Microsoft PowerShell Core 6.0 disponible

Microsoft anunció anteayer la disponibilidad de PowerShell Core 6.0 para los sistemas operativos Linux, Windows y macOS, además de un contenedor Docker.

Hace más de un año publicamos que Microsoft convertiría PowerShell en un desarrollo Open Source publicado bajo licencia MIT y que su soporte iría más allá del sistema operativo Windows, convirtiéndose en un software multiplataforma que también abarcaría Mac y Linux. Aquel movimiento significó el fin del desarrollo activo de Windows PowerShell, que ahora solo recibe actualizaciones de seguridad y correcciones críticas.

  • Ahora utiliza la API os_log en Mac y Syslog en Linux.
  • Cambios en las versiones de macOS y Linux para poder soportar caracteres en los nombres de archivo que tradicionalmente no eran admitidos en Windows
  • Se ha estandarizado la sensibilidad a las mayúsculas y las minúsculas, ya que Windows no es case sensitive, mientras que macOS y Linux sí lo son.
  • Incluido soporte para instalaciones de lado a lado, haciendo más fácil el probar nuevas versiones de PowerShell y migrar los scripts existentes a lo largo del tiempo, soportando también compatibilidad hacia atrás.
  • Cambiado el nombre del ejecutable de powershell(.exe) a pwsh(.exe).
  • Retrocompatibilidad con Windows PowerShell.
  • El ya mencionado soporte para Docker.
  • El protocolo PSRP (PowerShell Remoting Protocol) ya funciona con SSH.
  • Codificación de caracteres en UTF-8 por defecto sin usar Byte Order Mark.

Lo mencionado hasta aquí no son las únicas de las muchas novedades que incluye PowerShell Core 6.0. Los que quieran conocerlas todas pueden verlas a través de las notas de lanzamiento publicadas por Microsoft.

Hemos dicho que PowerShell Core 6.0 soporta Linux oficialmente, y la verdad es que lo hace bastante bien, con instaladores Deb y RPM. Además, de forma no oficial, hay un instalador para Kali Linux, un paquete instalador AppImage y hasta instrucciones para instalarlo en Arch Linux. Toda la información sobre como instalarlo se puede obtener desde la página del proyecto en GitHub.

Fuente

Astra Linux Rusia se pasa a Linux en el gobierno

El Ministerio de Defensa de la Federación de Rusia dice adiós a Windows y planea transferir todas sus computadoras a Linux. La distribución GNU/Linux elegida es de fabricación nacional, se llama Astra Linux y pertenece a la empresa RusbBITeh.

Dicha distro ya estaba siendo utilizada por el ejercito ruso en sistemas de mando y control, así como diversos servicios de inteligencia (FSB) y administraciones regionales. Ahora se extenderá a otras estructuras y oficinas del ministerio, que todavía usaban Windows.

A lo largo de este año, las oficinas del Ministerio de Defensa recibirá las primeras instalaciones. Si Astra Linux cumple con los requisitos previstos, se realizará la migración al 100% de los equipos.

El siguiente paso será considerar su incorporación a dispositivos móviles como smartphones y tablets, dentro de ese ambicioso plan que tiene Rusia respecto a tener un sistema operativo propio, también en móviles.

Entre las características que se valoran de la distro, es la compatibilidad con varios procesadores modernos de fabricación rusa (Elbrus-85, Baikal-71, KOMDIV-32), algo importante ahora que las mayores vulnerabilidades de seguridad vienen del lado del hardware.

Entre las medidas de seguridad a nivel de software que incorpora Astra Linux (Edición Especial) se incluye un mecanismo de control de acceso obligatorio, con credenciales asociadas a cada usuario y tipo de operación (lectura, escritura, ejecución), para blindar la información existente.

También nos encontramos módulos de aislamiento para protección de la memoria del kernel, marcado de documentos de impresión, registro de eventos, supervisión de la integridad de archivos, protección del correo electrónico, sistemas de acceso remoto y diversos mecanismos para controlar la información en el subsistema de gráficos.

