Curso terminado, volvemos a postear normalmente

Una vez terminado el curso de la semana pasada, del que ya di cuenta un par de veces (posts) debido a las visitas recibidas, espero que esta semana pueda sacar todos los posts que se me han quedado acumulados. Algunos no saldrán porque bastante se han comentado.

Sobre el curso simplemente decir que acabé encantado. Es un lujo contar con una audiencia que realmente viene a aprender y con la disponibilidad de escuchar cosas nuevas. Pudimos hacer varias prácticas (montajes de redes, sistemas de seguridad, filtrados, pruebas de cobertura, y por supuesto demostramos como se puede saltar una contraseña WEP de 128 bits en cuestión de minutos), y todos se llevaron una buena base de cúal es el estado de las redes inalámbricas, y cual puede ser el futuro.

Esta semana, tocan otras cosas, que pronto desvelaré.

Problemas de seguridad en Open Office

OpenOffice ha publicado un boletín que descubre tres graves problemas de seguridad en su software ofimático y que han sido descubiertos a través de una auditoría interna de código. Mientras, las vulnerabilidades en Microsoft Office siguen dando que hablar, y algunos creadores de virus aprovechan para volver a los virus de macro.

Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x.
OpenOffice.org ha publicado la versión 2.0.3 que resuelve estos problemas. En breve se publicará un parche para la versión 1.1.x.

Los errores son tres:

* Algunos applets de Java pueden saltar fuera de la sandbox, con lo que el código del applet podría tener acceso al sistema con los privilegios del usuario que lo ha ejecutado. Para este problema, si no se aplica el parche, es posible deshabilitar el soporte para los applets de Java y mitigar el problema (aparte de usar privilegios mínimos).

* Existe un fallo a la hora de interpretar ficheros en formato XML que abre la posibilidad de desbordamientos de memoria intermedia en documentos especialmente manipulados. Este error haría que OpenOffice.org dejase de funcionar y potencialmente, cabría la posibilidad de ejecución de código arbitrario.

* Existe por último un fallo en el mecanismo de macros que puede permitir a un atacante incluir ciertas macros que podrían llegar a ejecutarse incluso si el usuario las ha deshabilitado. Estas macros también podrían tener acceso al sistema completo con los privilegios del usuario que lo ejecuta, que no sería advertido de la ejecución en ningún momento. No existe contramedida específica para este fallo, es necesario el parche.

La mayoría de distribuciones ya están proporcionando sus respectivas versiones actualizadas. Se recomienda actualizar desde aqui a la versión 2.0.3. Estas son, por ahora, las vulnerabilidades más graves encontradas en este conjunto ofimático. La anterior vulnerabilidad de considerable gravedad se descubrió en abril de 2005, y permitía la ejecución de código con sólo abrir un archivo en formato .doc. En aquel momento, aunque los detalles sobre el problema fueron publicados, no se utilizó la vulnerabilidad para esparcir virus o malware en general de forma masiva. En esta ocasión, además, teniendo en cuenta que los detalles no son públicos, tampoco se prevé que sea aprovechado para infectar sistemas, aunque su creciente popularidad puede terminar por hacerlo objetivo de ataques generalizados.

Via Hispasec

Cámara DLINK DCS-2120 Wireless y 3G

Nueva cámara DLINK. Modelo DCS-2120.
De aspecto muy similar a la DCS-2100G, esta cámara trae como novedad la posibilidad de verla en tiempo real a través de dispositivos 3G (PDA, móvil, etc), además de pc´s, y dentro de una intranet, o desde cualquier ordenador conectado a Internet.

Es capaz de capturar imagenes con excelente definición aun en condiciones de poca luz o de noche y posee un zoom digital de 4x. Se pueden ver hasta 16 cámaras simultáneamente en un PC con el software que incluye.

Soporta resoluciones de hasta 640 × 480 píxeles a 30 frames por segundo. La fecha de salida está prevista para este mes de Julio, y el precio será de unos 260 € + iva. CAMYNA, te la puede reservar desde aqui.

Todos los datos aqui

PERM, otro modo de compartir Wifi


PERM es un software de compartición para redes WIFI.

Es una alternativa a FON, pero sin cobrar. Lo han desarrollado en la Universidad de Illinois. El sistema utiliza algoritmos de planificación de flujos para seleccionar la mejor conexión disponible y proporciona a los propietarios del acceso a Internet prioridad para usar su propia conexión.

De momento para entornos LINUX exclusivamente, y se puede encontrar toda información aqui

Via Tecnowifi
Y aprovecho a poner un texto que me ha gustado del blog de Fernand0, precisamente sobre el uso cortés de las redes wifi privadas:
«I have a completely open Wi-Fi network,» Schneier told ZDNet UK. «Firstly, I don’t care if my neighbors are using my network. Secondly, I’ve protected my computers. Thirdly, it’s polite. When people come over they can use it.»
Bruce Schneier

Google compra trillones de direcciones IP

Según leo en Canguro Rico, ante la llegada del nuevo protocolo de direcciones IP, IPV6, en sustitución del IPV4 actual, Google ha comprado la friolera de 2^96 direcciones IP fijas.

