Un actor de amenazas pasó silenciosamente los últimos dos años integrándose en el equipo central de mantenedores de XZ Utils, un compresor de datos de línea de comandos de software gratuito ampliamente utilizado en sistemas Linux. El atacante logró lentamente integrar una puerta trasera en el software que fue diseñada para interferir con SSHD y permitir la ejecución remota de código a través de un certificado de inicio de sesión SSH. La puerta trasera fue descubierta unos días antes de ser lanzada en varios sistemas Linux en todo el mundo. Se sospecha que el actor de la amenaza es un desarrollador con el nombre de Jian Tan o que lo utiliza. Varios expertos en seguridad creen que este ataque a la cadena de suministro podría estar patrocinado por el estado. ¿Qué es XZ Utils y qué es la puerta trasera XZ? XZ Utils y su biblioteca subyacente liblzma es una herramienta de software gratuita que implementa XZ y LZMA, que son dos algoritmos de compresión/descompresión ampliamente utilizados en sistemas basados en Unix, incluidos los sistemas Linux. Muchas operaciones en esos sistemas utilizan XZ Utils para comprimir y descomprimir datos. La puerta trasera CVE-2024-3094 que se encuentra en XZ Utils se implementó para interferir con la autenticación en SSHD, el software del servidor OpenSSH que maneja conexiones SSH. La puerta trasera permitió a un atacante ejecutar código remoto a través de un certificado de inicio de sesión SSH. Solo las versiones 5.6.0 y 5.6.1 de XZ Utils se ven afectadas. Cómo se implementó cautelosamente la puerta trasera XZ durante más de años El 29 de marzo de 2024, el ingeniero de software de Microsoft, Andrés Freund, informó el descubrimiento de la puerta trasera. Lo encontró cuando se interesó en el comportamiento extraño de una instalación sid de Debian, como los inicios de sesión SSH que consumen mucha CPU y errores de Valgrind, y decidió analizar los síntomas en profundidad. Freund explicó que el descubrimiento de la puerta trasera en XZ fue cuestión de suerte, ya que «realmente requirió muchas coincidencias». Sin embargo, parece que la implementación de la puerta trasera ha sido un proceso muy silencioso que duró unos dos años. En 2021, un desarrollador llamado Jian Tan, nombre de usuario JiaT75, apareció de la nada para comenzar a trabajar en el código de XZ Utils, lo cual no es inusual porque los desarrolladores de software libre a menudo trabajan juntos para actualizar el código. Tan contribuyó con frecuencia al proyecto XZ desde finales de 2021, generando poco a poco confianza en la comunidad. En mayo de 2022, un usuario desconocido que utilizaba el nombre falso de Dennis Ens se quejó en la lista de correo de XZ de que la actualización del software no era satisfactoria. Otro usuario desconocido, Jigar Kumar, entró en la discusión dos veces para presionar al desarrollador principal de XZ Utils, Lasse Collin, para que agregara un mantenedor al proyecto. «El progreso no se producirá hasta que haya un nuevo responsable», escribió Jigar Kumar. “¿Por qué esperar hasta la 5.4.0 para cambiar de mantenedor? ¿Por qué retrasar lo que necesita su repositorio? Mientras tanto, Collin expresó que “Jia Tan me ha ayudado a salir de la lista de XZ Utils y podría tener un papel más importante en el futuro, al menos con XZ Utils. Está claro que mis recursos son demasiado limitados (de ahí la gran cantidad de correos electrónicos que esperan respuesta), por lo que algo tiene que cambiar a largo plazo”. (Collin escribió Jia en su mensaje, mientras que otros mensajes hacen referencia a Jian. Para aumentar la confusión, el apodo de Jian es JiaT75). En los meses siguientes, Tan se involucró cada vez más en XZ Utils y se convirtió en co-mantenedor del proyecto. En febrero de 2024, Tan emitió confirmaciones para las versiones 5.6.0 y 5.6.1 de XZ Utils, las cuales contenían la puerta trasera. También es interesante señalar que en julio de 2023, Tan solicitó desactivar ifunc (función indirecta de GNU) en oss-fuzz, una herramienta pública creada para detectar vulnerabilidades de software. Esa operación probablemente se realizó para permitir que la puerta trasera en XZ pasara desapercibida una vez que se lanzara, ya que la puerta trasera hace uso de esa función para lograr sus objetivos. Finalmente, el atacante se ha puesto en contacto con varios responsables de diferentes distribuciones de Linux para incluir las versiones con puerta trasera de XZ Utils en sus propias distribuciones. Richard WM Jones de RedHat escribió sobre esto en un foro: “Muy molesto: el