Por lo demás se trata de una derivada de Debian, que se distribuye para arquitecturas de ordenadores de 64-bits y con un peculiar escritorio llamado Fly, con lo habitual en cualquier distro: su suite de oficina LibreOffice, navegador Firefox, editor gráfico GIMP, gestor de gráficos Inkscape, editor de audio Audacity, etc.

Además de sus versiones “común” y “especial” (la que usan en la Lubianka), Astra Linux incluye una edición que se puede ejecutar en modo live, con soporte de idioma ruso e inglés.

En definitiva un paso en la dirección correcta, que mejorará la seguridad cibernética y la independencia económica del país.

Descarga

Fuente

Tails 3.4 Disponible

Los desarrolladores de Tails, han decidido adelantar por motivos de seguridad el lanzamiento de su última versión (3.4). Hablamos de The amnesic incognito live system, un sistema diseñado para proporcionar anonimato y privacidad a través de la red Tor, basado en Debian y con escritorio GNOME, que se puede ejecutar en modo live, con o sin persistencia.

La distro llega con importantes actualizaciones de seguridad, incluyendo soluciones para Meltdown y mitigaciones de tipo parcial para Spectre, esos fallos de hardware que tanto han dado que hablar últimamente.

Correcciones que en el caso de Meltdown llegan principalmente del lado del kernel, el cual se ha actualizado a Linux amnesia 4.14.03 (sería el equivalente al 4.14.12.2 de la rama principal de Linux), incluyendo los necesarios parches KPTI.

Un camino que ya han recorrido (o están a punto de hacerlo) otras distribuciones. A la vanguardia como siempre las de tipo rolling release y en las últimas horas distros de ciclo regular como Ubuntu y sus derivadas (Linux Mint). En todo caso hay que señalar que el trabajo en arquitecturas de 64-bits, está más avanzado que en las de 32-bits.

Con Spectre la mitigación es mucho más complicada, ya que incluye actualizaciones no solo del núcleo de Linux, sino también de otros componentes del software: navegadores web, controladores gráficos (Nvidia), soluciones virtuales, CPU Microcode, etc. A nivel del Linux kernel se están valorando diferentes medidas sobre como afrontarlo, trabajo que según el desarrollador Kroah-Hartman tomará unas cuantas semanas.

Volviendo a Tails, además del kernel vemos que se actualizan por seguridad los siguientes paquetescurl, enigmail, gimp, imagemagick, libav, libxcursor, libxml-libxml-perl, poppler, rsync, samba, sensible-utils y tor.

Se han corregido también algunos errores, como la lentitud que afectaba al inicio del sistema(especialmente desde un DVD Live), la gestión de paquetes Debian (tanto a la hora de instalar paquetes adicionales, como de asegurar la persistencia de los mismos una vez instalados) y se ha actualizado el bloqueador de anuncios, para que funcione de forma correcta con el navegador Tor Browser.

Más información sobre este lanzamiento de Tails 3.4 está disponible en la web del proyecto, donde también encontraréis los diferentes enlaces de descarga (64 bits unicamente).

Descarga

Fuente

herramienta para saber si estás afectado por Meltdown y Spectre

Meltdown y Spectre son las tendencias de los últimos días, prácticamente no se habla de otra cosa y es que no es para menos, ya que son probablemente las vulnerabilidades más importantes de la historia. Afectan gravemente a la seguridad de nuestros sistemas y si el sistema es de una empresa o tienes datos relevantes el problema es mucho más grave. No obstante siempre se piensa que solo están afectados los equipos de sobremesa, portátiles, servidores y supercomputadoras, pero los daños van más allá y afectan a muchos más dispositivos, como los basados en cores ARM y ahí se incluyen desde tablets, smartphones, algunos dispositivos IoT, industriales, domótica, hasta coches conectados.

Como bien sabes tampoco es algo único de Linux ni mucho menos, sino que afecta a diversos sistemas operativos, también Microsoft Windows y macOS están afectados por ello, sin olvidar a iOS y Android. Por tanto pocos se escapan de estas amenazas, aunque bien es cierto que ciertas arquitecturas de CPUs se libran y que si tenemos un chip de AMD probablemente las posibilidades de explotación de estas vulnerabilidades sean menores, pero eso no quiere decir que no exista riesgo alguno.

