SoftwareLibre

2022-01-21 00:34:01 Desde Linux Una vulnerabilidad en cryptsetup permitía deshabilitar el cifrado en particiones LUKS2 https://blog.desdelinux.net/wp-content/uploads/2020/05/vulnerabilidad.png Hace poco se dio a conocer la noticia de que fue identificada una vulnerabilidad… Abrir / Cómo

2022-01-21 00:33:57 Desde Linux Realizaron un experimento simulando la red de Tor https://blog.desdelinux.net/wp-content/uploads/2022/01/lead.png Hace pocos dias investigadores de la Universidad de Waterloo y el Laboratorio de Investigación Naval de EE. UU. presentaron los… Abrir / Cómo

2022-01-21 00:33:57 Desde Linux
Una vulnerabilidad en cryptsetup permitía deshabilitar el cifrado en particiones LUKS2

https://blog.desdelinux.net/wp-content/uploads/2020/05/vulnerabilidad.png
Hace poco se dio a conocer la noticia de que fue identificada una vulnerabilidad (ya catalogada bajo CVE-2021-4122) en el paquete Cryptsetup, que se utiliza para cifrar particiones de disco en Linux.

Se menciona que para aprovechar la vulnerabilidad, un atacante debe tener acceso físico al medio cifrado, es decir, el método tiene sentido principalmente para atacar unidades externas cifradas, como unidades flash, a las que el atacante tiene acceso, pero no conoce la contraseña para descifrar los datos.
El ataque es aplicable solo para el formato LUKS2 y está asociado con la manipulación de metadatos responsable de activar la extensión «online reencryption», que permite, si es necesario, cambiar la clave de acceso, iniciar el proceso de recifrado de datos sobre la marcha sin detener el trabajo con la partición.

Dado que el proceso de descifrado y cifrado con una nueva clave lleva mucho tiempo, el «online reencryption»» permite no interrumpir el trabajo con la partición y realizar el reencriptado en segundo plano, transfiriendo gradualmente los datos de una clave a otra. En particular, es posible seleccionar una clave de destino vacía, lo que le permite traducir la sección a un formulario descifrado.

Un atacante puede realizar cambios en los metadatos de LUKS2 que simulan un aborto de la operación de descifrado como resultado de una falla y lograr el descifrado de parte de la partición después de la posterior activación y uso de la unidad modificada por parte del propietario. En este caso, el usuario que conectó la unidad modificada y la desbloqueó con la contraseña correcta no recibe ninguna advertencia sobre la restauración de la operación de recifrado interrumpida y puede conocer el progreso de esta operación solo con el comando «luks Dump». La cantidad de datos que un atacante puede descifrar depende del tamaño del encabezado LUKS2, pero con el tamaño predeterminado (16 MiB) puede superar los 3 GB.

El problema se origina por el hecho de que a pesar de que la operación de recifrado requiere el cálculo y verificación de los hash de las claves nuevas y antiguas, no se requiere el hash para restaurar el proceso de descifrado interrumpido si el nuevo estado implica la ausencia de una clave para el cifrado (texto plano).

Además, los metadatos de LUKS2 que especifican el algoritmo de cifrado no están protegidos contra modificaciones si caen en manos de un atacante. Para bloquear la vulnerabilidad, los desarrolladores agregaron protección de metadatos adicional a LUKS2, para lo cual ahora se verifica un hash adicional, calculado en base a claves conocidas y contenido de metadatos, es decir, un atacante ya no podrá cambiar sigilosamente los metadatos sin conocer la contraseña de descifrado.
Un escenario de ataque típico requiere que el atacante tenga la oportunidad de poner sus manos en el disco varias veces. Primero, el atacante, que no conoce la contraseña de acceso, realiza cambios en el área de metadatos que inician el descifrado de parte de los datos la próxima vez que se active la unidad.

Luego, la unidad se devuelve a su lugar y el atacante espera hasta que el usuario la conecta ingresando una contraseña. Durante la activación del dispositivo por parte del usuario, se inicia un proceso de recifrado en segundo plano, durante el cual parte de los datos cifrados se reemplazan con datos descifrados. Además, si un atacante puede volver a poner sus manos en el dispositivo, algunos de los datos en el disco estarán descifrados.

El problema fue identificado por el mantenedor del proyecto cryptsetup y solucionado en las actualizaciones cryptsetup 2.4.3 y 2.3.7.