aparente autor de la puerta trasera estuvo en comunicación conmigo durante varias semanas tratando de agregar xz 5.6.x a Fedora 40 y 41 debido a sus ‘excelentes características nuevas’. ‘. Incluso trabajamos con él para solucionar el problema de valgrind (que ahora resulta que fue causado por la puerta trasera que había agregado). Anoche tuvimos que correr para solucionar el problema después de una ruptura involuntaria del embargo. Ha sido parte del proyecto xz durante 2 años, agregando todo tipo de archivos binarios de prueba y, para ser honesto, con este nivel de sofisticación, sospecharía de versiones aún más antiguas de xz hasta que se demuestre lo contrario”. Tan también intentó incluirlo en Ubuntu. Cobertura de seguridad de lectura obligada Puerta trasera XZ: un ataque altamente técnico Además de la ingeniería social altamente elaborada tratada anteriormente en este artículo, la puerta trasera en sí es muy compleja. El investigador senior de amenazas de Microsoft, Thomas Roccia, diseñó y publicó una infografía para mostrar toda la operación que condujo a CVE-2024-3094 (Figura A). Figura A Toda la operación CVE-2024-3094. Imagen: Thomas Roccia La puerta trasera se compone de varias partes que se han incluido en múltiples confirmaciones en XZ Utils GitHub, descritas en profundidad por Freund. Gynvael Coldwind, director general de HexArcana Cybersecurity GmbH, una empresa de ciberseguridad que ofrece servicios de consultoría y cursos, escribió en un análisis detallado de la puerta trasera que “alguien se esforzó mucho para que esto tuviera un aspecto bastante inocente y estuviera decentemente oculto. Desde archivos de prueba binarios utilizados para almacenar carga útil hasta tallado de archivos, cifrados de sustitución y una variante RC4 implementada en AWK, todo hecho con herramientas de línea de comandos estándar. Y todo esto en 3 etapas de ejecución, y con un sistema de ‘extensión’ para preparar las cosas para el futuro y no tener que cambiar los archivos binarios de prueba nuevamente”. DESCARGAR: Glosario rápido de código abierto de TechRepublic Premium Martin Zugec, director de soluciones técnicas de Bitdefender, dijo en un comunicado proporcionado a TechRepublic que “esto parece ser un ataque plurianual meticulosamente planificado, posiblemente respaldado por un actor estatal. Teniendo en cuenta los enormes esfuerzos invertidos y la baja prevalencia de sistemas vulnerables que estamos viendo, los actores de amenazas responsables deben estar extremadamente descontentos en este momento porque su nueva arma fue descubierta antes de que pudiera desplegarse ampliamente”. ¿Qué sistemas operativos se ven afectados por la puerta trasera XZ? Gracias al descubrimiento de Freund, el ataque fue detenido antes de extenderse a mayor escala. La empresa de ciberseguridad Tenable expuso los siguientes sistemas operativos que se sabe que están afectados por la puerta trasera XZ: Fedora Rawhide. Fedora 40 Beta. Fedora 41. Pruebas de Debian, distribuciones inestables y experimentales versiones 5.5.1alpha-01 a 5.6.1-1. openSUSE Tumbleweed. openSUSE MicroOS. KaliLinux. Arco Linux. En una publicación de blog, Red Hat informó que ninguna versión de Red Hat Enterprise Linux se ve afectada por CVE-2024-3094. Debian indicó que ninguna versión estable de la distribución se vio afectada y Ubuntu publicó que ninguna versión publicada de Ubuntu se vio afectada. El administrador de paquetes homebrew de MacOS revirtió XZ de 5.6.x a 5.4.6, una versión más antigua pero segura. Bo Anderson, mantenedor y miembro del comité directivo técnico de Homebrew, declaró que Homebrew no “… cree que las compilaciones de Homebrew hayan sido comprometidas (la puerta trasera solo se aplica a las compilaciones deb y rpm) pero 5.6.x está siendo tratado como si ya no fuera confiable y como precaución están forzando rebajas a 5.4.6”. Cómo mitigar y protegerse de esta amenaza de puerta trasera de XZ. Es posible que más sistemas se vean afectados, especialmente aquellos en los que los desarrolladores compilaron las versiones vulnerables de XZ. La empresa de seguridad Binarly ofrece una herramienta de detección en línea que podría usarse para probar sistemas y ver si están afectados por la puerta trasera XZ. La versión de XZ debe comprobarse cuidadosamente, ya que las versiones 5.6.0 y 5.6.1 contienen la puerta trasera. Se recomienda volver a una versión segura anterior conocida de XZ Utils, como 5.4. Los ataques a la cadena de suministro de software están aumentando Como se informó anteriormente en