Daboweb | Seguridad y ayuda informática |

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Enero de 2015.

En esta ocasión, 8 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Con fecha 8 de enero de 2015, se han publicado las píldoras formativas 13, 14 y 15 del proyecto Thoth.  La píldora 13  lleva por título ¿Qué es la cifra por sustitución monoalfabética? y en ella se resumen los conceptos genéricos de los sistemas criptográficos por sustitución que utilizan un único alfabeto de cifrado.

Acceso directo a la píldora 13: ¿Qué es la cifra por sustitución monoalfabética?
https://www.youtube.com/watch?v=sSL04hd3TDU

La píldora 14 con título ¿Qué es la cifra por sustitución polialfabética? presenta los aspectos básicos y la fortaleza añadida a la cifra por sustitución cuando se utilizan dos o más alfabetos.

Acceso directo a la píldora 14: ¿Qué es la cifra por sustitución polialfabética?
https://www.youtube.com/watch?v=VgmHd1ECkPA

Finalmente, la píldora 15 de título ¿Qué es la cifra por transposición o permutación? hace un repaso básico de los sistemas criptográficos por transposición o permutación y de su seguridad.

Acceso directo a la píldora 13: ¿Qué es la cifra por transposición o permutación?
https://www.youtube.com/watch?v=huIiPnr61sM

Todos los vídeos del proyecto Thoth cuentan con un archivo srt de subtítulos en YouTube para personas con limitaciones auditivas y un archivo podcast mp3 de audio para personas con limitaciones visuales.

Puede acceder a la documentación en pdf, el podcast en mp3 y los vídeos de estas píldoras y de todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php

La próxima del entrega proyecto Thoth en febrero de 2014 contempla también 3 píldoras:
Píldora 16: ¿Qué es la cifra del César?
Píldora 17: ¿Qué es la cifra afín?
Píldora 18: ¿Cómo se ataca la cifra por sustitución monoalfabética?

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Diciembre de 2014.

En esta ocasión, 7 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Noviembre de 2014 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Noviembre 2014:

• phpBB 3.1.2, actualización de seguridad
• Disponible WordPress 4.0.1, actualización de seguridad
• Drupal 7.34 y 6.34, actualización de seguridad
• Actualización crítica MS14-068 para windows
• Moodle 2.7.3, 2.6.6, 2.5.9 y 2.8.1 (Actualizaciones disponibles)
• Actualizaciones de Microsoft Noviembre 2014
• Disponible Drupal 7.33
• phpBB 3.1.1, actualización de seguridad.

Se encuentra disponible desde Microsoft y fuera del ciclo de publicaciones mensuales del mes de noviembre que ya reflejamos hace unos días, la actualización de seguridad MS14-068.

Esta actualización soluciona una vulnerabilidad en Kerberos, catalogada como crítica. La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

#Boletín y descarga actualización MS-14-068.

Se encuentran disponibles para su descarga las versiones de Moodle 2.7.3, 2.6.6, 2.5.9 y 2.8.1. En algunos casos solventan fallos en el funcionamiento a nivel general en versiones anteriores y en otros, se han corregido fallos de seguridad. Os recomendamos actualizar con brevedad para evitar problemas mayores.

Notas de la versión e info Moodle 2.7.3, 2.6.6 y 2.5.9 | versión 2.8.1

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Noviembre de 2014.

En esta ocasión, 16 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Octubre de 2014.

En esta ocasión, se compone de 8 actualizaciones de seguridad, 3 catalogadas como críticas y 5 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Unas horas después del problema con el borrado de ficheros en algunas cuentas que tenían activa la «sincronización selectiva», el equipo de Dropbox ha desmentido que hayan tenido una intrusión en sus sistemas ante tanto revuelo y noticias sobre un hackeo masivo.

Se hablaba de 7 millones de cuentas, de las que el supuesto atacante iba publicando avances en Pastebin (400 cuentas, con el usuario y su correspondiente contraseña) y según Dropbox, la mayoría de ellas están inactivas, aunque por seguridad han forzado al cambio de password a las cuentas que se ven en los listados.

Viendo las cuentas de correo publicadas, en su mayoría de Hotmail y en algunos casos de Yahoo, puede parecer a simple vista que el origen sea un Phishing, (suplantación de identidad) aunque esto es una apreciación de la redacción de Daboweb y según vayan pasando los días, tendremos una información más fiable.

Nuestro consejo es que aún con todas las explicaciones, actives la verificación en dos pasos y cambies tu contraseña actual como buena práctica regular de seguridad, además de para evitar ser víctima de esta posible brecha en un servicio de terceros.

No obstante, no dejéis de pasar por el centro de seguridad para ver los dispositivos vinculados, ya que tal y como nos hace saber Dropbox vía mail cuando cambiamos nuestra contraseña:

Si bien actualizamos tu contraseña, tus computadoras y teléfonos todavía están vinculados a Dropbox. Para desvincular un dispositivo que perdiste o te robaron, haz clic en este vínculo.

