Daboweb | Seguridad y ayuda informática |

Preocupante noticia la que leemos en Internet, en la que se nos dice que el gigante informático Microsoft podrá grabar de forma legal conversaciones mantenidas en Skype, la popular aplicación informática de videoconferencias y chat usada por miles y miles de personas en toda red. El argumento que se esgrime para poder hacerlo es la lucha antiterrorista, usándose unicamente cuando el peligro de estos ataques y las sopechas sean claras y manifiestas. No obstante, esta noticia ha puesto en guardia a muchos internautas por un posible uso en contra del secreto en las conversaciones privadas.

Microsoft adquirió este servicio hace poco mas de un mes y ya entonces fueron muchas las voces que se manifestaron diciendo que todo iba a cambiar. La empresa que creara Bill Gates ha patentado «Legal Intercept», una tecnología usada para interceptar y monitorizar de forma legal llamadas de voz y vídeo dentro de Skype, entrando de esta forma a formar parte de CALEA (Communications Assistance for Law Enforcement Act), en las que las empresas de tecnologías de la comunicación son controladas, siempre por motivos de seguridad y de amenaza para el Estado.

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.4, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal.

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.4. (tar.gz).

Desde el blog de desarrollo de WordPress nos llega el aviso de esta actualización de seguridad disponible desde vuestros tableros de admin.

Esta entrega de WP corrige un problema serio que podría permitir a un malintencionado usuario con permisos de Editor ganar mayores privilegios sobre el blog afectado.

También agradecen a Gudinavicius de SEC Consult por su atención prestada e informan de que esta Version 3.1.4 incorpora otras mejoras de seguridad además de medidas de protección adicionales gracias al trabajo de los desarrolladores de WordPress  Alexander Concha y Jon Cave además del equipo de seguridad de WP.

Para conocer todos los detalles y cambios de esta versión ve al «change log» (ENG)

Además, se ha liberado la versión 3.2 Release Candidate 3 (descarga directa y versión para desarrolladores, no para blogs «en producción»)

Método para actualizar;

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Según informa Apple desde su lista de correo de seguridad; La actualización 5 de Java para Mac OS X 10.6 actualiza Java SE 6 a la versión 1.6.0_26 para ofrecer una mayor compatibilidad, seguridad y fiabilidad.

Para realizar esta actualización disponible a a través del menú «Actualización de Software» Apple aconseja que se salga de cualquier navegador web y aplicación Java antes de instalar esta actualización.

Desde aquí podrás saber más detalles acerca de esta actualización, también en este otro enlace encontrarás más información acerca del contenido de seguridad de esta actualización.

Según ha reconocido hace unos minutos Matt Mullenweg (ENG) y ante la sospecha de que plugins como AddThis, WPtouch y W3 Total Cache puedan contener una puerta trasera, con el correspondiente riesgo que conlleva, además de cerrar el acceso al repositorio de plugins mientras según sus propias palabras «buscan algo más desagradable», desde WordPress.org han decidido forzar a restablecer las contraseñas de acceso a servicios como sus foros, el trac, bbPress.org o BuddyPress.org.

Lógicamente, se recomienda no usar el password anterior ni tener el mismo en distintos servicios de WordPress. También se recomienda comprobar si  AddThis, WPtouch y W3 Total Cache corren con sus últimas versiones y en su defecto actualizar a la mayor brevedad posible.

Desde Daboweb os recomendamos encarecidamente acelerar estos procesos si usas esos servicios, ya que aún están buscando y sin querer caer en un alarmismo del que nunca hemos hecho gala, no está de más ante la duda cambiar también vuestros passwords de usuario en WordPress.com.

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión vamos a ver una serie de consejos y precauciones generales a observar al utilizar los servicios de mensajería instantánea como Messenger, Yahoo Messenger, Skype, etc. e incluso aplicables en algunos casos a redes sociales, Facebook, Twitter, etc..

Y es que, la seguridad al utilizar este tipo de servicios no solo se puede basar en disponer de una contraseña efectiva y sólida, utilizar programas de seguridad, etc.

A continuación reflejamos algunas indicaciones a tener en cuenta en el empleo de este tipo de programas que hemos publicado en nuestro blog Basicoyfacil.

Los programas de mensajería instantánea del tipo Windows Live Messenger, Yahoo Messenger, Skype, Pidgin,  etc., son muy utilizados por todos nosotros, bien sea para comunicarnos con nuestras amistades o familiares, o para relaciones de tipo laboral.