En caso de que el resultado haya sido en rojo VULNERABLE leer siguiente aparatado…

¿Qué hacer si estoy afectado?

La mejor solución, como algunos dicen, pasa por cambiar a una CPU o microprocesador que no esté afectado por el problema. Pero esto no es factible para muchos de los usuarios por falta de presupuesto u otros motivos. Además, los fabricantes como Intel siguen vendiendo microprocesadores afectados y que han sido lanzados hace poco, como Coffee Lake, puesto que las microarquitecturas suelen tener largos tiempos de desarrollo y ahora se trabaja en el diseño de futuras microarquitecturas que aparecerán en el mercado en próximos años, pero todos los chips que se están comercializando ahora y que probablemente se comercialicen en los próximos meses seguirán estando afectados a nivel de hardware.

Por eso, en el caso de padecer este mal y necesitar “solucionarlo” no nos queda otra que parchear nuestro sistema operativo (no olvides los navegadores, etc.), sea cual sea, y también actualizar todo el software del que disponemos. Si tener bien configurado el sistema de actualizaciones era ya muy importante, ahora más que nunca debes mantenerte al día de las actualizaciones, ya que con ellas vendrán los parches que solventan desde la parte del software el problema de Meltdown y Spectre, no sin una pérdida de rendimiento como ya dijimos…

La solución no es complicada para el usuario, no tenemos que hacer nada “especial”, simplemente asegurarnos de que el desarrollador de nuestra distribución ha lanzado la actualización para Meltdown y Spectre y que la tenemos instalada. Más información al respecto.

Si quieres, puedes comprobar si se instaló el parche (en caso de necesitarlo) para Meltdown en tu distro con este comando:

dmesg | grep “Kernel/User page tables isolation: enabled” && echo “Tienes el parche! :)” || echo “Ooops…no tienes la actualización instalada en tu kernel! :(”

Pérdida de rendimiento: se hablaba del 30% en algunos casos, pero dependerá de la microarquitectura. En arquitecturas más antiguas la pérdida de rendimiento puede ser muy severa debido a que las ganancias de rendimiento que tienen estas arquitecturas se basan principalmente en las mejoras aportadas por la ejecución OoOE y el TLB… En arquitecturas más modernas se habla de entre el 2% y el 6% dependiendo del tipo de software en ejecución para usuarios domésticos, posiblemente en centros de datos las pérdidas sean bastante superiores (sobre 20%). Según ha reconocido la propia Intel, tras quitarle importancia por lo que se les venía encima, el rendimiento en procesadores anteriores a Haswell (2015) la caída de rendimiento será mucho peor que ese 6% incluso para usuarios normales…

Fuente

Se rediseña el Kernel Linux para combatir a Meltdown y Spectre

Varios equipos de investigación independientes han descubierto Meltdown y Spectre, unas graves vulnerabilidades que afectan a la mayoría de procesadores (desde 1995). Un fallo de diseño en el hardware, que se da con especial incidencia en los chips desarrollados por Intel.

Son fallos de seguridad de tipo catastrófico, que afectan a los principales sistemas operativos. Por tanto a millones de dispositivos (tanto ordenadores como móviles), además de todo tipo de servicios en la nube y de tipo virtual. Lo suficiente para poner en estado de alerta a medio Silicon Valley, los hackers del kernel incluidos.

En spectreattack nos dan amplia información de ambos ataques, incluyendo enlaces a sus diferentes papers. Pero resumiendo la cuestión:

  • Spectre: permite robar contenido engañando a aplicaciones para que filtren información. Un poco de JavaScript en una web y dejar que Chrome o Firefox hagan el resto. Por lo que sabemos hasta ahora, no es una ataque que se pueda prevenir por completo, mediante simples modificaciones de software.
  • Meltdown: rompe las barreras del hardware y permite acceder a todos los contenidos de la memoria, que deberían ser inaccesibles. Es decir, derrite cualquier barrera de seguridad entre los programas y el núcleo. Un caso posible de ejecución sería que alguien alquilara un espacio en la nube, en un hosting compartido y se hiciera con las credenciales de todos los demás (de una casa de cambio de criptomonedas por ej.). Servicios como Amazon, ya están recomendando a sus clientes que actualicen su software para solucionar este fallo.

