Resumen mes de Mayo de 2010 en CriptoRed

Posted by Destroyer on junio 06, 2010
Cibercultura / Comentarios desactivados en Resumen mes de Mayo de 2010 en CriptoRed

Como viene siendo habitual, desde CriptoRed nos ofrecen un resumen de las noticias y eventos acaecidos durante el pasado mes de Mayo.

Recordaros que se trata de la «Red Temática Iberoamericana de Criptografía y Seguridad de la Información», fundada en el año 1.998.

Estos son, algunos de los temas tratados a lo largo de este mes de Mayo de 2010:

  • Presentación del Máster MASGDTIC en Auditoría, Seguridad, Gobierno y Derecho de las TICs de la UAM.
  • Intervención en el Programa de Radio Nacional de España sobre Virus Informáticos y Documento (España).
  • Disponible el Esquema Nacional de Seguridad en Inglés Spanish National Security Framework (España).
  • Informe de la Red de Sensores de INTECO del Mes de Abril de 2010 (España).
  • Plan de Seminarios de Seguridad Informática para el Año 2010 de CYBSEC (Argentina, Paraguay, España).
  • Inseguridad de la Información: Confusión de Fines y Perfección de Medios en Blog IT Insecurity (Colombia).
  • Seminario Protección de Datos, Tecnologías de la Información y Sistema Educativo en la UIMP (España).
  • Octava edición de Asegúr@IT en Valencia (España).
  • Curso de Verano sobre Seguridad Informática en Valencia (España).
  • 10th International Conference on Mathematical Methods in Science and Engineering CMMSE en Almería (España).
  • Conferencia Privacidad y Libertad de Expresión en la Era de Internet en el VI Ciclo UPM TASSI (España).
  • Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red (España).

Criptored Mayo 2010.

Tags: , ,

Adobe Acrobat, Reader y Flash Player, graves vulnerabilidades

Posted by Destroyer on junio 06, 2010
Seguridad Informática / Comentarios desactivados en Adobe Acrobat, Reader y Flash Player, graves vulnerabilidades

Se ha notificado un grave fallo de seguridad aún sin solución para Adobe Reader y Acrobat y para Adobe Flash Player. La explotación de esta vulnerabilidad podría permitir tomar el control de los sistemas afectados.

Las versiones y plataformas afectadas son Adobe Reader y Adobe Acrobat en versiones 9 para Windows, Macintosh y UNIX.

En el caso de Adobe Flash Player la versión afectada sería la 10.0.45.2, la versión 9.0.262 y anteriores, para los sitemas Windows, Macintosh, Solaris y UNIX.

Parece ser que no serían vulnerables, la versión 8 de Adobe Acrobat y la nueva versión de Flash Player 10.1 RC.

Para el caso de Flash Player, la solución sería instalar la versión RC o bien, deshabilitarlo. En este manual puedes ver como Comprobar y actualizar la versión de Flash Player instalada en tu equipo.

Para Acrobat y como solución alternativa, al menos mientras se mantenga esta situación, sería utilizar la versión 8 de Acrobat, o bien, utilizar otros programas visores de archivos PDF.

Para seguir utilizando tu versión actual de Acrobat, conforme leemos en Genbeta, sería necesario borrar, cambiar el nombre o bloquear el acceso al archivo authplay.dll. que podrás encontrar en la siguiente ruta de Windows:
C:\Archivos de programa\Adobe\Reader 9.0\Reader\ o en su caso \Acrobat\, según el programa. Al realizar esta operación podrías tener errores al intentar abrir un PDF que contenga SWF.

Las vulnerabilidades están siendo explotadas, por lo que se recomienda tomar las debidas precauciones en tanto sean publicados los parches o actualizaciones que las solucionen.

Tags: , , , , , , , , , ,

«La espera ha finalizado», Coppermine CMS 1.5.4 estable.

Posted by Dabo on junio 05, 2010
Webmaster / Comentarios desactivados en «La espera ha finalizado», Coppermine CMS 1.5.4 estable.

Así han titulado el post desde Coppermine para anunciar el lanzamiento de la esperada versión 1.5.4 estable (dos años y medio) de este popular y extendido CMS para gestionar galerías fotográficas.

Por lo que se puede leer, han trabajado duro sobre la usabilidad y posibilidades de extensión de Coppermine, además, dan las gracias a toda la comunidad por el intenso trabajo realizando pruebas, traducciones, demandar funcionalidades, desarrollando temas gráficos o plugins.

