Seguridad

Vulnerabilidades de codificación, crecimiento de Linux, FOSS Friction Cap Aspectos destacados del verano

A medida que los trabajadores de TI continúan con su arduo trabajo de proteger a los usuarios de la red de los malos, algunas herramientas nuevas pueden ayudar a detener la ola de vulnerabilidades que continúan vinculando el código abierto y el software propietario.

modelo Firmó un nuevo acuerdo con Microsoft para hacer que sus dos plataformas en la nube funcionen mejor juntas. Mientras tanto, Microsoft se disculpó con los desarrolladores de software de código abierto. Pero no hay disculpas por BitLocker que mantiene fuera a los usuarios de Linux.

Manténganos al día con las últimas noticias de la industria del software de código abierto.

Nueva herramienta de código abierto ayuda a los desarrolladores a encontrar vulnerabilidades

Empresa de plataforma de software de vulnerabilidad trasladarse anunció el 12 de agosto la disponibilidad de su nueva herramienta de código abierto MI-X desde un repositorio de GitHub. La herramienta CLI ayuda a los investigadores y desarrolladores a comprender rápidamente si sus contenedores y hosts se ven afectados por una vulnerabilidad específica, acortando así la ventana de ataque y desarrollando un plan de remediación efectivo.

«Los proveedores de ciberseguridad, los proveedores de software y CISA publican divulgaciones de vulnerabilidades todos los días para alertar a la industria de que todo el software tiene errores que deben abordarse de inmediato, a menudo de inmediato», dijo Yotam Perkal, director de investigación de vulnerabilidades en Rezilion.

«Con esta afluencia de información, la introducción de MI-X brinda a los usuarios un depósito de información para verificar la capacidad de explotación de vulnerabilidades específicas, lo que les permite enfocar los esfuerzos de parcheo de manera más eficiente», agregó.

«Como participantes activos en la comunidad de investigación de vulnerabilidades, este es un hito impactante para que los desarrolladores e investigadores colaboren y construyan juntos», señaló Perkal.


Las herramientas actuales no tienen en cuenta la capacidad de explotación, ya que las organizaciones se enfrentan a un aluvión de vulnerabilidades críticas y de día cero y se esfuerzan por ver si se ven afectadas por ellas. Averiguar antes de que lo hagan los actores de amenazas es una carrera constante.

Para tomar esta determinación, las organizaciones deben identificar una vulnerabilidad en su entorno y determinar si esa vulnerabilidad realmente se puede explotar para desarrollar un plan de mitigación y remediación.

Los escáneres de vulnerabilidades actuales tardan demasiado en escanear, no consideran la posibilidad de explotación y, a menudo, la pasan por alto por completo.Esto es lo que pasó en Vulnerabilidad log4jSegún Rezilion, la falta de herramientas les da a los actores de amenazas mucho tiempo para explotar vulnerabilidades y causar estragos.

La introducción de MI-X es la primera de una serie de iniciativas que Rezilion planea fomentar una comunidad en torno a la detección, priorización y reparación de vulnerabilidades de software.

El auge de Linux, junto con las crecientes preocupaciones de seguridad

El monitoreo de datos reciente de más de 63 millones de dispositivos informáticos en 65,000 organizaciones muestra que el sistema operativo Linux todavía está vivo y bien en la empresa.

Nuevo estudio para empresas de software de gestión de activos de TI barrendero Muestra que aunque Linux no es tan popular como Windows y macOS, muchos dispositivos empresariales ejecutan el sistema operativo Linux.

Lansweeper analizó datos de más de 300 000 dispositivos Linux en aproximadamente 26 000 organizaciones y también descubrió que la popularidad de cada sistema operativo Linux depende de la cantidad total de activos de TI que administra cada organización.

La compañía publicó sus hallazgos el 4 de agosto, afirmando que alrededor de 32,8 millones de personas en todo el mundo usan Linux, con alrededor del 90 por ciento de la infraestructura en la nube y casi todas las supercomputadoras del mundo siendo usuarios dedicados.

La investigación de Lansweeper muestra que CentOS es el más utilizado (25,6 %), seguido de Ubuntu (20,8 %) y Red Hat (15 %). La compañía no detalló el porcentaje de usuarios de las muchas otras distribuciones de sistemas operativos Linux que se usan en la actualidad.

Gráfico que muestra los dispositivos Linux por tamaño de empresa


Lansweeper aconseja a las empresas que demuestren la desconexión entre el uso de Linux para mejorar la seguridad y la implementación proactiva de procesos de seguridad.

Dos infracciones recientes de Linux este año (Dirty Pipe en marzo y Nimbuspwn en abril) combinadas con nuevos datos de Lansweeper muestran que las empresas están ciegas cuando se trata de proteger lo que está bajo su propio techo.