Ambos errores tienen su raíz en el procesador, en el uso de una técnica conocida como ejecución especulativa, que predice la ejecución de un programa y se utiliza para mejorar el rendimiento.

Se considera que Spectre es más difícil de explotar, pero también de mitigar. Además existen diferentes variantes de ejecución. Navegadores como Chrome y Firefox son vulnerables al mismo y están trabajando en solucionarlo.

Las soluciones propuestas degradan el rendimiento, especialmente en el caso de Meltdown que afecta a Intel (entre un 5-30% dependiendo del tipo de uso y equipo). Mientras que Spectreapenas incide en el desempeño del procesador, pero además de Intel también concierne a AMD y ARM.

Otras arquitecturas como IBM System Z, POWER8 (Big Endian y Little Endian), y POWER9 (Little Endian), también están afectadas.

Tanto Intel como AMD y ARM han publicado diversas notas dando respuesta a esta cuestión. Recomiendo leerlas con una pizca de espíritu crítico, porque en ellas hay mucho –especialmente en el caso de Intel– de relaciones públicas y cubrirse ante cualquier tipo de reclamación.

Estos fallos además de que deberían obligar a un rediseño del hardware de futuros chips, suponen la incorporación de nuevas medidas de seguridad al kernel de Linux, con un coste negativo en cuanto al rendimiento de la CPU.

En concreto de KPTI (Kernel Page Table Isolation), previamente conocido como KAISER o en plan ya más coloquial como FUCKWIT (“Forcefully Unmap Complete Kernel With Interrupt Trampolines”).

Se trata de un parche para Meltdown –que complementa otras defensas proactivas como ASLR–, el cual ya ha sido incluido en Linux 4.14.11 y otras versiones LTS anteriores (4.9.74, 4.4.109, 3.16.52, 3.18.91, 3.2.97).

KPTI aísla mejor el espacio de usuario del espacio de memoria del núcleo, separando su tablas de paginación completamente. Lo que antes era compartido, ahora son dos sets de tablas diferentes.

Esto trae como consecuencia una disminución del rendimiento (aquí tenéis una comparativa con PostgreSQL). Algo que dependerá de la cantidad de llamadas al sistema, dado que con KPTI se está purgando continuamente el uso de la memoria cache (TLB). Linus Torvalds lo estima en un 5%, pero también comenta que en las CPU viejas –que no incluyen PCID– el impacto será mayor.

Destacar que esta implementación no es incluida en procesadores AMD, ya que tal como nos recuerda este parche (mejor publicidad imposible), dicho fabricante no se ve afectado por Meldown.

En cuanto a Intel, la verdad no podemos estar nada contentos con su seguridad en los últimos tiempos. Al backdoor de Intel ME ahora se le suma esto. A Torvalds tampoco le hace gracia:

I think somebody inside of Intel needs to really take a long hard look
at their CPU’s, and actually admit that they have issues instead of
writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be
written with “not all CPU’s are crap” in mind.

Or is Intel basically saying “we are committed to selling you shit
forever and ever, and never fixing anything”?

Because if that’s the case, maybe we should start looking towards the
ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:
– Intel never intends to fix anything

OR

– these workarounds should have a way to disable them.

Which of the two is it?

Aparte de diversas pruebas de concepto que ya han sido publicadas, no se conoce que Meltdown y Spectre hayan sido utilizados “in the wild”.

De todas maneras habrá que estar atento a los acontecimientos en próximas fechas, tanto del lado de desarrollo de nuevas contramedidas, como el posible impacto que tenga en el rendimiento de nuestros equipos.

Fuente

Fsociety: pack de herramientas hacking

Para nadie es un secreto que desde la aparición de Mr. Robot: una serie Geek que no te querrás perder el interés por el hacking ha crecido aceleradamente, hemos observado también una gran pasión por el uso de distro como Kali Linux y también nos llegan muchas personas buscando herramientas para hacking.