Novedades más destacables;

• Built in Captcha engine
• Built in Watermark engine
• New Upload Interface
• Improved Groups control
• Improved Category Management tool
• Drag and drop sorting of albums
• Improved Search engine
• New core ‘Curve’ theme
• Improved image tagging
• Enhanced plugin engine.

Toda la información en el anuncio oficial de la nueva versión estable.

Tags: , , , ,

Drupal 6.17, versión de mantenimiento.

Posted by Liamngls on junio 03, 2010
Webmaster / Comentarios desactivados en Drupal 6.17, versión de mantenimiento.

Nueva versión de mantenimiento para Drupal, esta versión no incluye ninguna actualización de seguridad pero aún así es recomendable actualizar a esta nueva versión que corrige pequeños fallos de versiones anteriores.

Entre la lista de correcciones se encuentra un mejor manejo de las sesiones a través de las cookies, mejora la compatibilidad con PostgreSQL, PHP 5.3, PHP 4 ..

  • Anuncio oficial.
  • Descarga versión 6.17

    • Tags: , , , , , , ,

    Fugas de información en el puesto de trabajo y cumplimiento de la LOPD

    Posted by Dabo on junio 02, 2010
    Seguridad Informática / Comentarios desactivados en Fugas de información en el puesto de trabajo y cumplimiento de la LOPD

    Hoy os quería recomendar una entrada del blog de Pablo Teijeira, (Sophos) en la que resume los puntos en los que basó su presentación acerca de las «Principales 5 fugas de información» y cómo afectan al cumplimiento de la LOPD, en un evento de www.siycn.com (Seguridad de la información, cumplimiento normativas, etc).

    Su charla estaba basada en la fortificación del puesto de trabajo, el correo electrónico, etc, y cómo cubrir esas constantes fuentes de fuga de información o transmisión de datos por parte de los empleados de una empresa, ayudando de ese modo a cumplir varios puntos sensibles y de gran peso en la LOPD. Una Ley orgánica de protección de datos que por lo que he leído en «Sinyc», es incumplida por aproximadamente un 80 % de las multinacionales financieras según Compuware, ahí es nada…

    El autor, se refiere a temas que habitualmente como sabéis tratamos en Daboweb, desde ataques por Malware, aplicaciones potencialmente peligrosas en cuanto a fugas de datos si no se usan correctamente, dispositivos móviles, redes sociales, etc. Temas que no por ser tratados ampliamente ya aquí, dejan de tener interés, al contrario, una de las prácticas más perjudiciales hablando de seguridad, es bajar la guardia y aún conociendo los riesgos, no se toman lo suficientemente en serio las posibles amenazas tanto internas como externas.

    Acceso a; ¿Conoces las 5 principales vías de fuga de información? […]

    Tags: , , , , , ,

    Nueva versión de Joomla, 1.5.18, corrige vulnerabilidad XSS (en 1.5.7 y anteriores)

    Posted by Dabo on mayo 29, 2010
    Seguridad Informática / Comentarios desactivados en Nueva versión de Joomla, 1.5.18, corrige vulnerabilidad XSS (en 1.5.7 y anteriores)

    El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

    Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el «Back-end» (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

    Más información en el anuncio oficial | Sobre el XSS.

    Tags: , , , , , , ,

    www.daboweb.com, 8 años en Internet, gracias -;)

    Posted by Dabo on mayo 28, 2010
    Cibercultura / Comentarios desactivados en www.daboweb.com, 8 años en Internet, gracias -;)

    Un año más y van 8 como www.daboweb.com. En Internet, hablar del año 2002 es como hacer un viaje al pasado, no hay más que ver en Wikipedia lo que se cocía por aquella época (el 15 de Enero cumplía un año la versión en castellano-;).

    En el título no pone «gracias» gratuitamente o por adornar el post. «Gracias» a Daboweb, en lo personal he conocido a gente que es ya parte de mi vida, he podido ir evolucionando humana y tecnológicamente junto a muchos de vosotros que estáis aquí «desde el principio».

    Cuando todavía a ningún iluminado «2.0» se le había ocurrido eso de «las redes sociales», nosotros, nos hicimos fuertes en nuestro foro y a raíz de ahí se fue forjando la comunidad que somos hoy en día. Una comunidad inquieta, emprendedora a más no poder si tenemos en cuenta la cantidad de proyectos Web que he visto forjarse aquí y que, desde los inicios, se ha sentido muy cómoda tratando temas relacionados con la seguridad y ayuda informática en todas sus variantes.

    Sobra decir que sin esta gente y sin ese apoyo que nos llega desde vuestra parte, hubiera sido imposible para mi pensar en la fundación de Caborian, o llevar adelante todo lo que podéis ver en mi davidhernandez.es, mi «tarjeta de visita» vía web. Ellos siempre han entendido mi vena de «culo inquieto» como diría un castizo xD y nunca les estaré lo suficientemente agradecido.

    Aquí estamos y aquí seguimos, sobreviviendo y adaptándonos a las múltiples tendencias que hemos vivido en un mundo tan sujeto a cambios continuos como es el de Internet y la tecnología en general. ¿Lo mejor de todo?, todos hemos ido evolucionando y buscando nuestro propio camino, unos en Windows, otros en GNU/Linux o Mac OS X, con nuestras webs o blogs de mútiples temáticas (mirad el blogroll) pero…el grupo sigue unido, en constante comunicación y en Daboweb.

    Y para celebrarlo, nuestros amigos de Cajón Desastres, en un día tan especial, nos han preparado esta postal

    Va por ustedes ! Como mínimo, hay que cumplir los 10 y luego…otros 20 !

    Por (un orgulloso-;) David Hernández (Dabo), en compañía de sus AMIGOS.

    Tags: , ,

    Bots conversacionales, qué son y cómo protegerse

    Posted by Destroyer on mayo 25, 2010
    Seguridad Informática / Comentarios desactivados en Bots conversacionales, qué son y cómo protegerse

    Nos hacemos eco de esta noticia publicada en Inteco, referente a las precauciones a observar frente a robots conversacionales.

    Los bots conversacionales son programas informáticos que se hacen pasar por una persona real en un programa de mensajería instantánea. Son capaces de mantener una conversación con alguno de los siguientes fines:

    • Recopilar información confidencial como datos bancarios.
    • Instalar programas maliciosos.
    • Enviar publicidad no deseada.
    • Conseguir imágenes del usuario solicitando que se active la cámara web.

    En el siguiente vídeo publicado en el canal de Youtube de INTECO-CERT se puede ver un bot conversacional en acción:

    watch?v=4W2HeV9wAIk

    Para evitarlos, se recomienda seguir los siguientes consejos:

    • Limitar la difusión de la dirección de correo electrónico. No sólo para evitar los bots conversacionales, sino también, para evitar el spam.
      Es recomendable disponer de varias direcciones de correo que emplearemos en cada circunstancia, como explicábamos en este manual:
      Consejos de uso de las cuentas de correo electrónico.
    • Sospechar de los enlaces a páginas web o a programas que aparezcan en las conversaciones, aunque sean de amigos de confianza, sobre todo, si se tratan de enlaces o archivos que no se han solicitado.
      Mucha precaución sobre todo con aquellos que hacen referencia a la descarga o visionado de fotos, vídeos, etc. que exponíamos en este manual:
      Prevenir infecciones desde el Messenger.

    Algunos clientes de mensajería instantánea avisan al usuario del peligro de visitar estos enlaces como vemos en la captura superior.

    En definitiva y como siempre repetimos utiliza el sentido común y precaución.

    Tags: , , , , ,

    [Breves] Inesperada actualización final (la 9ª) para Debian GNU/Linux 4 (Etch)

    Posted by Dabo on mayo 24, 2010
    [Breves] / Comentarios desactivados en [Breves] Inesperada actualización final (la 9ª) para Debian GNU/Linux 4 (Etch)

    Inesperada ya que el equipo de desarrollo de Debian anunció que el pasado 15 de Febrero era la fecha limite de soporte para la actual versión «oldstable» (Etch), por lo que todos dábamos el ciclo de vida de Etch por finalizado.

    Esta actualización viene para corregir numerosos e importantes bugs localizados en Etch, por lo que si además de usar esta versión como entorno de escritorio,  lo haces en un servidor web, aún siendo lo aconsejable que se actualice a Lenny (versión estable), es de carácter urgente aplicar este update.

    Fuente y más información en DebianHackers.

    Tags: , , , , ,

    Difusión de Malware a través de secuestros DNS en subdominios

    Posted by Dabo on mayo 23, 2010
    Seguridad Informática / Comentarios desactivados en Difusión de Malware a través de secuestros DNS en subdominios

    Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre «a la última» en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

    Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

    Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

    Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como «nslookup» o hacer consultas DNS con el comando «dig» para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

    Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple «index.php» o «.html» en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

    Tags: , , , , , , , ,

    Ejecución de código arbitrario en McAfee LinuxShield

    Posted by Dabo on mayo 22, 2010
    Seguridad Informática / Comentarios desactivados en Ejecución de código arbitrario en McAfee LinuxShield

    Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

    El ataque se vale de la interfaz web de LinuxShield además del demonio local «nailsd» que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

    Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

    Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

    Tags: , , , , , ,

    50 herramientas de seguridad Open Source para reemplazar a las más populares.