Os recomendamos leer: Guía de utilización segura de Dropbox – CSIRT-cv

Desde la Oficina de Seguridad del Internauta (OSI), acaban de poner a disposición del público un interesante servicio para comprobar online y al instante, si tu equipo (o dirección IP pública) es parte de una Botnet (o Red troyanizada de ordenadores).

Además, han publicado un plugin para el navegador Google Chrome mediante el cual nos avisan de forma automática en caso de infección.

Acceso y más info sobre «Servicio AntiBotnet» de OSI.

Es probable que hayas experimentado ya la sensación de ver en tu bandeja de entrada del correro un mail diciendo que tu WordPress se ha actualizado de forma automática a la recién publicada versión 3.9.2

Si por algún motivo no ha funcionado la actualización automática, te recomendamos que la apliques de forma manual ya que trae consigo interesantes mejoras y novedades en seguridad. Desde los peligrosos y molestos ataques de fuerza bruta a través de XML-RPC (han trabajado en conjunto con el equipo de Drupal), evita posibles fugas de información o la ejecución de código bajo determinadas circunstancias, pasando por paliar un posible XSS que afectaría al administrador y otros ataques de fuerza bruta vía CSRF.

.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Julio de 2014 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

julio 2014

• 29: [Breves] Versiones de mantenimiento de Drupal (7.30) y Joomla (3.3.3 y 2.5.24)
• 22: Drupal 7.29 y 6.32, actualización de seguridad
• 19: Revista gratuita fotográfica Foto DNG 95, Julio 2014
• 19: [Breves] Reiniciar el ordenador remoto desde TeamViewer sin perder la conexión
• 09: Actualizaciones de Microsoft julio 2014 (2 críticas)
• 08: [Breves] Guía: “Seguridad para tod@s en la Sociedad de la Información” (PDF)

En el caso de Drupal, se ha puesto a disposición de los usuarios la versión 7.30 que solventa varios fallos de importancia en su funcionamiento a nivel general, si hablamos de Joomla, las versiones 3.3.3 y 2.5.24, corrigen 4 y 2 errores por lo que es aconsejable mantenerlos actualizados.

Hoy nos hacemos eco a través de un post en «Seguridad a lo Jabalí«, de una recomendable lectura sobre Seguridad Informática en diferentes ámbitos de la Sociedad de Información con el título:

«Seguridad para tod@s en la Sociedad de la Información» (descarga del PDF, 177 páginas).

Como podéis leer a continuación, los puntos que tratan en la guía son actuales y de gran interés:

Seguridad Global
Introducción
La importancia de la seguridad
Falsos mitos de seguridad
Seguridad WiFi
Seguridad Bluetooth
Teléfonos inteligentes y PDA
Malware
Introducción
Tipos de malware
Prevención y desinfección
Links de interés
Navegación segura
Introducción
Consejos para realizar una
navegación segura
Elementos de seguridad
Correo electrónico
Introducción
Cuentas de correo electrónico
Enviando correos: Para, CC y CCO
Firma digital y cifrado
SPAM o publicidad no deseada
Continue reading…

Se encuentran disponibles en el canal YouTube de la Universidad Politécnica de Madrid los 7 vídeos del X Ciclo de Conferencias UPM TASSI 2014, impartidas en el campus sur de dicha universidad en Madrid,, entre el 20 de febrero y el 22 de mayo de 2014,

Hay una mezcla variada de contenidos en los vídeos y como pensamos que pueden ser de vuestro interés, os recomendamos su visualización.

Vídeos publicados:

Conferencia 1: Latch. Protección de identidades digitales, a cargo de D. Antonio Guzmán de Eleven Paths
http://www.youtube.com/watch?v=AH8sDRKhfq0

Conferencia 2: Posibilidades del voto telemático en la democracia digital, a cargo del Dr. Justo Carracedo de la UPM
http://www.youtube.com/watch?v=Idyi7wi6T38

Conferencia 3: Bitcoin: moneda y mercados, a cargo de D. Jonás Andradas de GMV
http://www.youtube.com/watch?v=T92WEgThJ-k

Conferencia 4: Protección de comunicaciones en dispositivos móviles, a cargo de D. Raúl Siles de DinoSec
http://www.youtube.com/watch?v=HbY8nnH3xrY

Conferencia 5: Ethical hacking: afrontando una auditoría interna, a cargo de D. Pablo González de Eleven Paths
http://www.youtube.com/watch?v=q7HcHGzOXd4

Conferencia 6: La amenaza del cibercrimen, a cargo de D. Juan Salom de la Guardia Civil
http://www.youtube.com/watch?v=WxxHp5ljhNQ

Conferencia 7: Ocultación de comunicaciones en el mundo real. Esteganografía y estegoanálisis, a cargo del Dr. Alfonso Muñoz de Eleven Paths
http://www.youtube.com/watch?v=gkmRP1NyYYw

La documentación utilizada por los ponentes puede descargarse desde la sección TASSI de la página web de la red temática Criptored.
http://www.criptored.upm.es/paginas/docencia.htm#TASSI2014