Toda esta revolución en torno a la seguridad informática, la ciberdelicuencia, el hacking ético y demás, ha traído la creación de nuevas suites de aplicaciones y también de nuevos contenidos, en esta ocasión nos hemos conseguido con la grata sorpresa de que existe una suite llamada fsociety Hacking Tools Pack que agrupa todas las aplicaciones utilizada en Mr Robot y las complementas con otra serie de aplicaciones para hacking.

¿Qué es Fsociety Hacking Tools Pack?

Es un pack de herramientas para hacking multiplataforma y de código abierto, que agrupa una serie de comandos y aplicaciones relacionadas a la seguridad informática y al hacking, teniendo como particularidad que se asegura de tener disponible aquellas aplicaciones utilizadas en la famosa serie de televisión Mr. Robot.

Este avanzado framework nos permite realizar pruebas de penetración y viene equipadas con aplicaciones que tienen como objetivos recopilar información, descubrir contraseñas, realizar pruebas inalámbricas, explotar vulnerabilidades, hacer ataques a aplicaciones web públicas y privadas, realizar exploit, además de aplicar técnicas de Sniffing y Spoofing.

Son más de 50 aplicaciones que se pueden instalar automáticamente en cualquier distro Linux, el objetivo de Fsociety Hacking Tools Pack es brindan facilidades para la iniciación en el hacking y a su ves agrupar herramientas actualizadas en torno a la seguridad informática. Un detalle de cada una de las herramientas que conforma este pack puede ser encontrado acá.

¿Cómo instalar Fsociety Hacking Tools Pack?

La instalación de este pack de herramientas para hacking es sumamente sencilla (incluso podemos utilizar las herramientas sin necesidad de instalar solo ejecutando la aplicación python de la suite), los pasos para realizar la instalación o actualización de las aplicaciones en nuestra distro son los siguientes:

Abrir una terminal y ejecutar los siguientes comandos:

git clone https://github.com/Manisso/fsociety.git
cd fsociety && python fsociety.py

Esto nos ejecutará desde la terminal el Menú de fsociety, donde podrás o bien probar las aplicaciones que la conforma o lo recomendado instalar o actualizar todo el pack de herramientas para hacking. En el caso de instalación simplemente elijamos la opción 0, luego elijamos y disfrutemos de la suite de aplicaciones.

Un buen vídeo explicativo sobre está herramienta y su uso puede ser visualizado a continuación:

Fuente

EasyTag: Editor de etiquetas para biblioteca de música

En el siguiente artículo vamos a echar un vistazo a EasyTag. Este es un editor gráfico que tiene como tarea ver y editar las etiquetas de nuestra biblioteca de música. Soporta archivos del tipo: MP3, MP2, MP4/AAC, FLAC, Ogg Vorbis y Musepack. La edición podremos hacerla de manera individual o masiva. Con el podremos etiquetar cientos de canciones con un par de clics de manera sencilla y cómoda. La interfaz es bastante intuitiva y fácil de manejar.

EasyTag es  una herramienta a tener en cuenta, entre las muchas que existen para organizar las discografías que guardemos en nuestro equipo. El reproductor de música ya no se volverá loco con confusas etiquetas. EasyTAG es una aplicación de código abierto, simple y multiplataforma. Esta herramienta está escrita en C y GTK +. Los paquetes se han traducido a muchos idiomas. Este es un editor gráfico para Gnu/Linux y Windows distribuido bajo la licencia general pública GNU (GNU general Public license GPL).

Características generales de EasyTags

  • Con este programa vamos a poder ver, editar y escribir etiquetas de archivos de música MP3, MP2 (etiqueta ID3 con imágenes), archivos FLAC (etiqueta FLAC Vorbis), archivos Ogg Opus (etiqueta Ogg Vorbis), Ogg Speex (etiqueta Ogg Vorbis), archivos Ogg Vorbis (etiqueta Ogg Vorbis), MP4 / AAC (etiqueta MP4 / AAC), MusePack, archivos de audio de Monkey y archivos WavPack (etiqueta APE).
  • Podremos editar campos de etiquetas como: título, artista, álbum, número de disco, año, número de pista, comentario, compositor, original artista / artista intérprete o ejecutante, derechos de autor, URL, nombre del codificador y añadir una imagen adjunta.
  • Tendremos la posibilidad de realizar etiquetado automático sobre el nombre del archivo y directorio para completar automáticamente los campos (máscaras).
  • Capacidad para explorar subdirectorios. El programa puede utilizar recursividad para etiquetar, eliminar, cambiar el nombre, guardar, etc. Puede leer y mostrar información del encabezado del archivo (tasa de bits, tiempo, …)
  • Podremos establecer un campo (artista, título, …) para todos los demás archivos.
  • Finalización automática de la fecha si se escribe una parcial.
  • Tendremos la posibilidad de deshacer y rehacer los últimos cambios realizados.
  • El programa tiene la capacidad para procesar campos de nombre de etiqueta y archivo (convertir letras a mayúsculas/minúsculas). También tendremos la posibilidad de abrir un directorio o un archivo con un programa externo.
  • CDDB  compatible con los servidores Freedb.org y Gnudb.org (búsqueda manual y automática).
  • El programa nos ofrece un árbol navegador basado o una vista por artista y álbum. Tendremos en la interfaz una lista para seleccionar archivos, una ventana generadora de listas de reproducción y una ventana debúsqueda de archivos. En resumen, el programa nos ofrece una interfaz directa y explícita para la interacción del usuario final.

Instalar Easytag en Ubuntu

Primero, antes de comenzar con el proceso de instalación (yo lo voy a instalar sobre Ubuntu 16.04), vamos a tener que agregar el repositorio necesario para EasyTAG. Ejecuta el siguiente en una terminal (Ctrl+Alt+T):

sudo add-apt-repository ppa:amigadave/ppa
sudo apt update
sudo apt install easytag -y

Una vez que Easytag esté instalado, podemos ejecutarlo directamente desde el buscador de aplicaciones de Ubuntu. Simplemente tenemos que escribir easytag en el campo de búsqueda. El icono de la aplicación se mostrará en pantalla. Solo tenemos que hacer clic en él para abrirlo.

Si quieres saber más acerca de la instalación o las características de este programa, puedes consultar varias fuentes. Tanto en la página web de GitHub del proyecto como en la página web de Easytag podrás encontrar solución a las dudas que te puedan surgir en el uso o instalación de este programa.

Fuente

Se rediseñara el kernel para combatir a Meltdown y Spectre

Varios equipos de investigación independientes han descubierto Meltdown y Spectre, unas graves vulnerabilidades que afectan a la mayoría de procesadores (desde 1995). Un fallo de diseño en el hardware, que se da con especial incidencia en los chips desarrollados por Intel.

Son fallos de seguridad de tipo catastrófico, que afectan a los principales sistemas operativos. Por tanto a millones de dispositivos (tanto ordenadores como móviles), además de todo tipo de servicios en la nube y de tipo virtual. Lo suficiente para poner en estado de alerta a medio Silicon Valley, los hackers del kernel incluidos.

En spectreattack nos dan amplia información de ambos ataques, incluyendo enlaces a sus diferentes papers. Pero resumiendo la cuestión:

  • Spectre: permite robar contenido engañando a aplicaciones para que filtren información. Un poco de JavaScript en una web y dejar que Chrome o Firefox hagan el resto. Por lo que sabemos hasta ahora, no es una ataque que se pueda prevenir por completo, mediante simples modificaciones de software.
  • Meltdown: rompe las barreras del hardware y permite acceder a todos los contenidos de la memoria, que deberían ser inaccesibles. Es decir, derrite cualquier barrera de seguridad entre los programas y el núcleo. Un caso posible de ejecución sería que alguien alquilara un espacio en la nube, en un hosting compartido y se hiciera con las credenciales de todos los demás (de una casa de cambio de criptomonedas por ej.). Servicios como Amazon, ya están recomendando a sus clientes que actualicen su software para solucionar este fallo.

Ambos errores tienen su raíz en el procesador, en el uso de una técnica conocida como ejecución especulativa, que predice la ejecución de un programa y se utiliza para mejorar el rendimiento.