El estado de generación de actu[...] Abrir / Cómo

2022-01-21 00:33:56 Desde Linux
Realizaron un experimento simulando la red de Tor

https://blog.desdelinux.net/wp-content/uploads/2022/01/lead.png
Hace pocos dias investigadores de la Universidad de Waterloo y el Laboratorio de Investigación Naval de EE. UU. presentaron los resultados del desarrollo de un simulador de red Tor que es comparable en número de nodos y usuarios a la red Tor principal y permite experimentos que se acercan a las condiciones reales.

El toolkit y la metodología de modelado de red elaborados durante el experimento permitieron simular el funcionamiento de una red de 6489 nodos Tor en una computadora con 4 TB de RAM, a la que están conectados simultáneamente 792 mil usuarios virtuales.
Cabe señalar que esta es la primera simulación a gran escala de la red Tor, cuyo número de nodos corresponde a la red real (la red Tor en funcionamiento tiene alrededor de 6 mil nodos y 2 millones de usuarios conectados ).

Una simulación completa de la red Tor es de interés en términos de identificación de cuellos de botella, modelado del comportamiento de ataque, prueba de nuevas técnicas de optimización en condiciones de la vida real y prueba de conceptos relacionados con la seguridad.

Con un simulador completo, los desarrolladores de Tor podrán alejarse de la práctica de realizar experimentos en la red principal o en nodos de trabajo individuales, lo que crea riesgos adicionales de violar la privacidad del usuario y no eliminar la posibilidad de fallas. Por ejemplo, en los próximos meses, se espera que Tor introduzca soporte para un nuevo protocolo de control de congestión, y la simulación le permitirá estudiar completamente su funcionamiento antes de implementarlo en una red real.

Además de eliminar el impacto de los experimentos en la confidencialidad y confiabilidad de la red Tor principal, la presencia de redes de prueba separadas hará posible probar y depurar rápidamente código nuevo durante el desarrollo, implementar cambios de inmediato para todos los nodos y usuarios sin esperar la finalización de implementaciones intermedias largas, crear y ejecutar prototipos más rápidamente con la implementación de nuevas ideas.
Se trabaja en la mejora del toolkit que, según afirman los desarrolladores, reducirá 10 veces el consumo de recursos y permitirá simular en un mismo equipo el funcionamiento de redes que superan la red real, lo que puede ser necesario para identificar posibles problemas. con escalado Tor. En el transcurso del trabajo, también se han creado varios métodos nuevos de modelado de red que permiten predecir el cambio en el estado de la red a lo largo del tiempo y usar generadores de tráfico de fondo para simular la actividad del usuario.

Los investigadores también estudiaron el patrón entre el tamaño de la red simulada y la confiabilidad de proyectar los resultados de los experimentos en la red real. Durante el desarrollo de Tor, los cambios y las optimizaciones se prueban previamente en pequeñas redes de prueba, que contienen significativamente menos nodos y usuarios que una red real.

Se encontró que los errores estadísticos de los pronósticos obtenidos durante simulaciones pequeñas pueden compensarse mediante la repetición repetida de experimentos independientes con diferentes conjuntos de datos iniciales, mientras que cuanto más grande es la red simulada, se requieren menos reensayos para obtener conclusiones estadísticamente significativas.

Para modelar y simular la red Tor, los investigadores están desarrollando varios proyectos de código abierto distribuidos bajo la licencia BSD:

* Shadow: un simulador de red universal que le permite ejecutar código de aplicación de red real para recrear el funcionamiento de sistemas distribuidos con miles de procesos de red. Para simular sistemas basados ​​en aplicaciones reales no modificadas.
* Tornettools: un conjunto de herramientas para genera[...] Abrir / Cómo

2022-01-21 00:33:56 Abrir / Cómo

2022-01-20 21:54:07 MuyLinux
Malware en Linux, una tendencia al alza imparable

https://www.muylinux.com/wp-content/uploads/2022/01/Linux-malware.jpg
En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento. Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por parte de magia. Abrir / Cómo

2022-01-20 21:54:07 Abrir / Cómo

2022-01-19 21:53:25 MuyLinux Wine 7 estrena nueva arquitectura para 64-bit y avanza en el soporte de Vulkan https://www.muylinux.com/wp-content/uploads/2020/01/wine.png Prácticamente un año después, ya tenemos entre nosotros a Wine 7.0, la nueva versión mayor de la capa de… Abrir / Cómo

2022-01-19 21:53:24 MuyLinux
Wine 7 estrena nueva arquitectura para 64-bit y avanza en el soporte de Vulkan

https://www.muylinux.com/wp-content/uploads/2020/01/wine.png
Prácticamente un año después, ya tenemos entre nosotros a Wine 7.0, la nueva versión mayor de la capa de compatibilidad que consiste en una reimplementación de las API de Windows para sistemas Unix y tipo Unix, lo que abre la puerta a poder ejecutar aplicaciones compiladas para Windows en Linux, macOS, FreeBSD, etc.