TechRepublic, los actores de amenazas utilizan cada vez más los ataques a la cadena de suministro de software. Sin embargo, los ataques habituales a la cadena de suministro de software consisten principalmente en lograr comprometer una cuenta clave en el proceso de desarrollo de software y utilizar la cuenta para enviar contenido malicioso a software legítimo, que a menudo se detecta con bastante rapidez. En el caso de XZ Utils, es muy diferente porque el actor de la amenaza logró cuidadosamente ganarse la confianza de los desarrolladores legítimos y convertirse en uno de los mantenedores de la herramienta, lo que le permitió introducir lentamente diferentes partes vulnerables del código en el software sin que nadie se diera cuenta. Los ataques a la cadena de suministro de software no son las únicas amenazas crecientes; También están aumentando otros ataques a la cadena de suministro basados en productos de TI. Por lo tanto, las empresas deben asegurarse de que se tenga en cuenta a terceros en el seguimiento de la superficie de ataque. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Etiqueta: desarrolladores
TIOBE Software ha declarado C# el lenguaje de programación de 2023 basándose en su índice de popularidad de larga data. El índice de la comunidad de programación TIOBE muestra tendencias año tras año en lenguajes de programación según el volumen de los motores de búsqueda. En enero de 2024, los tres lenguajes de programación principales eran Python, C y C++. Sin embargo, todos perdieron popularidad a lo largo de 2023 en el sistema de clasificación patentado de TIOBE. Otros cambios importantes entre enero de 2023 y enero de 2024 son los siguientes: C# tuvo el mayor crecimiento año tras año con un +1,43 %. JavaScript subió del séptimo al sexto lugar. PHP subió del décimo al séptimo lugar. Visual Basic cayó del 6º al 8º lugar. SQL cayó del octavo al noveno lugar. Scratch subió dramáticamente desde el puesto 20 para ingresar al top 10 en el décimo lugar. C# gana el premio al lenguaje de programación del año 2023 “C# le está quitando cuota de mercado a Java y se está volviendo cada vez más popular en dominios como backends de aplicaciones web y juegos (gracias a Unity)”, escribió Paul Jansen, director ejecutivo de TIOBE Software, en el TIOBE Index publicación de enero. “C# se puede utilizar de forma gratuita y evoluciona a un ritmo constante, lo que hace que el lenguaje sea más expresivo con cada nueva versión. C# llegó para quedarse y pronto podría incluso superar a Java”. Cobertura de lectura obligada para desarrolladores Scratch y Fortran obtuvieron el segundo y tercer mayor puntaje en 2023, con 0,83% y +0,64%, respectivamente. Fortran es un lenguaje muy antiguo que sigue siendo un elemento básico para digerir grandes cantidades de datos en entornos de investigación universitaria. VER: Lista de los 10 principales lenguajes de programación del índice TIOBE para enero de 2024 y meses anteriores (TechRepublic) Jansen señaló que, en el transcurso de 2023, Kotlin se convirtió en residente permanente entre los 20 principales porque es un competidor viable de Java y porque es relativamente fácil de aprender y escribir. Esté atento a Dart y TypeScript en 2024. Jansen señaló que es muy difícil predecir qué lenguajes de programación aumentarán en popularidad lo suficiente como para llegar al top 20. Por ejemplo, Julia llegó brevemente al top 20 en agosto de 2023, pero no permaneció. allá. «El lenguaje de Julia no está documentado formal ni oficialmente, mientras que el lenguaje evoluciona con cada lanzamiento», dijo Jansen. «Esto dificulta que los proveedores de herramientas creen herramientas para el lenguaje». Jansen ve a Dart (con su aplicación complementaria SDK, Flutter, creada por Google) y TypeScript como posibles contendientes para ingresar al top 20 en 2024. “Este último ya se usa mucho en la industria, pero por alguna razón no se está abriendo paso en el mercado. Índice TIOBE todavía”, escribió Jansen.
