Red
Hat ha publicado una
actualización del kernel para toda
la familia Red Hat Enterprise Linux 7 que solventa siete nuevas
vulnerabilidades que podrían ser aprovechadas por atacantes para provocar
denegaciones de servicio, obtener contenido de la memoria o elevar sus
privilegios en el sistema .
Un problema en la lectura y
escritura de tuberías podría dar lugar a una corrupción de memoria que podría permitir
a un atacante provocar condiciones de denegación de servicio o elevar sus
privilegios en el sistema (CVE-2015-1805). Una condición de carrera en el subsistema
de administración de llaves puede causar la caída del sistema (CVE-2014-9529). Una
elevación de privilegios por un fallo en la implementación de la emulación 32
bits del kernel de Linux (CVE-2015-2830).
Un fallo en la implementación del
sistema de archivos ISO podrá permitir a... Continuar leyendo
Educación selectiva vs. Educación inclusiva.
¡Cuánto me apetecía escribir esta entrada! Una entrada que no hubiera
sido posible sin la lectura un libro que se ha convertido en todo un
referente para mí por la defensa que hace, precisamente, de una escuela
en la que cabemos todos. El libro en concreto se titula Aprender juntos alumnos diferentes y es de Pere Pujolàs.
La intención de esta entrada no es otra
que establecer las diferencias entre dos formas de entender la Educación
del siglo XXI, entre dos maneras de enfocar la enseñanza integral de
los alumnos. Ojalá tenga el placer de que me acompañes en la lectura de
este artículo que espero te sea, cuanto menos, de utilidad. Zarpamos…
Investigadores
de Trend Micro han anunciadouna vulnerabilidad en Debuggerd, el depurador
integrado en Android, que podría permitir acceder al contenido de la memoria de
dispositivos con Android 4.0 (Ice Cream Sandwich) a 5.0 (Lollipop).
El problema reside en que a
través de un archivo ELF (Executable and Linkable Format) específicamente
creado podría dar lugar a la caída del depurador y exponer el contenido de la
memoria a través de archivos tombstones y los correspondientes archivos logd. El
ataque por sí mismo no sirve de mucho, salvo para realizar denegaciones de
servicio, aunque sí podrá ayudar para la realización de otros ataques o
exploits, que permitan la ejecución de código y evitar la protección ASLR.
Ataques como POODLE y BEAST
pusieron en entredicho la seguridad de SSL. A principios de año, los
principales fabricantes (Microsoft, Google y Mozilla) bloquearon SSL por
defecto en sus navegadores y surgieron iniciativas como disablessl3.com para ayudar a los administradores a desactivarlo.
Todo
ello ha acelerado que el IETF (Internet Engineering Task Force) declare
definitivamente obsoleto a SSL v3. El documento de norma RFC7568
publicado este mes asevera SSLV3 como "no suficientemente seguro" y prohíbe volver a usarlo en nuevas aplicaciones:
"SSLv3 NO DEBE ser utilizado", dice el documento. "La
negociación de SSLv3 desde cualquier versión de TLS no debe permitirse.
Cualquier versión de TLS es más segura que SSLv3, aunque la versión más
alta disponible es preferible".
Nos han engañado vendiéndonos aplicaciones de comunicación que nos incomunican.
En realidad las empresas de software nos venden un modelo
comunicativo totalmente fraccional, que nos separa y nos clasifica. Esto
pasa ya desde antes, cuando se lanzó Skype como modelo de aplicación
comunicativa. Con la única condición de que la emisora y la receptora
sean usuarias de Skype. Lo mismo pasa con las aplicaciones de mensajería
pero con un aditamento: mientras el problema de Skype y aplicaciones
como Jitsi o Ekiga era que usaban un protocolo diferente de Skype;
mientras el protocolo para la mensajería instantánea generalmente esta
basado en SMS/MMS y podrían haber logrado intercomunicación de unos a
otros; priorizaron una conquista gradual del mercado y de hecho
impidieron esta intercomunicación. Más allá de que alguna aplicación de
este tipo se autoproclame software libre, su política fue de monopolio.
Victor Deutsh, Alicia Fortes, Raquel Pérez y Eduardo Parra,
expertos en seguridad digital en Telefónica – Movistar, exponen sus
puntos de vista sobre las principales tendencias mundiales a las que se
deben enfrentar las empresas a la hora de proteger los datos.
Estas nuevas versiones de cada rama solventan varios bugs y
vulnerabilidades que corrigen fallos tanto en el núcleo como en sus
componentes, por lo que se recomienda actualizar las versiones
anteriores.
Estas nuevas versiones de cada rama solventan varios bugs y
vulnerabilidades que corrigen fallos tanto en el núcleo como en sus
componentes, por lo que se recomienda actualizar las versiones
anteriores.
Navegar en sus profundidades es tan divertido como peligroso. Hoy te contamos cómo hacerlo de forma segura.
Hoy vengo a contarles de un producto realizado por la gente de Xenodesystem.
Calyphrox es una aplicación web, pensada para la navegación anónima
por la red. Lo interesante de esta aplicación es que no esta sólo
pensada para la web de superficie, sino también para la web profunda.
Básicamente Calyphrox es una proxy online que te permite navegar de
manera anónima en un 100 % y de esta forma te da también seguridad al
100%.
Con Calyphrox podés navegar la red profunda sin miedo a ser atacada o verte vulnerada por alguno de sus innumerables peligros.
Recordemos que la web profunda es aquella parte de la red; un 94% de
información, que no está al alcance de nuestra vista, no está indexada
en los buscadores.
A veces resulta que buscas información que está bloqueada ya sea para
que no accedas desde la escuela o el trabajo o a... Continuar leyendo
INCIBE, la Organización de Estados Americanos (OEA) y el Centro Nacional
para la Protección de las Infraestructuras Críticas (CNPIC) ponen en
marcha la primera edición de los ciberejercicios International CyberEx.
El objeto de International CyberEx 2015
[PDF] consiste en la ejecución de un ciberejercicio en el marco de los
Estados Miembros de la Organización de los Estados Americanos (OEA) que
permita el fortalecimiento de las capacidades de respuesta ante
incidentes cibernéticos, así como una mejora de la colaboración y
cooperación ante este tipo de incidentes. Dicho ejercicio se enfoca de
una forma directa hacia un perfil técnico de seguridad con altos
conocimientos en el ámbito de las Tecnologías de la Información y las
Comunicaciones (TIC).
Modelo técnico
El ciberejercicio se realizará en formato CTF (del inglés, Capture The
Flag). Este formato se basa en un modelo de competición de seguridad
cibernética y está diseñado para servir como un ejercicio de... Continuar leyendo