Polémica en /var S04E02

Polémica en /var S04E02

Llego el episodio de noticias del mes con muchas novedades del COVID-19, Apple, Facebook, Gaming y todas las noticias del mundo de sistemas que estabas esperando.

Participan de este episodio: Reshi , Andrea , Godlike , Jolo y Edu

Escuchanos en Spotify

Gracias a nuestros Sponsors de Nerdearla 2020

Búsquedas laborales

Accenture

Santander

  • Back end , agnósticos pero preferentemente background de .NET

Wildlife Studios

Noticias

- Zoom compra Keybase con el objetivo de desplegar encripción end-to-end

Esta adquisición es un paso clave para Zoom en su intento por conseguir crear una plataforma de videocomunicaciones realmente privada que puede escalar a cientos de millones de participantes, a la vez que tiene la flexibilidad de dar soporte a la amplia variedad de usos de Zoom. Nuestro objetivo es proporcionar la mayor privacidad posible para cada caso de uso, a la vez que equilibramos las necesidades de nuestros usuarios y nuestro compromiso de evitar el comportamiento perjudicial en nuestra plataforma. El experimentado equipo de Keybase será una parte esencial de esta misión.

- Zoom elije Oracle Cloud después de que Mirosoft y Google apostaran fuerte por las video llamadas

Zoom elige Oracle cloud por sus ventajas en performance, escalabilidad, confiabilidad y seguridad.

- Behind Tech Layoffs Lay Systemic Cash Flow Negative Companies

Detrás de los despidos hay mayormente empresas que no generan ganancias.

- Renuncia un empleado a Facebook con una dura carta pública

- Amazon VP Resigns, Calls Company ‘Chickenshit’ for Firing Protesting Workers

Tim Bray dice que la empresa se ha vuelto tóxica y que los despidos fueron diseñados para crear un clima de miedo.

- Google tells employees they can’t expense food or other perks when working from home

Los empleados de google no podran rendir gastos de comida, gimnasio mientras trabajan desde casa.

- Out of our 7,500 Airbnb employees, nearly 1,900 teammates will have to leave Airbnb, comprising around 25% of our company.

- Ex-Google Engineer Who Became Right-Wing Hero Ends Suit Quietly

- Twitter ofrecerá a sus empleados trabajar desde sus casas para siempre

Twitter Inc. permitirá que sus empleados trabajen desde sus hogares de forma permanente, incluso después de que las autoridades sanitarias les permitan a los trabajadores regresar a sus oficinas cuando el peligro del brote de COVID-19 disminuya.

- Post COVID-19, Coinbase will be a remote-first company

Coinbase hará la transición a un futuro con trabajo “remoto primero” después de que termine la cuarentena.

- Cientos de empleados de Facebook hicieron una huelga virtual para criticar el sesgo racial de la compañía

La empresa ha recibido numerosas críticas de esta naturaleza a lo largo de los años. Y este lunes cientos de sus empleados realizaron una huelga virtual -considerando que están trabajando desde sus casas por la pandemia- para visibilizar su descontento con las políticas al respecto tomadas por la directiva que encabeza Mark Zuckerberg.

- Equinix completa adquisición de datacenters.

The acquisition greatly expands Equinix’s footprint, including giving it access to Latin America through a data center in Bogotá, Colombia, along with a new presence in Houston, Texas and Culpeper, Virginia. The jewel in the acquisition, however, might be the new Miami location, because it acts as a key internet connection point. “As the fourth largest Internet exchange point in the U.S., [the Miami location] hosts the termination points of 15 subsea cable systems and more than 120 global networks interconnecting to approximately 150 countries,” the company wrote in a statement.

- Nearly 2,000 malicious COVID-19-themed domains created every day

Por dia se crean mas de 2000 dominios maliciosos con nombres relacionados a la pandemia. Que quiere decir “dominio malicioso? Que intentan conseguir informacion, tarjetas de credito o datos personales de las personas, o simplemente te venden medicamentos o la cura de algo que todavia no existe. Muchos dominios se retroalimentan entre si para conseguir “engadgement”, y el 80% esta hosteado en AWS. Estados Unidos, Alemania y Rusia son los lugares donde mas de estos dominios fueron creados

- App CuidAR usa un copy/paste de la documentacion para encriptar los shared secrets

Levante la mano quien nunca copió alguna vez código de StackOverflow, y no vamos a ver ninguna mano levantada. El problema es cuando la aplicación en donde estamos haciendo el copypaste maneja datos sensibles. Es lo que se descubrió sobre la app CuidAR, que tenía una copia de un segmento de la documentación de Kotlin OTP. Normalmente esto no sería un problema, pero es justo en la parte que maneja el cifrado de secretos. Sí, la password también fue copiada de la documentación.