Se considera que Spectre es más difícil de explotar, pero también de mitigar. Además existen diferentes variantes de ejecución. Navegadores como Chrome y Firefox son vulnerables al mismo y están trabajando en solucionarlo.

Las soluciones propuestas degradan el rendimiento, especialmente en el caso de Meltdown que afecta a Intel (entre un 5-30% dependiendo del tipo de uso y equipo). Mientras que Spectreapenas incide en el desempeño del procesador, pero además de Intel también concierne a AMD y ARM.

Otras arquitecturas como IBM System Z, POWER8 (Big Endian y Little Endian), y POWER9 (Little Endian), también están afectadas.

Tanto Intel como AMD y ARM han publicado diversas notas dando respuesta a esta cuestión. Recomiendo leerlas con una pizca de espíritu crítico, porque en ellas hay mucho –especialmente en el caso de Intel– de relaciones públicas y cubrirse ante cualquier tipo de reclamación.

Estos fallos además de que deberían obligar a un rediseño del hardware de futuros chips, suponen la incorporación de nuevas medidas de seguridad al kernel de Linux, con un coste negativo en cuanto al rendimiento de la CPU.

En concreto de KPTI (Kernel Page Table Isolation), previamente conocido como KAISER o en plan ya más coloquial como FUCKWIT (“Forcefully Unmap Complete Kernel With Interrupt Trampolines”).

Se trata de un parche para Meltdown –que complementa otras defensas proactivas como ASLR–, el cual ya ha sido incluido en Linux 4.14.11 y otras versiones LTS anteriores (4.9.74, 4.4.109, 3.16.52, 3.18.91, 3.2.97).

KPTI aísla mejor el espacio de usuario del espacio de memoria del núcleo, separando su tablas de paginación completamente. Lo que antes era compartido, ahora son dos sets de tablas diferentes.

Esto trae como consecuencia una disminución del rendimiento (aquí tenéis una comparativa con PostgreSQL). Algo que dependerá de la cantidad de llamadas al sistema, dado que con KPTI se está purgando continuamente el uso de la memoria cache (TLB). Linus Torvalds lo estima en un 5%, pero también comenta que en las CPU viejas –que no incluyen PCID– el impacto será mayor.

Destacar que esta implementación no es incluida en procesadores AMD, ya que tal como nos recuerda este parche (mejor publicidad imposible), dicho fabricante no se ve afectado por Meldown.Fuente

setup_force_cpu_cap(X86_FEATURE_ALWAYS);

– /* Assume for now that ALL x86 CPUs are insecure */
– setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

En cuanto a Intel, la verdad no podemos estar nada contentos con su seguridad en los últimos tiempos. Al backdoor de Intel ME ahora se le suma esto. A Torvalds tampoco le hace gracia:

I think somebody inside of Intel needs to really take a long hard look
at their CPU’s, and actually admit that they have issues instead of
writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be
written with “not all CPU’s are crap” in mind.

Or is Intel basically saying “we are committed to selling you shit
forever and ever, and never fixing anything”?

Because if that’s the case, maybe we should start looking towards the
ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:
– Intel never intends to fix anything

OR

– these workarounds should have a way to disable them.

Which of the two is it?

Aparte de diversas pruebas de concepto que ya han sido publicadas, no se conoce que Meltdown y Spectre hayan sido utilizados “in the wild”.

De todas maneras habrá que estar atento a los acontecimientos en próximas fechas, tanto del lado de desarrollo de nuevas contramedidas, como el posible impacto que tenga en el rendimiento de nuestros equipos.

Fuente

DWService: acceso remoto por navegador web

DWServicio es un servicio de control remoto que nos permite acceder a otros ordenadores y sistemas en cualquier parte del mundo, mediante un navegador web, simplemente introduciendo un usuario y contraseña.

Se trata de una iniciativa open source desarrollada bajo la licencia pública de Mozilla, gratuita(aunque aceptan patrocinios y donaciones) y multiplataforma.

Se puede utilizar de diferentes maneras: en función de que instalemos el programa de forma permanente u optemos simplemente por ejecutarlo de forma ocasional. En ese último caso las credenciales que nos crea son de tipo temporal.