Cada uno de nosotros nos decantamos por un programa determinado e incluso por varios, atendiendo a sus prestaciones, posibilidades o comodidad de uso. (En nuestro caso, el programa Skype es prácticamente imprescindible en nuestro equipo, pues nos permite realizar conferencias de audio entre varias personas simultáneamente).

Llegados a este punto es muy importante prestar atención a los enlaces web que recibimos en las ventanas de chat o conversación. En muchas ocasiones estos enlaces NO los envía el contacto con el que estamos conversando, sino que aparecen a consecuencia de una infección.

Estos enlaces ofrecen títulos tan llamativos como:

• “Mira las fotos que me he hecho…”
• “Subo nuestras fotos a la web…”
• “Mira que canción he encontrado, te la dedico…”
• “Mira que…”
• etc.

Al pinchar en esos enlaces, nos muestran una ventana de descarga que nosotros podemos interpretar que se trataría de las fotos, música, etc., que nos quiere enviar nuestro contacto, pero que realmente se trata de un programa malicioso que instalará un troyano o virus en nuestro equipo si nuestro antivirus o nosotros no lo evitamos.

Por ello, nuestro consejo antes de pulsar sobre cualquier enlace web que os aparezca en la ventana de conversación, es que os aseguréis de que realmente es vuestro contacto quien os lo envía, preguntandoselo para así evitar posibles infecciones en vuestro equipo.

Y sobre todo, ante la duda, lo recomendable es No abrir archivos, ni pulsar enlaces.

Configura tu programa de mensajería instantánea para permitir mantener conversaciones solo con tus contactos:

• Skype, comunicarse solo con usuarios de tu lista de contactos.

• Comunicarte solo con tu lista de contactos permitidos en Messenger.

Configura el programa de mensajería para que analice automáticamente los archivos recibidos:

• Configurar el antivirus para examinar los archivos recibidos del Messenger.

Debe primar la cautela y el sentido común, como ya mencionábamos en el artículo sobre Precaución frente a correos sobre catástrofes o eventos especiales y sobre todo,  debemos siempre Analizar con el antivirus todas las descargas.

En Basicoyfacil.

Hasta la próxima entrega.

Tal y como publican hoy a nuestros amigos de «Cajon Desastres» al igual que otros sites,  Adobe ha liberado la versión 10.3.181.26 de su reproductor Flash Player que solventa un bug catalogado como «crítico» (más info sobre este y otros bugs en el blog de Adobe, ENG).

Esta entrada, viene a colación de la conversación que he mantenido con un usuario de Mac OS X sobre cómo se actualizaba Flash Player en OS X, ya que no veía la opción o aviso de actualización que le salía cuando usaba anteriormente Windows (por ejemplo con el plugin para el navegador Firefox).

Bien, eso sucede porque en versiones tipo la «10.1x», en «Preferencias del sistema» de Mac OS X no sale el icono de Flash Player ni las opciones que traen versiones más actuales (se pueden ver las capturas debajo), por lo que es más que necesario la actualización manual (bajar el .dmg e instalar, de ese modo ya avisará de las nuevas actualizaciones además de otras opciones de interés).

En «Preferencias del Sistema –> Complementos» (debajo a la izq);

En las opciones de Flash Player una vez haces click en el icono;

Desde esta dirección podéis comprobar tanto cuál es la versión actual instalada, así como la más reciente disponible para su instalación. (En el caso que se ve en la captura inferior la última disponible).

Por lo que si no tenéis instalada la última versión y dado que muchos de los ataques al usuario llegan desde el navegador web y por ende, vía Flash Player en numerosas ocasiones, es más que recomendable su inmediata actualización, para descargar la versión más reciente de Flash Player podéis hacerlo desde enlace.

Obviamente, estos consejos sobre la forma de actualizar Flash Player o su impacto en la seguridad del usuario, son también válidos para un usuario de Windows, GNU/Linux (donde hay un problema con las versiones de 64 bits y el anunciado fin de soporte por parte de Adobe) o cualquier otra plataforma (incluso móviles como es el caso de Android).

Esperamos que estos consejos os sean de utilidad.

Se encuentra disponible para su descarga e instalación la versión 12.0.742.91 de Google Chrome, que solventa diversas vulnerabilidades de este navegador web e introduce novedades.

Lo normal es que el navegador se actualice automáticamente, no obstante por si no fuera así, podéis seguir las indicaciones de nuestro manual de actualización de Google Chrome.

El navegador Google Chrome, se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

Se recomienda actualizar a la mayor brevedad posible por lo que ello representa como ya vimos en nuestro tema: Mantener el sistema operativo y el sofware actualizados.

En esta ocasión ha sido nada más y nada menos que @Sergio Hernando con quien ha tenido el placer de compartir micro nuestro compañero @Dabo. Un podcast en el que se habla de seguridad informática a varios niveles y que todos los aficionados al género deberían escuchar.

Análisis forense de equipos (o más bien la forma de trabajar de Sergio), respuesta rápida a incidentes y en general cómo es la vida de un consultor informático. Todo ello mezclado con opiniones sobre asuntos de seguridad que nos conciernen a todos entre dos colegas y no sólo en el aspecto técnico.

Enlaces; Blog de Dabo y el Blog de Sergio.

Sin más, os dejamos con el especial de DaboBlog.

DaboBlog Podcast «Especial Seguridad con Sergio Hernando»

Ficha completa en ivoox.com del episodio Especial.

Baja >el audio. (85 MB) Escuchar o descargar. (Navegadores, lectores de feeds o móviles sin Flash)

¿No ves el reproductor integrado vía tu lector de RSS?, entra con tu navegador
 

Desde la lista de correo de Apple Security nos llega este aviso de actualización de seguridad catalogada como 2011-003 para Mac OS X.

Durante el proceso de instalación de esta actualización, busca y elimina cualquier variante del rogue MacDefender si se encuentra en el sistema.

Recordad que está disponible a través del menú “manzana” – “actualización de software” y dado el tema que se solventa, es más que recomendable actualizar.

Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

No se entiende muy bien por qué lanzar dos versiones diferenciadas en el mismo momento cuando tanto una cosa, corregir problemas de seguridad, y la otra, corrección de errores, deben ir unidas de la mano en busca de un correcto funcionamiento de los sitios.

El archivo .htaccess ha cambiado en la versión 7.2, es importante tener una copia del que tengamos actualmente con las modificaciones que hayamos hecho. settings.php y el robots.txt no se modifican en esta actualización aunque es conveniente también tener una copia, como del resto de archivos.

En la versión 6.22 el que cambia es el robots.txt, así que cuidado a la hora de actualizar.

• Anuncio oficial.
• Descarga versión 7.2
• Descarga versión 6.22

Nueva actualización de seguridad para WordPress, la nueva versión 3.1.3 que mejora la seguridad con aportaciones de Alexander Concha (buayacorp).

Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.

Como toda actualización de seguridad es importante y muy conveniente actualizar a la mayor brevedad posible.

Entre las mejoras no explicadas detalladamente en el anuncio oficial tenemos las siguientes:

• La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
• El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
• El changeset 18019 corrige problemas que permiten realizar ataques XSS.
• El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Vía: buayacorp.

Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Via Hispasec nos enteramos de un fallo de seguridad en la herramienta de seguridad informática utlizada por muchos usuarios para matener su privacidad en la navegación web. La vulnerabilidad consiste en un error de comprobación de límites en la función «policy_summarize» localizada en el  archivo «policies.c», lo que podría ser aprovechado por un atacante remoto para provocar una denegación de servicio.
La versión 0.2.1.30 de Tor ya incluye la solución al fallo, habiéndose incluso incorprado a la misma mejoras que facilitan que usuarios de paises como Irán, donde las conexiones son rastreadas por las autoridades, puedan aprovecharse del uso de esta herramienta. Se recomienda a todos aquellos que habitualmente usen este programa, se actualicen a esta versión.

Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Seguridad en aplicaciones web.

En el vídeo, que dura alrededor de 16 minutos y se compone de cuatro escenas, «Alicia y Bernardo nos introducen la arquitectura básica de una aplicación web y las incidencias de seguridad típicas en este entorno, centrándose en ataques por inyección de código SQL».

ESCENA 1.
Arquitectura básica de una aplicación web. Incidentes de seguridad.

ESCENA 2.
Inyección de código en aplicaciones web.

ESCENA 3.
Técnicas de inyección a ciegas.

ESCENA 4.
Evitando las técnicas de inyección. Mitigación.

♦ Ver el vídeo.

♦ Descargar el guión en formato PDF.