- India’s Contact Tracing App Is All But Mandatory. So This Programmer Hacked It So That He Always Appears Safe.

India decreto que una aplicacion del gobierno para realizar contact tracing del COVID19. Un programador no estaba de acuerdo con la idea, por lo tanto, desencripto la app, y un par de horas despues, la app se habia convertido solo en una cascara vacia, la cual no podia recolectar absolutamente nada del telefono, pero siempre mostraba un indicador en verde, indicando que el usuario tenia “bajo riesgo de infeccion”. Jay dijo que justamente ese era su objetivo. Poder mostrar a cualquier fuerza de seguridad que le pidiera el telefono, y no podrian detectar, sin mucho analisis, que en realidad retornaba siempre “verde”

- ‘Tecnosaturados’ por el confinamiento: “Abuela, ¿qué quieres que te cuente si cada día es igual?”

Desde hace 2 meses que la tecnologia es, en muchos casos, nuestra unica manera de relacionarnos con nuestros familiares y amigos. El uso de Whatsapp se disparo mas de un 800% al principio de la pandemia, pero ahora esta en un 30% debajo de los limites maximos. El motivo parece ser que, si bien al principio sufriamos de hiperconexión (clases, trabajo, amigos, etc), ahora el hecho de tener que hacer llamadas y videoconferencias se ha vuelto una carga y nos produce una sensacion de opresion. La autora de la nota cuenta una anecdota bastante peculiar: estaba haciendo cosas de la casa y escucho la conversaion entre sus hijos y la abuela. La abuela les pregunto “Que les pasa chicos, no tienen nada que contarme?” y los chicos le dijeron “que queres que te contemos, si todos los dias son iguales”. Las personas no están acostumbradas a interactuar con tanta intensidad, asi que es importante que nos tomemos un descanso de la tecnologia, y respetemos cuando las personas no tengan ganas de hablar con nadie

- Keepalive: piedra, generador, USB, WiFi

Aram Bartholl creó “Keepalive”: una piedra perdida en un bosque en Alemania. El chiste: tiene un generador termoeléctrico adentro. Cuando armás una fogata cerca, se enciende un router wifi con decenas de PDFs con info de supervivencia. Aram tiene varios “dead drops” en su haber, pero este es el primero que hace en el medio de la nada.

- Doom, pero en un chip, no, sin software, es un FPGA programado para SER el Doom

Ya hemos visto correr el Doom en calculadoras, en telefonos y hasta en heladeras! Pero en este caso, lo que hicieron estos muchachos que crear un chip para correrlo. No es como una PC que CORRE el Doom, sino que el chip ES el doom. En el articulo original pueden encontrar un monton de info tecnica si les gustan los juegos (por ej, como manejaron las texturas, como cablearon las cosas) y que cosas les gustaria mejorar en futuras versiones

- Sega está haciendo una Game Gear Micro

Sega va a festejar sus 60 años en el 2020, y para conmemorarlo, va a sacar otra consola retro, pero esta es muy particular, porque es una MINI Game Gear. En los ultimos años, tanto Nintendo como Sega han sacado versiones “modernas” (mas compactas, con USB o HDMI) de alguna de sus consolas, y ahora le toca el turno a la Game Gear. Pero en vez de usar un tamaño “regular”, se decidieron por un tamaño MINI (mide menos de 10 centrimetros de largo y 5 de alto, y tiene un display de 1.5cm), que entra en la palma de la mano. Viene en cuatro colores (cada uno de los colores trae 4 juegos) y, teoricamente, sale en Octubre (habra que ver si las fechas se modificaron por la pandemia)

- What I did during the Pandemic

Quien de los millenials no jugo al Maniac Mansion o al Monkey Island? Esos juegos marcaron un poco la infancia y los primeros pasos (al menos en mi caso) del uso de la PC. Uno de los desarrolladores de esos juegos de LucasArt, llamado Ron Gilbert, estaba un poco embolado durante la pandemia y se puso a hacer un nuevo juego sobre un engine MUY PARECIDO al usado en los juegos de LucasArt, que recuerda mucho a las aventuras graficas de ese entonces. El juego se encuentra disponible en Steam y en Epic Gamestore de forma gratuita, y se llama Delores: A Thimbleweed Park Mini-Adventure

- Facebook compra Giphy por 400 millones de dólares e integrará la gran plataforma de GIFs en Instagram

Giphy se suma a la división Instagram.