Valve ha introducido un nuevo conjunto de reglas para su política de contenido Steam AI. Permitirá a los desarrolladores agregar más contenido de IA a la plataforma de juegos. Pero, por supuesto, según el nuevo conjunto de reglas, los desarrolladores deben revelar el uso que hacen de la tecnología. De lo contrario, el contenido de IA no llegará a la plataforma. La compañía dice que los cambios en la política de contenido de Steam AI permitirán que la plataforma ofrezca una «gran mayoría de juegos que utilizan» AI. Valve dice que los cambios en la política se realizaron después de meses de discusiones con los desarrolladores de juegos. Esto sugiere que ha considerado la mayoría de los aspectos del espacio antes de tomar una decisión. Acerca de la política de contenido actualizada de Steam AI De acuerdo con la política de contenido actualizada de Steam AI, los desarrolladores deberán ser transparentes sobre el uso de la tecnología. Por ejemplo, si utilizan herramientas de inteligencia artificial para generar código, arte, sonido o cualquier contenido generado, los desarrolladores deben revelarlo. Además, las nuevas reglas están aquí para garantizar que el contenido generado no infrinja los derechos de autor. Gizchina Noticias de la semana Valve dice que el equipo evaluará cada uno de los juegos que entran en la categoría. La empresa comprobará si los desarrolladores envían información veraz. La nueva política de Steam AI también se ocupa del contenido de AI generado en vivo. Según las nuevas reglas, los desarrolladores deben informar a Valve sobre el tipo de barreras que han colocado para evitar la creación de algo que pueda ser ilegal. Por supuesto, Valve no podrá revisar cada detalle de los juegos en tiempo real. Por eso ha lanzado un nuevo sistema. Permite a los usuarios de Steam enviar fácilmente un informe cuando encuentran algo que Valve debería saber. Valve dice que las nuevas reglas de contenido de Steam AI son el resultado de una «comprensión del panorama y los riesgos». Puede leer más a través de la publicación del anuncio oficial que se encuentra en este enlace. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.
Aplicaciones y pestañas con Vision Pro. Imagen: Apple Después de años de anticipación, Apple finalmente reveló un auricular AR, Vision Pro, durante el discurso de apertura del lunes en la Conferencia Mundial de Desarrolladores 2023. A pesar de que Vision Pro puede ofrecer experiencias inmersivas de realidad mixta y realidad virtual, los auriculares no están diseñados para sumergir a los usuarios en un mundo virtual, sino para aumentar la realidad. Desglosamos los detalles sobre Vision Pro de Apple, incluido el precio, la fecha de lanzamiento y las características. Saltar a: ¿Cuál es el precio del Vision Pro de Apple? El precio del Vision Pro de Apple es de 3.499 dólares con 256 GB de almacenamiento, que es más de tres veces el precio de su principal competidor, el visor Quest Pro VR de Meta, que comienza en 999 dólares. Se han vendido más de 20 millones de unidades de Quest Pro. Más sobre innovación ¿Cuándo es la fecha de lanzamiento de Vision Pro de Apple? Vision Pro de Apple estará disponible el 2 de febrero. Los pedidos anticipados comienzan el 19 de enero a las 5 am PST. Inicialmente, los auriculares AR solo estarán disponibles en las tiendas Apple y en línea en los EE. UU., y otros países verán el lanzamiento del producto más adelante ese mismo año. Las demostraciones de Apple Vision Pro estarán disponibles en las tiendas Apple el fin de semana del 2 de febrero con cita previa, según un correo electrónico recibido por 9to5Mac. VER: En 2022, Apple supuestamente hizo una demostración de unos auriculares de realidad mixta en su placa. ¿Cuáles son las características principales de Vision Pro? Vision Pro (Figura A) ofrece una amplia gama de funciones. Desde reuniones virtuales y avatares altamente renderizados hasta imágenes en 3D, computación AR y visualización de películas en una pantalla grande, Vision Pro está diseñado para combinar a la perfección el contenido digital con el espacio físico del usuario. Figura A Cámaras y sensores de Vision Pro. Imagen: Apple “Es el primer producto de Apple que miras, no miras”, dijo el director ejecutivo Tim Cook durante la presentación del producto. Cook agregó que Vision Pro introduciría la computación espacial de la misma manera que el iPhone introdujo la computación móvil. Interfaz gráfica de usuario La interfaz de usuario de Vision Pro imita la de un Mac o un iPhone, pero en 3D. Los usuarios que usen los auriculares verán íconos, gráficos, sitios web, fotografías y películas como pantallas flotantes a cierta distancia de sus ojos. Las pantallas son del tamaño de un sello postal, pero ofrecen más píxeles que un televisor 4K a cada ojo. El sistema de pantalla micro-OLED personalizado cuenta con 23 millones de píxeles, lo que proporciona una resolución excelente y colores reales. Una nueva computadora, aplicaciones y cámara Durante la conferencia magistral de la WWDC23, Apple mostró cómo los usuarios pueden conectar sin problemas un teclado