Independientemente de eso, podemos descargar el archivo para nuestro sistema operativo/dispositivo (Linux, Windows, Mac OS, Raspberry Pi), ejecutar el comando correspondiente;

sh dwagent.sh

y a continuación elegir, la opción que mas nos convenga.

En mi caso opté por ejecutar sin instalar, lo que me proporciono un usuario y contraseña temporalcon el que loguearme y tener acceso remoto desde otro equipo (el cual no precisa estar registrado en DWService). Ese equipo puede ser una computadora o dispositivo móvil, con tal de que tenga un navegador web moderno, nos vale.

En sus diferentes apartados, DWService nos proporciona acceso directo a la pantalla, los archivos(permitiendo su descarga o compartirlos con diferentes permisos), el editor de texto, registro de eventos y la terminal, del sistema que queremos administrar.

También a los recursos del mismo, proporcionando completa información del consumo de memoria y CPU, tareas y servicios en ejecución (las cuales se pueden detener o iniciar), versión del kernel, procesador, espacio en disco, etc.

En definitiva un servicio muy fácil de usar, con un grado de seguridad razonable, ya que todas las comunicaciones se codifican mediante un certificado SSL (existe la posibilidad de instalar uno personalizado) realizándose desde el puerto estándar (443) para HTTPS y con el código fuente de los diferentes clientes, disponible para todo aquel que lo quiere examinar.

La única información que almacena DWService en sus servidores es la referida a los datos de autenticación, para garantizar su accesibilidad.

Tenéis más información del proyecto, así como los diferentes enlaces de descarga, en su web.

P.D: Gracias al amigo David Garcia, por darnos a conocer este servicio a través de la página de contacto del blog.

Fuente

Fuchsia OS: Google empieza a probar su alternativa a Linux

Fuchsia OS es un sistema operativo desarrollado por Google que supuestamente unificará los desarrollos de Android y Chrome OS, y del cual se ha publicado recientemente una versión experimental para el PixelBook, portátil de alta gama vendido bajo la marca del gigante de Mountain View.

Hasta el día de hoy Fuchsia OS ha sido vendido como un sistema operativo para “ordenadores personales y móviles modernos”, por lo que es obvio que tiene un fuerte enfoque en la convergencia, ese concepto que puso de moda en su día Canonical y que abandonó en abril del año pasado.

Sin embargo, no solo convergencia estaría buscando Google con su futuro sistema operativo, sino también independencia de un software que resulta básico en estos momentos para la compañía: Linux. Tanto Chrome OS como Android se apoyan en Linux para muchas de las funciones más básicas del sistema operativo, pero el apoyarse en un proyecto “ajeno” termina siendo un arma de doble filo para una gran compañía como Google, porque por un lado le podría ayudar a reducir costes, pero por otro jamás tendrá un control absoluto sobre el desarrollo y la orientación.

Aunque parece que básicamente será un proyecto de código abierto que utilizará licencias como Apache 2, BSD y MIT, Fuchsia está destinado a ser un sistema operativo hecho por y para los intereses de Google, por eso la compañía quiere sustituir Linux por un microkernel propio que actualmente se llama Zicron (antes Magenta), construido principalmente con C y Dart. Utiliza Flutter para crear interfaces de usuario basadas en Material Design y se apoyará en la API Mojo para la creación de aplicaciones.

¿Qué pasará con Linux cuando Google empiece a extender Fushia OS? Es importante tener en cuenta que el futuro sistema todavía se encuentra en una fase temprana de su desarrollo, pero es obvio que el kernel más mediático de la computación puede perder un pedazo importántismo del pastel de la computación doméstica si Fuchsia OS termina siendo un éxito.

Android habrá ayudado mucho a extender Linux, pero no ha sido un proyecto determinante para mejorar el kernel. Chrome OS tampoco parece ser un proyecto que haya contribuido mucho a la mejora de Linux (desde la perspectiva del escritorio y la informática de consumo), aunque posiblemente Google haya introducido ciertas mejoras que también habrán servido para los usuarios de Chromium y derivados.

Fuente

Translate »