«Creemos que la mayoría de los dispositivos que ejecutan Linux son servidores de misión crítica, que son objetivos ideales para los ciberdelincuentes, y la lógica dicta que cuanto más grande es la empresa, más dispositivos Linux deben protegerse», dijo Roel Decneut, director, director de estrategia de Lansweeper. .

«Con tantas versiones y formas de instalar Linux, los equipos de TI tienen que lidiar con las complejidades de rastrear y administrar dispositivos y trabajar para protegerlos de ataques cibernéticos», explicó.

Desde su lanzamiento en 2004, Lansweeper ha estado desarrollando una plataforma de software para escanear e inventariar todo tipo de equipos de TI, software instalado y usuarios activos en la red. Esto permite a las organizaciones gestionar de forma centralizada su TI.

BitLocker, el arranque dual de Linux no es perfecto

Los usuarios de Microsoft Windows que desean un arranque dual instalando una distribución de Linux en la misma computadora ahora se encuentran atrapados entre un dilema técnico y un dilema de Microsoft. Para el empeoramiento de los problemas de arranque dual de Linux, pueden agradecer el mayor uso del software Windows BitLocker.

Los desarrolladores de la distribución de Linux están asumiendo más desafíos para admitir el cifrado de disco completo de Microsoft en las instalaciones de Windows 10 y Windows 11. Los ingenieros de Fedora/Red Hat señalan que el uso por parte de Microsoft del hardware Trusted Platform Module (TPM) para sellar las claves de cifrado de disco completo exacerba el problema.


El instalador de Anaconda para Fedora, así como los instaladores para otras distribuciones de Linux, no pueden cambiar el tamaño de los volúmenes de BitLocker. La solución es cambiar primero el tamaño del volumen de BitLocker en Windows para crear suficiente espacio libre para el volumen de Linux en el disco duro. Este detalle útil no está incluido en las instrucciones de instalación generalmente endebles para Linux de arranque dual.

Un problema relacionado complica el proceso. Las claves de cifrado de BitLocker imponen otra limitación fatal.

Para desbloquear, la clave debe coincidir con la medida de la cadena de arranque en el registro de configuración de la plataforma (PCR) del TPM. El uso de la configuración predeterminada de GRUB en la cadena de arranque de una configuración de arranque dual produce mediciones incorrectas.

De acuerdo con una discusión sobre el problema en la lista de correo de Fedora, los usuarios que intenten un arranque dual serán eliminados en la pantalla de recuperación de BitLocker cuando intenten arrancar Windows 10/11.

Microsoft, Canonical: El caso de la atracción de los opuestos

Canonical y Microsoft han fortalecido los lazos comerciales que los unen con el objetivo compartido de asegurar mejor la cadena de suministro de software.

Las dos compañías de software anunciaron el 16 de agosto que .NET nativo ahora está disponible para hosts y contenedores de Ubuntu 22.04. Esta colaboración entre .NET y Ubuntu brinda soporte de nivel empresarial.

Este soporte permite a los desarrolladores de .NET instalar los tiempos de ejecución de ASP.NET y .NET SDK desde Ubuntu 22.04 LTS usando un solo comando «apt install».

ver detalles completos aquí Y mire este breve video para obtener actualizaciones:

Microsoft revoca la prohibición de venta de aplicaciones de código abierto

El último ejemplo de Microsoft abriendo su boca de marketing e insertando un escollo bien podría ser que Microsoft molestó recientemente a los desarrolladores de software al prohibir la venta de software de fuente abierta en su tienda de aplicaciones. Microsoft luego revirtió esa decisión.

Microsoft ha anunciado que los nuevos términos para su tienda de aplicaciones entrarán en vigor el 16 de julio. Los nuevos términos establecen que todos los precios no deben intentar obtener ganancias del software de código abierto u otro software que generalmente está disponible de forma gratuita. Muchos desarrolladores de software y redistribuidores de software libre y de código abierto (FOSS) venden versiones instalables de sus productos en Microsoft Store.

Redmond insistió en que sus nuevas restricciones abordarían las «listas engañosas». Microsoft afirma que la licencia FOSS permite que cualquier persona distribuya versiones de programas FOSS escritos por otros.

Sin embargo, el desarrollador respondió que el problema se solucionó fácilmente de la misma manera que las tiendas regulares resuelven los problemas: mediante nombres de marca. Los consumidores pueden saber el verdadero origen de un producto de software de reempaquetadores de terceros en función de las reglas de marcas registradas preexistentes.

Desde entonces, Microsoft eliminó las referencias a las restricciones de precios de código abierto en sus políticas de tienda de forma predeterminada. La compañía aclaró que la política anterior estaba destinada a «ayudar a proteger a los clientes de listados de productos engañosos».

Más información está disponible en Políticas de la tienda de Microsoft documento.

LEER  COVID-19 y seguridad informática, Parte 2: Sistemas para apoyar a los trabajadores remotos

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba