Daboweb | Seguridad y ayuda informática |

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.2 (segunda de la rama 3.5) y que solventa 12 bugs respecto a la entrega anterior (3.5.1).

Respecto a cuestiones de seguridad, se han solventado 7 vulnerabilidades «serias», varias relacionadas con XSS, DoS, entre ellas una relacionada con la librería de SWFUpload y otra con la librería externa del editor TinyMCE y otras menores. Podeis leer la traducción de estas correcciones de seguridad en Ayuda WordPress.

La actualización, muy importante hacerla,  está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para junio de 2013.

En esta ocasión, se compone de 5 actualizaciones de seguridad, 1 catalogada como crítica (Internet Explorer) y 4 como importantes que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, denegación de servicio, divulgación de información, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de junio de 2013.

A continuación os enlazo el vídeo subido al canal de Youtube de la Universidad Politécnica de Madrid, con la séptima y última conferencia del IX Ciclo UPM TASSI 2013 de «Temas Avanzados en Seguridad y Sociedad de la Información».

Con el título “Mundo hacking»  esta conferencia es impartida por D. Román Ramírez. Ferrovial, Rooted CON, impartida en el Campus Sur de esta universidad el pasado 4 de abril.

También puedes descargar la presentación en pdf utilizada en la conferencia, así como acceder a las demás conferencias de este noveno ciclo, desde el servidor web de Criptored, pulsando en este enlace.

Una vez más, nos hacemos eco de la publicación de la cuarta lección en el aula virtual de Cript4you, dentro del Curso de privacidad y protección de comunicaciones digitales.

En esta ocasión y en su lección 4 se aborda el tema “Protección de comunicaciones en dispositivos móviles”.

Tal y como podemos leer en la publicación original:

Los dispositivos móviles constituyen uno de los principales, si no el principal, medio de comunicación que utilizamos en la actualidad. Cada vez son utilizados por más personas, y cada vez se emplean en un mayor número de escenarios y ámbitos diferentes, desde el ocio personal, hasta el acceso a datos corporativos con un alto nivel de confidencialidad, pasando por multitud de aplicaciones de uso cotidiano, como el acceso al correo electrónico o a las redes sociales y la navegación por Internet.

Lamentablemente, todas estas tecnologías presentan vulnerabilidades y riesgos de seguridad. Por ello, es importante conocer cuáles son las principales amenazas asociadas y adoptar las medidas de protección adecuadas para eliminar, o al menos reducir, nuestro nivel de riesgo.

La presente lección se centra en la protección de las comunicaciones de los dispositivos móviles, y en concreto, de las comunicaciones inalámbricas a través de las tecnologías NFC (Near Field Comunication), Bluetooth, Wi-Fi y 2G/3G.

Temario

• Apartado 1. Introducción

• Apartado 2. Recomendaciones de seguridad generales

• Apartado 3. Protección de comunicaciones NFC

• Apartado 4. Protección de comunicaciones Bluetooth

• Apartado 5. Protección de comunicaciones Wi-Fi

• Apartado 6. Protección de comunicaciones móviles 2G/3G (voz, SMS y datos)

# Acceso a la 4ª lección.

Siguiendo el camino de compañías como Google, Dropbox o recientemente Twitter, la autenticación en dos factores (o pasos) llegó también a Evernote el pasado día 30 de mayo (recordemos que sufrió no hace mucho una intrusión que en teoría, afectó a casi 50 millones de usuarios). De momento, sólo será efectiva en cuentas Premium y Bussines. Más adelante y cuando (según ellos) tengan depurados sus procesos para ofrecer con garantías el servicio a toda la base de usuarios, lo implementarán en las cuentas gratuitas. Lo que sí se puede ver desde ya, es una nueva opción denominada "Access History", desde la que se puede comprobar la actividad de la cuenta, dispositivos desde los que se ha conectado y direcciones IP (función habilitada para todo tipo de cuentas).

Del mismo modo, tal y como podemos leer en Bitelia, también se ha habilitado este sistema de seguridad adicional en Linkedin (un password que llega vía SMS, para introducirlo además del que se usa normalmente para acceder al servicio en cuestión). Por poner un ejemplo, en Dropbox se puede usar cada vez que se enlace o vincule un nuevo dispositivo. En uno de los pasos, se le envía al usuario por un SMS al móvil una clave (de un sólo uso, «OTP», acrónimo de One Time Password) para validar su acceso y verificar que ese PC, móvil o Tablet, tiene realmente permisos para ello.

Nos hacemos eco a través del Twitter de Luis Delgado, de la publicación por parte del CNN-STIC, enmarcado en el ámbito de «Guías de seguridad en las TIC» (tecnologías de la información y comunicación), de la publicación en formato PDF de 3 guías para promover un uso seguro en dispositivos Android, iPhone e iPad (enlaces a las descargas).

Las 3 guías son muy completas y algún caso llegan a las 200 páginas. En ellas, intentan abarcar muchos de los problemas de seguridad más comunes en este tipo de dispositivos y cómo paliarlos. No está de más recordar que muchos atacantes ya buscan estos vectores de entrada, debido al alto uso de los mismos y un cierto desconocimiento general.

El pasado fin de semana y de la mano de «@_Angelucho_» (y sus amigos) se llevaron a cabo las primeras jornadas «X1RedMasSegura» en Madrid. Ya están disponibles los vídeos y presentaciones del evento. Cabe destacar el gran esfuerzo colectivo para acercar conceptos de seguridad complejos en un formato «para todos los públicos» (al estilo de nuestro blog hermano «Básico y fácil«), orientado a grupos de personas más vulnerables a la gran cantidad de ataques que sufrimos día a día desde múltiples vías.

También os recomendamos escuchar la entrevista que le realizaron a Ángel en «Ventanas en la Red» de Radio3W«. Allí podréis escuchar que pronto verá la luz su libro en formato electrónico de forma gratuita (se ha agotado la edición en papel). Lo dicho, enhorabuena por la iniciativa y todo nuestro apoyo desde aqui.

Acceso a los Vídeos, presentaciones y toda la información en el Blog de Angelucho.

Una vez más, nos hacemos eco de la publicación de una nueva lección en el aula virtual de Cript4you, dentro del Curso de privacidad y protección de comunicaciones digitales.

En esta ocasión y en su lección 3 se aborda el tema «Comunicaciones seguras mediante mensajería instantánea».

Tal y como podemos leer en la publicación original:

En esta lección se analizan varios protocolos de mensajería instantánea profundizando en diferentes aspectos relacionados con su seguridad asociada y se realizan recomendaciones para la configuración de comunicaciones seguras mediante herramientas de software libre y OTR.

Este es el temario tratado.

Apartado 1. Introducción
Apartado 2. Arquitectura general
Apartado 3. Protocolo MSNP
Apartado 4. Skype
Apartado 5. Protocolo OSCAR
Apartado 6. Protocolo YMSG
Apartado 7. Ejemplos de protocolos seguros que han sido propuestos
Apartado 8. Análisis de seguridad
Apartado 9. XMPP
Apartado 10. OTR
Apartado 11. PIDGIN
Apartado 12. Referencias

# Acceso a la 3ª lección.

A continuación os enlazo el vídeo subido al canal de Youtube de la Universidad Politécnica de Madrid, con la cuarta conferencia del IX Ciclo UPM TASSI 2013.

Con el título «Gobernando la seguridad hacia los objetivos corporativos», de D. Antonio Ramos, Presidente de ISACA Madrid, Socio Director de n+1 Intelligence&Research y CEO de leet security, impartida en el Campus Sur de esta universidad el pasado 4 de abril.

También puedes descargar la presentación en pdf utilizada en la conferencia, así como acceder a las demás conferencias de este noveno ciclo, desde el servidor web de Criptored, pulsando en este enlace.

Una vez más, nos hacemos eco de la publicación de una lección en el MOOC de Cryp4you. En esta ocasión, se aborda un tema de gran importancia para la privacidad del usuario como el cifrado de discos. La Lección (muy recomendable) está impartida por Román Ramírez, Responsable de Seguridad en Arquitecturas, Sistemas y Servicios en Ferrovial y fundador del congreso de seguridad Rooted CON..

Tal y como podemos leer en la publicación original:

En esta lección se introduce a los conceptos básicos para la protección de la información almacenada en discos duros y soportes similares mediante las herramientas más potentes en esta temática. Se realizan diferentes recomendaciones de protección y se realiza un proceso guiado para la utilización del software TrueCrypt.

Acceso a la segunda lección.

El equipo de Joomla acaba de anunciar la disponibilidad de las nuevas versiones de la rama 3.x y 2.x. En concreto, está lista para descargar la versión 3.1.0 con una gran cantidad de bugs solventados (242) en cuanto al funcionamiento  en general del CMS. Dentro de las actualizaciones, se incluyen 7 parches relativos a la seguridad que afectaban a versiones anteriores.

También se ha liberado la versión 2.5.10 como «Actualización de seguridad», por lo que es más que recomendable aplicar la actualización a la mayor brevedad posible. Os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla.

Apple acaba de poner a disposición de los usuarios la descarga de Safari 6.0.4 para OS X Lion y Mountain Lion, así como para Java. Debido al impacto en el sistema de los bugs que se han solventado, recomendamos actualizar a la mayor brevedad posible.

Info ampliada de la lista oficial de Apple

Continue reading…

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android.

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Manual para comprobar la versión de Flash Player instalada.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para abril de 2013.

En esta ocasión, se compone de 9 actualizaciones de seguridad, 2 catalogadas como críticas (Internet Explorer y Escritorio Remoto) y 7 como importantes que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, divulgación de información, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de abril de 2013.

Se encuentra disponible para su descarga y actualización Drupal 7.22, versión de mantenimiento que corrige un número importante de errores (ninguno considerado de seguridad) y que podeis consultar en el enlace de debajo para más detalles (en inglés).

Nota oficial y descarga, info completa sobre la versión.