- Outages causados por K8s

Kubernetes Failure Stories, un compendio de postmortems en entornos de Kubernetes. Hay de todo, y obviamente DNS también. Por ejemplo, la gente de Preply tuvo un problemita de DNS en febrero. Por 26 minutos de downtime (4 de detección, 21 de trabajo, 1 de fix) perdieron 15.000 eventos dispersos en 3 servicios. Todo por una regla que no se borró de la tabla de conntrack. En resumen, gran fuente de información para tener en cuenta si usás o pensás usar Kubernetes.

- El bombardero B-21 va a usar Kubernetes

Si le creemos a la Fuerza Aérea de EEUU, el B-21, planeado para 2025, va a usar Kubernetes. Interesante mención al bucle OODA digital, relacionado con el episodio #OnCall. Funcionará el DNS a 33000 pies?

- Linus Torvalds abandona Intel por AMD después de 15 años.

The 7nm-based Ryzen Threadripper 3970X boasts 32-cores and 64-threads along with a massive 128MB L3 cache. It runs at a base frequency of 3.7 GHz with a boost frequency of 4.5 GHz.

- Linus & un patch de la comunidad

- Windows Package Manager Preview

winget, opensource package manager. yey.

- El caso de los paquetes de DNS perdidos: un historia del soporte de Google Coud

Un gran ejemplo de cómo funciona el análisis de problemas complejos, en este caso en el equipo de Google Cloud. Todo empieza con un problema de DNS (por UDP, no TCP) bastante difícil de reproducir. El análisis baja por las distintas capas, hasta encontrar que el problema no era DNS (!) sino sysctl. El incremento del buffer de recepción de UDP que el cliente tenía configurado, estaba disparando una condición que descartaba los paquetes UDP de DNS, cuando no debería. Todo esto resultó en un parche que se envió a LKML.

- Cows responsible for short outages to Google fiber network

Google recently “noticed frequent short outages (“flaps”) on a multi-terabit fiber path through Oregon.” // vacas pastando pisando la fibra, una fibra aerea que se cayo pero siguio funcionando.

- 15 años después: Ejecución Remota de Código en qmail (CVE-2005-1513)

Hace 15 años se descubrían 3 vulnerabilidades de ejecución remota de código en qmail. Las vulnerabilidades nunca se arreglaron, porque Daniel J. Bernstein, el creador de qmail) consideró que eran problemas del sistema operativo y no de qmail. Hace poco, la gente de Qualys pudo reproducir esas vulnerabilidades en una instalación actual de qmail, apuntando a uno de los procesos de qmail.

- New DNS Vulnerability Lets Attackers Launch Large-Scale DDoS Attacks

Amplificación recursiva comprando un dominio y apuntando los NS al target y usando clientes que piden dns

- PerimeterX Research Team Uncovers New Trend in Magecart Attacks: Multiple Magecart Groups Attacking Simultaneously

- Zero-day in Sign in with Apple

Problemas de seguridad vemos absolutamente todos los dias, y nos obligan a estara parcheando constantemente nuestros sistemas… en esta ocasion vamos a hablar sobre un exploit sobre el Sign in with Apple, que encontro un desarrollador, al cual le pagaron 100,000 dolares por haberlo reportado.

El sistema de Sign in with apple nos permite integrar de forma relativamente facil en nuestros sistemas la posibilidad de loguearse con ese sistema, y no pedirle un usuario y password al usuario para ingresar a nuestro sistema. Funciona con un JSON web Token o un codigo que se genera en los servers de Apple. La informacion del JWT no chequeaba realmente que el usuario fuera la persona que decia ser, entonces, forjando un token, podias lograr tener control sobre otra cuenta que no era la tuya. Si encuentran bugs en sistemas, tengan en cuenta que, a veces, reportar esos bugs nos puede generar un gran benefinicio economico… me pregunte cuanto el hubiera sacado la AFIP si esto hubiera pasado aca en Argentina :D

- Nuevas vulnerabilidades convierten a los Salt hosts expuestos a Internet en blancos fáciles

“Parcheá el viernes o te hackean el lunes”. Esa fue la advertencia de F-Secure el jueves 30 de abril, luego de publicar dos vulnerabilidades, catalogadas como un 10 en el ranking de CVSS, la severidad más alta posible. Cualquier servidor master de Salt expuesto a Internet es vulnerable. El 2 de mayo ya empezaron a haber reportes de gente afectada, en donde tanto el master como los minions reportaban alto uso de CPU por un minero de criptomonedas.

-

Quarkslab reporta varias vulerabilidades en Ansible.