y usar Vision Pro como una computadora tradicional que ofrece múltiples pantallas grandes (Figura C). Figura C Usando Vision Pro como computadora. Imagen: Apple Con Vision Pro, los usuarios pueden personalizar cómo ven sus aplicaciones. Por ejemplo, las aplicaciones se pueden organizar y ampliar en tamaño, y los espacios de trabajo se pueden diseñar para las necesidades personales. Mientras usan aplicaciones, navegan en Safari, chatean en Mensajes o trabajan, los usuarios pueden cambiar entre aplicaciones rápidamente y permanecer siempre presentes en el mundo real. Otra función de Vision Pro permite a los usuarios utilizar una cámara tridimensional y un sistema de micrófono para capturar vídeos e imágenes en 3D. Esta es la primera cámara 3D que Apple haya construido. Incluye panoramas que envuelven al usuario. El chip R1 La experiencia Vision Pro es posible gracias a dos chips: el potente M2 y el R1, un chip en tiempo real nuevo y desarrollado exclusivamente. R1 es responsable de procesar todos los datos de los sensores y cámaras en un abrir y cerrar de ojos, junto con el mapeo 3D en tiempo real y el seguimiento ocular (Figura D). Chips de Figura D Vision Pro: M2 y el nuevo R1. Imagen: Apple Navigating Vision Pro: gestos con las manos y corona digital El chip R1 toma todos los datos de los sensores, cámaras y micrófonos integrados en Vision Pro y crea un seguimiento de la cabeza, los ojos y las manos. Los usuarios pueden seleccionar el contenido dentro de las gafas con los ojos, juntar los dedos para hacer clic y mover suavemente para desplazarse. Usando la corona digital, los usuarios pueden abrir la Vista de inicio o controlar el nivel de inmersión mientras usan Entornos, una función que crea fondos virtuales. Diseño del producto El diseño del gabinete es una pieza singular de vidrio laminado formado en 3D que se transforma en un marco de aleación de aluminio y se curva suavemente para envolver la cara del usuario. La pantalla exterior de los auriculares también puede revelar el ojo del usuario a personas del mundo exterior o oscurecerse por completo cuando el usuario se sumerge en la realidad virtual (Figura E). Figura E Los usuarios en el mundo real pueden ver el ojo de la persona que usa Vision Pro. Imagen: Apple Spatial Audio Vision Pro analiza las propiedades acústicas de un entorno, incluidos los materiales físicos, para adaptar y hacer coincidir el sonido con el espacio. Esto se utiliza para crear audio espacial ambiental, donde los sonidos parecen provenir del entorno. Apple asegura que el sistema Spatial Audio de Vision Pro es el más avanzado que jamás haya creado. Los módulos de audio de doble controlador se colocan cerca de los oídos de los usuarios, combinando el sonido generado por los auriculares con los sonidos del mundo real. AR FaceTime Vision Pro lleva las reuniones virtuales al siguiente nivel con mosaicos de vídeo FaceTime de tamaño real. La llamada se expande a la sala y los auriculares permiten a los usuarios usar aplicaciones para colaborar con colegas o trabajar en los mismos documentos durante una reunión. Battery Vision Pro tiene dos horas de uso con una batería externa, que no se coloca dentro del auricular para reducir el peso sobre la cabeza del usuario. El dispositivo debe estar enchufado a la pared o a la batería. Cine en casa Aunque los nuevos auriculares de Apple funcionan con tecnología AR, tienen varias funciones de realidad virtual, como su cine en casa inmersivo. Vision Pro puede transformar cualquier habitación en un cine personal. Para desarrolladores Los desarrolladores pueden enviar aplicaciones a la App Store de Apple Vision Pro aquí. Apple señala que la mayoría de las aplicaciones de iPadOS e iOS son compatibles con Apple Vision Pro de forma predeterminada. Apple proporciona una forma de comprobar si una aplicación es compatible con el sistema operativo de los auriculares, visionOS. Conclusión sobre Vision Pro de Apple Vision Pro es uno de los productos más esperados que Apple haya lanzado jamás. Desafortunadamente, el precio de los auriculares AR es muy alto en comparación con las alternativas. Además, a pesar de un diseño muy bien logrado, Vision Pro es torpe. Sony anunció en CES 2024 unos auriculares de la competencia, conocidos por ahora como el “sistema de creación de contenido espacial” y destinados a artistas y animadores 3D. Sin embargo, los nuevos auriculares de Apple resultan revolucionarios en su enfoque de la tecnología AR y parecen traer la calidad por la que Apple es conocida a este nuevo mercado.