Wine es un proyecto bastante veterano que durante el transcurso de la década pasada fue perdiendo protagonismo debido a la proliferación de las aplicaciones multiplataforma, situación que provocó un aumento de la cantidad de aplicaciones con versión oficial para Linux. Sin embargo, la aparición de Proton puso de nuevo el foco en Wine, que puede ser considerado como una de las obras de ingeniería (inversa) más valiosas del software libre.

Wine 7.0 llega con bastantes novedades, aunque algunas de ellas pueden sonar a más de lo mismo viendo su trayectoria. Para empezar, la arquitectura de Windows-on-Windows de 64bit (WoW64) ha sido implementada, soportando la ejecución de aplicaciones de Windows para 32-bit en sistemas Unix de 64-bit.

Ahora todos los módulos están compilados en formato PE salvo algunas excepciones. Los responsables esperan convertir los módulos que quedan en futuros lanzamientos de Wine, cosa que cuando se logre permitirá con WoW64 ejecutar aplicaciones de Windows para 32-bit sobre Unix de 64-bit sin necesidad de instalar las bibliotecas de Unix para 32-bit.

Los ficheros DLL incluidos solo se cargan si hay en disco un fichero PE que corresponda, ya sea un binario real o un módulo PE falso. De esta manera se garantiza que la aplicación siempre vea una asignación de fichero PE válida.

En cuanto a temas se ha incorporado el “Claro” (Light), que se une al Azul (Blue) y Azul Clásico (Classic Blue) y pueden ser intercambiados a través de WineCfg. A partir de Wine 7 todos los controles comunes soportan temas, siendo refrescados automáticamente. Las aplicaciones incluidas soportan HiDPI y también los temas (si bien el refresco automático no ha sido aclarado).

Los desarrolladores de Wine han implementado una nueva biblioteca de Win32u en la parte del núcleo para los gráficos y la gestión de las ventanas. En consecuencia, grandes porciones de las bibliotecas GDI32 y USER32 han sido convertidas a Win32u. El driver Vulkan soporta hasta la versión 1.2.201 de la API gráfica y se ha introducido soporte inicial para los efectos de Direct2D y WindowsCodecs soporta ahora la decodificación de Windows Media Photo y el renderizado de DirectDraw Surface.

Sobre Direct3D, el renderizador de Vulkan sigue evolucionando y debería de funcionar en la mayoría de los casos y con las versiones 10 y 11 de Direct3D a la par que el viejo renderizador de OpenGL, a pesar de no estar estar habilitado por defecto todavía. https://www.muylinux.com/wp-content/uploads/2022/01/Wine-7-en-Fedora-35-Workstation.jpg Wine 7 en Fedora 35 Workstation
Otra novedad relacionada con Direct3D es el soporte para múltiples monitores, que en la práctica permite elegir el monitor en el que se proyecta una aplicación que usa dicha API en modo de pantalla completa, aunque importante tener en cuenta que sobre X11 hay que disponer de xrandr 1.4 o posterior. Por otro lado, el soporte de Direct3D 12 requiere en Wine 7.0 de la versión 1.2 o posterior de la biblioteca de VKD3D.

Se ha implementado el ajuste del gamma de la pantalla con la API DXGI, un componente que es empleado en algunas ocasiones por aplicaciones Direct3D 10 y 11 para ajustar el “brillo” de la pantalla. Por otro lado, las siguientes gráficas son ahora correctamente detectadas a la hora de emplear Direct3D a través de Wine 7: AMD Radeon RX 5500M, AMD Radeon RX 6800/6800 XT/6900 XT, AMD Van Gogh, Intel UHD Graphics 630 y NVIDIA GT 1030.

Para la rep[...] Abrir / Cómo

2022-01-19 21:53:24 Abrir / Cómo