Antonić simplificaba la construcción y reducía el precio, hizo posible que los usuarios sin conocimientos técnicos pudieran montar el ordenador por si mismos.

Antonić buscaba un lugar para publicar los diagramas de su invento y logró que un amigo común lo conectara con Galaksija, una revista de divulgación científica.

La revista editó un número especial llamado Computadoras en su casa y estaba dedicada en su mayor parte a la computadora de Antonić: incluyendo los diagramas, instrucciones completas para el montaje del circuito y lugares donde conseguir los materiales.

La publicación tuvo una tirada de 120.000 ejemplares y al menos 8.000 lectores aseguraron haber construido su propia Galaksija

El microordenador de Antonić contenía 4K bytes de memoria , y solo podía mostrar tres mensajes de error de una palabra: ¿QUÉ?» Para errores de sintaxis, un ¿CÓMO? si si no se reconocía la instrucción, y LO SIENTO si superaba la capacidad de memoria.

Al igual que otros modelos de la época, Galaksija utilizaba al casete como medio de almacenamiento. Pero, para impedir protecciones anticopia y facilitar la modificación y distribución de los programas, Antonić impidió en su diseño que los programas arrancaran automáticamente. El usuario tenía que escribir un comando para iniciar la ejecución. Esto hacía que el contenido de una cinta pudiera ser editado o duplicado.

A continuación, entro en escena Zoran Modli, un popular locutor de la época. Desde la revista le propusieron tener en el programa un segmento donde transmitir programas por la radio para que los oyentes pudieran grabarlos y luego cargarlos en su computadora. Fue un éxito instantáneo.

Los oyentes comenzaron a escribir programas y enviarlos por correo a la estación. Esos programas incluían contenido de tipo diverso como revistas, invitaciones para fiestas, guías de estudio y juegos. En muchos casos eran mejoras de programas creados por otros oyentes.

Con la muerte de Tito, Yugoslavia entró en un período de incertidumbre política y económica que terminaría con la desaparición del país. Las restricciones se eliminaron y los productos occidentales relegaron a este equipo al arcón de los recuerdos.

from Linux Adictos https://ift.tt/30ucQx8
via IFTTT

Karmbian es el nombre que se le ha dado a este nuevo proyecto de distribución basada en Kali Linux y en Armbian. Es decir, por un lado une lo bueno de una distro diseñada para realizar auditorías de seguridad, ethical hacking, o pentesting. Un conocidísimo proyecto fundado y mantenido por Offensive Security Ltd. Y por otro lado usa ese otro proyecto de sistema operativo especialmente diseñado para placas de desarrollo ARM. Dicho de otro modo, Karmbian es una construcción de Kali Linux usando Armbian Tool Chain y BSP (Broad Support Package).

En definitiva, el resultado es Karmbian, una distro para pentesting que puede funcionar sobre dispositivos ARM. Por ejemplo, podrías instalarla en tu SBC Raspberry Pi, o en la ROCK64, Ordoid N2, en portátiles como el PineBook Pro, y un largo etc. Aunque bien es cierto que si has querido usar Kali Linux sobre chips ARM ya era posible debido a las imágenes que existen en la web oficial de Offensive Security.

No obstante, nunca está de más conocer alternativas y más proyectos similares como Karmbian. Además, debes saber que Karmbian cuenta con soporte para la placa Raspberry Pi 4, y todas las soportadas por Armbian, así como estar optimizada para chips Rockchip RK3399.

Este SoC posee 6 núcleos de procesamiento en forma de clusters. Un grupo está compuesto por Cortex.A72 a 2Ghz, y otro cluster de cuatro Cortex-A53 a 1.5Ghz. Además, integra también una GPU Mali-T860mp4 con soporte para OpenGL 3.2, deco H.256 y VP9, color a 10-bit, resoluciones hasta UHD 4K y 60 FPS, y es compatible con Vulkan 1.0, OpenCL 1.2 y enderScript. 