    Posted by Dabo on mayo 19, 2010
    Seguridad Informática / Comentarios desactivados en 50 herramientas de seguridad Open Source para reemplazar a las más populares.

    En el campo de la seguridad, desde sus comienzos, el movimiento Open Source ha plantado cara con éxito a las soluciones comerciales (algunas muy efectivas) sin ningún complejo.

    Hoy queríamos recomendaros una lista muy elaborada de 50 herramientas Open Source relacionadas con la seguridad a modo de alternativas más que validas frente a las más usadas habitualmente, que no por ello tienen que ser necesariamente mejores.

    La lista está en Inglés pero se entiende perfectamente y en lo personal, puedo decir que muchas de ellas llevo usándolas desde hace años con muy buenos resultados. En ella podremos encontrar antivirus, firewalls, sniffers, herramientas de cifrado, backups, recuperación de datos y un largo etc.

    Acceso a; 50 herramientas de seguridad Open Source como alternativa a las más populares (ENG).

    Tags: , , , , ,

    Podcast número 17 de DaboBlog, ya disponible

    Posted by Destroyer on mayo 17, 2010
    Cibercultura / Comentarios desactivados en Podcast número 17 de DaboBlog, ya disponible

    Nuestro compañero Dabo ya ha publicado el número 17 del podcast sobre GNU/Linux y Mac que lleva adelante junto al resto de los participantes habituales que le acompañan en cada programa.

    En este número, dentro de la sección Kernel Panic (dedicada a GNU/Linux), se hablará de las novedades que aporta Ubuntu 10.4, así como su opinión sobre ciertos movimientos de Canonical que afectan a Ubuntu y su uso.

    En el apartado Manzanas Traigo (sobre Apple y Mac OS X); historia con Android y el iPhone, agradecimientos, Pin Podcast, iPad, precios, planes de datos, opiniones, fechas, microsim, etc, iPhone, sigue la saga del prototipo perdido, Jailbreak, nuestras recomendaciones de la quincena, etc. Mac, iTunes Live, lala, carta a Jobs ¿?, las manzanas de lur, etc.

    Tags: , , , , ,

    Liberado Kernel Linux 2.6.34

    Posted by Destroyer on mayo 17, 2010
    Programas / Comentarios desactivados en Liberado Kernel Linux 2.6.34
    Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 2.6.34.
    .
    Os invitamos a consultar también la Listado de cambios o “Changelog” de esta nueva entrega del Kernel.
    .
    Información sobre el Kernel en la Wikipedia.

    FAQS o preguntas frecuentes sobre el Kernel Linux.

    Descargar Kernel Linux.

    Tags: , , , ,

    Revista gratuita fotográfica Foto DNG 45, Mayo de 2010

    Posted by Dabo on mayo 15, 2010
    Cibercultura / Comentarios desactivados en Revista gratuita fotográfica Foto DNG 45, Mayo de 2010

    Como cada mes, ya tenéis disponible en este caso el número 45, de la revista Foto DNG (Año V). listo para descargar, también ver en formato Flash online o adquirir en versión impresa a través de Bubok.

    Desde Daboweb os recomendamos la descarga y visualización de Foto DNG, revista electrónica gratuita sobre fotografía, dirigida a todos los aficionados y profesionales de este ámbito.

    Una publicación que está orientada a usuarios que vengan del analógico como del digital. El formato es como siempre en pdf, y están licenciada bajo Creative Commons.

    El índice de contenidos de este número 45 es el siguiente:

    Índice

    • Redacción (Página 2).
    • Indice (Página 3).
    • Novedades (Página 4).
    • Casio EX-FH20 (Página 16).
    • OCZ Rally2 USB 2.0 Flash Drive 64Gb (Página 26).
    • Mezquita Hassan II (Página 31).
    • Calles de Calcuta (Página 38).
    • VEUDE (Página 54).
    • Raúl J. Martínez (Página 71).
    • Gana dinero con tus fotos (Página 86).
    • Noticias Eventos (Página 94).
    • Libros (Página 114).
    • Grupo Foto DNG en Flickr (Página 116).

    Acceso a la web de Foto DNG.

    Tags: , , , , ,

    « Previous Page Next Page »
    Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
    Privacidad