Karmbian tiene una serie de imágenes disponibles para su descarga de forma gratuita desde su sitio en GitHub en su versión Karmbian 2020.08 (actual al momento de escribir este artículo). Aunque por el momento hay solo unos dispositivos ARM soportados de forma oficial, sus desarrolladores prometen ir agregando más de forma progresiva.

from Linux Adictos https://ift.tt/2DifYTS
via IFTTT

Hackeos como el de Yahoo! hace años, que lo menciono porque fue el que me hizo entender que había que crear contraseñas seguras y no reutilizarlas, u otros como el más reciente de Twitter son ejemplos a gran escala que demuestran que todo lo que se pueda hacer por la seguridad es poco. Por ese motivo, información como la que os traemos hoy nos alegran: hace unas horas se ha anunciado la creación de OpenSSF, que son las siglas de Open Source Software Foundation.

Lo primero que tenemos que decir de OpenSSF es que es un colectivo y que en él participan compañías como Google, Intel, Microsoft o IBM, pero lo que más interesa o llamará la atención de los lectores de un blog como Linux Adictos es que está respaldado por The Linux Foundation, quien también está detrás de proyectos como este de drones. Y es que el software de código abierto está ganando terreno con el paso del tiempo, hasta el punto de que el 69% de los profesionales creen que este tipo de software es importante o muy importante.

OpenSSF, respaldado por The Linux Foundation y con la participación de Google y Microsoft

La intención o el motivo de la creación de la OpenSSF es unir a diferentes líderes de la industria para mejorar la seguridad del software de código abierto, OSS por sus siglas en inglés (open-source software). Para ello, las compañías que forman parte del colectivo se centrarán en crear iniciativas concretas, racionalizando las mejores prácticas recomendadas, entre otras cosas. Jim Zemlin, director ejecutivo de The Linux Foundation, lo explica así:

Creemos que el código abierto es un bien público y en todas las industrias tenemos la responsabilidad de unirnos para mejorar y respaldar la seguridad del software de código abierto del que todos dependemos. Garantizar la seguridad del código abierto es una de las cosas más importantes que podemos hacer, y nos exige a todos en todo el mundo ayudar en el esfuerzo. OpenSSF proporcionará ese foro para un esfuerzo verdaderamente colaborativo entre industrias.

The Linux Foundation también dice que hay muchos desarrolladores y colaboradores involucrados en el proceso de desarrollo del software de código abierto, por lo que es importante que los responsables de la seguridad de sus usuarios u organizaciones puedan comprender y verificar la seguridad de esta cadena de dependencia. La creación de OpenSSF está diseñada para unir proyectos líderes de seguridad de código abierto con las personas y organizaciones que respaldan estas iniciativas.

Los usuarios de Linux solemos estar tranquilos en cuanto a la seguridad del software que usamos pero, sin lugar a dudas, la llegada de la OpenSSF son buenas noticias.

from Linux Adictos https://ift.tt/2PmTPGr
via IFTTT

Los hacks y modificaciones en juegos y consolas no son algo de ahora y han estado muy presentes ya sea para bien o para mal y es que aun que muchas empresas desarrolladoras de videojuegos o consolas se jacten de que su producto no puede ser hackeado y al final termina por cerrarles la boca en cuestión de días.

Muchos hacks los podríamos considerar como “malos”, ya que principalmente estos van enfocados a que los juegos puedan ser instalados de manera gratuita y con ello pasamos a perjudicar a los desarrolladores o empresas que nos entregan nuevos títulos de nuestros juegos favoritos.

Por otra parte, y dejando lo negativo, también las modificaciones llegan a mejorar ciertos aspectos de los juegos ya sea que se brinde la capacidad de poder integrar skins, paisajes, habilidades, entre otras cosas e incluso muchas empresas y desarrolladores han tomado positivamente estos hacks.

Aunque también los ha habido para desbloquear ciertas restricciones en cuanto a calidad de gráficos, ya que cierto juego de XBOX ONE y PC tenía esta limitación (no recuerdo cual) en donde la version para PC mostrara gráficos más bajos que en la consola a pesar de tener un monstruo de tarjeta grafica y al ver que esto era por que el juego estaba configurado asi, pues no muchos lo tomaron de la mejor manera.

Y bueno para que mencionar esto…

Bien la mención de ello es por que navegando por la red me encontré con una noticia que llamo mi atención y que me pareció muy interesante y sobre todo muy buena para poder compartir con nuestros estimados lectores.

Instalan y ejecutan Doom en una VM sobre Minecraft

La noticia que encontré es que dieron a conocer un modding para Minecraft, pero este no es cualquiera. Ya que este permite poder ejecutar una VM sobre el juego y posterior a ello el poder instalar Windows 95 (aun que también no dudo que Linux o cualquier otro) y sobre él pudieron instalar y poder correr Doom.

Aun que el hablar de Windows 95 o Doom no pudiera ser relevante, lo que si es interesante es la capacidad de poder realizar esto.

Además de que no es por algo, pero Minecraft ha ganado la reputación de permitir que los jugadores dejen volar su creatividad. Por supuesto, esta es una de las características de los juegos de tipo sandbox, ya que no necesariamente tienen un objetivo predeterminado por el diseñador del juego.

El jugador es libre de cumplir los objetivos definidos por los desarrolladores del juego. juego o en sí mismo utilizando un panel de herramientas para modificar el contenido, a veces de forma permanente.

El objetivo del sandbox es confiar en la creatividad de los jugadores para resolver los problemas sin imponerle un modo operativo.

Por lo tanto, estos juegos tienen una gran capacidad de reproducción, lo que aumenta la vida útil del juego, ya que esto no se limita al contenido inicial planificado por los desarrolladores, sino a la imaginación y la dedicación de toda la comunidad. jugadores

Y Minecraft es uno de esos juegos donde la comunidad de modding es muy activa; trae varios y variados mods que sirven para mejorar la experiencia del juego, proporcionar contenido o simplemente explorar nuevas posibilidades.

Este es el caso del mod VM Computer, que se basa en Virtual Box, un software de máquina virtual de código abierto que permite la ejecución de sistemas operativos como Windows 95. Con VM Computer, una vez en Minecraft, los jugadores luego puede emular diferentes máquinas virtuales simplemente usando el bloque correspondiente a una caja de PC que usarán para crear discos duros virtuales con el fin de instalar sistemas operativos a partir de archivos ISO.

Naturalmente, la comunidad de Minecraft experimentó con el mod VM Computers y un jugador logró que Doom trabajara en Minecraft; Por lo tanto, es posible iniciar Doom y jugarlo gracias a la máquina virtual de Windows 95 una vez en Minecraft.

Los jugadores definitivamente experimentarán más con este nuevo mod, especialmente una vez que las personas tengan PC que inicien diferentes sistemas operativos en mundos de Minecraft. Incluso puedes jugar Minecraft en una PC en Minecraft.

Finalmente, para los que estén interesados en poder conocer mas al respecto pueden consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/2D6CJdy
via IFTTT

Hace pocos días fue dada a conocer la nueva version de la popular distribución de Firewalls OPNsense 20.7 y en la cual la principal novedad que se destaca es la actualización de la implementación del sistema de detección y prevención de intrusiones en la red Suricata 5.

Para quienes desconocen de OPNsense deben saber que esta es una bifurcación del proyecto pfSense, creado con el objetivo de formar una distribución completamente abierta que podría tener funcionalidad a nivel de soluciones comerciales para implementar cortafuegos y puertas de enlace de red.

Sobre OPNsense

A diferencia de pfSense, el proyecto está posicionado como no controlado por una compañía, desarrollado con la participación directa de la comunidad y tiene un proceso de desarrollo completamente transparente.

La distribución base se basa en el código HardenedBSD 12.1, que mantiene una bifurcación sincronizada de FreeBSD, que integra mecanismos y técnicas de protección adicionales para contrarrestar la explotación de vulnerabilidades.

Entre las posibilidades que OPNsense puede distinguir abrir completamente la herramienta de compilación la capacidad de instalar en forma de paquetes en un ordinario FreeBSD, equilibrador de carga, interfaz web para que las organizaciones conecten a los usuarios a la red (portal cautivo).

Además existen mecanismos de conexiones con estado (firewall con estado en base pf) establecer límites de ancho de banda, filtrar el tráfico, crear VPN basada en IPsec, OpenVPN y PPTP, integración con LDAP y RADIUS, soporte para DDNS (DNS dinámico), un sistema de informes visuales y gráficos.

Además, la distribución proporciona herramientas para crear configuraciones tolerantes a fallas basadas en el uso del protocolo CARP y le permite iniciar un nodo adicional además del firewall principal, que se sincronizará automáticamente en el nivel de configuración y se hará cargo de la carga en caso de una falla del nodo primario.

Para el administrador, se ofrece una interfaz moderna y sencilla para configurar el Firewall, creada utilizando el marco web Bootstrap.

El código fuente de los componentes de la distribución, así como las herramientas utilizadas para la construcción, se distribuyen bajo la licencia BSD.

En cuanto a las imágenes del sistema estas se forman como de LiveCD, aun que también se distribuye una imagen del sistema para escribir en unidades Flash.

¿Qué hay de nuevo en OPNsense 20.7?

Esta nueva version llega con pocos cambios, pero aun así es una version importante, ya que la base del sistema en esta nueva version se ha actualizado con HardenedBSD 12.1, una bifurcación de FreeBSD 12.1, que integra mecanismos de seguridad adicionales y técnicas contra la explotación.

Además como se mencionó al inicio la característica mas destacada de la nueva version es la actualización de Suricata a su version 5.

Con esta actualización podremos encontrar nuevos módulos de análisis y registro para los protocolos RDP, SNMP y SIP.

Además de que en el modo de inspección HTTP, todas las situaciones descritas en el conjunto de pruebas Evader de HTTP están completamente cubiertas.

Otra mejora recibida con Zuricata 5 es el que al soporte para el método de autenticación de cliente TLS JA3 se agrega soporte para el método JA3S.

Y también se destaca que se ha rescrito el código para capturar el tráfico utilizando el marco de Netmap y con ello se agregó la capacidad de usar funciones avanzadas de Netmap, como un interruptor virtual VALE.

De los demás cambios que se destacan:

• Soporte agregado para DHCPv6 Multi-WAN para conectarse a través de múltiples canales.
• Es posible definir sus propias páginas mostradas en caso de errores de conexión a través de un proxy web.
• Se agregó un informe con una representación de información en forma de árbol sobre las conexiones de red.
• API implementada para la gestión de firewall.
• Opciones mejoradas para filtrar registros sobre la marcha.

Descarga la nueva versión de OPNsense 20.7

Si quieres obtener esta nueva versión solamente debes de dirigirte a su página web oficial y en la sección de descargas podrás obtener el enlace para descargar esta nueva versión.

Las imágenes se prepararon en forma de un LiveCD y una imagen del sistema para escribir en unidades Flash el tamaño de la imagen es de aproximadamente 420MB.

from Linux Adictos https://ift.tt/2Dvnzy6
via IFTTT

Después de cinco meses de desarrollo se ha presentado la nueva version de Systemd 246, en la cual la nueva versión incluye soporte para la congelación de la unidad, la capacidad de verificar la imagen del disco mediante firma digital, soporte para la compresión del registro y los volcados de núcleo utilizando el algoritmo ZSTD, entre otras cosas.

Para quienes desconocen de systemd, deben saber que este es un conjunto de daemons de administración de sistema, bibliotecas y herramientas diseñados como una plataforma de administración y configuración central para interactuar con el núcleo del Sistema operativo GNU/Linux.

¿Qué hay de nuevo en Systemd 246?

En esta nueva version se destacan diversos cambios y uno de ellos es el controlador de recursos basado en cgroups v2, con el que se pueden detener procesos y liberar temporalmente algunos recursos para realizar otras tareas. La congelación y descongelación de unidades se controla mediante el nuevo comando «systemctl freeze» o mediante D-Bus.

Otro de los cambios que se destaca es el nuevo soporte añadido para verificar la imagen del disco mediante firma digital. La verificación se realiza utilizando nuevas configuraciones en las unidades de servicio: RootHash y RootHashSignature.

Para las unidades *.mount, se implementa la configuración ReadWriteOnly, que prohíbe montar una partición en modo de solo lectura si no se puede montar para lectura y escritura.

Para las unidades *.socket, se ha agregado la configuración PassPacketInfo, que permite al núcleo agregar metadatos adicionales para cada paquete leído desde el socket.

Para los servicios, la configuración propuesta es CoredumpFilter y TimeoutStartFailureMode/TimeoutStopFailureMode cuando se produce un tiempo de espera al iniciar o detener un servicio).

Además de ello, también se destaca que se agregaron nuevas configuraciones de archivo de unidad: ConditionPathIsEncrypted y AssertPathIsEncrypted para verificar la ubicación de la ruta especificada en un dispositivo de bloque que usa cifrado (dm-crypt / LUKS), ConditionEnvironment y AssertEnvironment para verificar las variables de entorno (por ejemplo, establecido por PAM o al configurar contenedores).

En varios parámetros de línea de comandos y archivos de configuración relacionados con la configuración de claves o certificados, se implementa la capacidad de especificar la ruta a los sockets de Unix (AF_UNIX) para transferir claves y certificados a través de llamadas a los servicios de IPC, cuando no es deseable colocar certificados en almacenamientos de discos sin cifrar.

Además, el servicio systemd-homed recibió agregado la capacidad de desbloquear directorios de inicio utilizando tokens FIDO2 y con el backend de cifrado de partición LUKS agrega soporte para devolver automáticamente bloques de sistema de archivos vacíos al final de la sesión. 

También se agregaron nuevos parámetros de línea de comando del kernel: systemd.hostname para establecer el nombre de host en la etapa inicial de arranque

• udev.blockdev_read_only para restringir todos los dispositivos de bloque asociados con unidades físicas al modo de solo lectura (puede usar el comando «blockdev –setrw» para cancelar selectivamente)
• systemd.swap para deshabilitar la activación automática de la partición de intercambio
• systemd.clock-usec para configurar el reloj del sistema en microsegundos
• systemd.condition-needs-update y systemd.condition-first-boot para anular las comprobaciones ConditionNeedsUpdate y ConditionFirstBoot.

De los demás cambios que se destacan:

• En systemd-networkd, en la sección [DHCPv4], se ha agregado la configuración UseGateway para deshabilitar el uso de la información de puerta de enlace obtenida a través de DHCP.
• En systemd-networkd, en las secciones [DHCPv4] y [DHCPServer], se ha agregado la configuración SendVendorOption para establecer y procesar opciones de proveedores adicionales.
• Systemd-networkd tiene un nuevo conjunto de opciones EmitPOP3 / POP3, EmitSMTP/SMTP y EmitLPR/LPR en la sección [DHCPServer] para agregar información sobre los servidores POP3, SMTP y LPR.
• Cambió el nombre de la configuración de BlackList a DenyList (por compatibilidad con versiones anteriores, se conserva el manejo del nombre antiguo).
• Systemd-networkd ha agregado una gran parte de las configuraciones relacionadas con IPv6 y DHCPv6.
• Se agregó soporte para la comprobación de SNI en la implementación de DNS sobre TLS.
• En systemd resuelto, se ha agregado la capacidad de configurar la redirección de nombres DNS de etiqueta única (de un nombre de host).

Finalmente si quieres conocer el registro completo de los cambios y novedades que se entregaron en este nuevo lanzamiento de systemd 246, puedes consultarlos en el siguiente enlace.

from Linux Adictos https://ift.tt/2PmNf2M
via IFTTT