Con esta compra adquiere 20 trillones de veces las direcciones IP existentes en la actualidad (¿es eso posible?, yo me pierdo con tanto número).

Y ¿para que querrá tantas direcciones IP?. ¿Cuantos ordenadores prevé tener?

Vulnerabilidades en Internet Explorer 6

Se han descubierto dos vulnerabilidades en Internet Explorer que pueden ser aprovechadas por atacantes para, potencialmente, revelar información sensible del sistema y ejecutar código HTA y comprometer un sistema.

El primer fallo se debe en un error a la hora de manejar las redirecciones que puede ser aprovechado para acceder a documentos servidos a través de otro sitio web usando la propiedad object.documentElement.outerHTML.

El segundo fallo se debe a un error en el manejo de ficheros compartidos que puede ser aprovechado para que un usuario ejecute aplicaciones HTA especialmente manipualdas a través de ataques de directorio transversal en el nombre del fichero.

Se ha comprobado que los errores afectan a un sistema Windows XP Service Pack 2 completamente actualizado, aunque otras versiones pueden verse afectadas. No existe parche oficial. Se recomienda deshabilitar el active scripting y filtrar el tráfico de archivos compartidos.

Camyna te recomienda éste navegador
Via Hispasec

Visita del Concejal de Ciencia y Tecnología.

En el curso que estos días estoy impartiendo, pudimos contar ayer con la presencia del Concejal de Ciencia y Tecnología del Ayuntamiento de Zaragoza, Don Ricardo Cavero, al que desde aqui le agradezco su presencia por segundo año consecutivo en este curso.

El Concejal nos habló de las transformaciones que va a tener Zaragoza en los próximos años, con motivo de la Expo, Milla Digital y otros proyectos que van a situar a nuestra ciudad en el mapa. Los proyectos los centró sobre todo en el ámbito tecnológico, y habló de los equipamientos de los que dispondrán tanto las viviendas, como las oficinas en las zonas mas modernas (Milla, Expo, etc), de las redes públicas de telecomunicaciones con fibra óptica, capaces de dar al usuario final un ancho de banda de 50 Mbps.

Naturalmente comentó las comunicaciones por WIFI que se habilitarán por distintas partes de la ciudad, y del anillo central de 64 fibras que podrán dar servicio, entre otros, a unos 100 hot spots.

Y dejó caer otras novedades como el uso de farolas para enlaces de otras comunicaciones (luminosas, avisos, etc); las paradas de bus inteligentes, los carriles de tráfico también inteligentes; las cortinas de agua digital, el pavimento con memoria, o los ladrillos interactivos con wifi.

Todo ello muy atractivo desde el punto de vista tecnológico. Ojala todo llegue, si no para la Expo, si para el plazo que se han marcado de 10 años.

Finalizó la charla con una reseña al tema de los terminales ligeros, del que espero que pronto yo os pueda contar alguna novedad

El desconocimiento del Software Libre

Cuando hace unas semanas impartí un curso, del que di cuenta aqui, sobre seguridad informática en la empresa, los alumnos (algunos de ellos, al menos), se sorprendieron del hecho de que todas las herramientas que comenté para seguridad, eran de acceso libre y gratuito. No concebían que la seguridad pudiese ser gratuita. Y eso que estábamos hablando de entornos Windows en su mayoría.

A los pocos días ocurrió algo similar cuando expliqué por encima a un grupo de empresarios software como e-groupware, u openbravo. Desconocían que el Software Libre fuese capaz de esas cosas, y, repito, mas en entornos Windows. Y la escena volvió a repetirse días mas tarde en otro curso.

Hoy, he vuelto a ver caras de sorpresa al comentar al grupo de alumnos con los que voy a estar toda la semana, que tanto el software que usaré para las presentaciones, como para detectar redes wifi, o para hacer estudios de cobertura, serán GRATIS y/o LIBRES.

Mañana les tengo preparados unos cd´s con OpenOffice, Ubuntus, Gluz, Juegalinex, y alguna cosa mas que encontraré. Y me pregunto: Si yo no soy un gran conocedor del Software Libre, y solo soy un limitado usuario de algunos programas libres ¿que harían si oyesen hablar a verdaderos gurús del tema?
¿Por que hay tanto desconocimiento? ¿Por que se relaciona SL con LINUX exclusivamente? ¿o con Hackers/Crackers?
¿Por que no se hace algo para que esto cale bien en la gente? ¿Que mejor gente que los alumnos de primaria y ESO actuales para conocer estos temas? ¿Por que tenemos que aguantar cosas como ésta?

Si hace unos años, a los que usaban maquinas de escribir, les hubiesen exido un pago por usarlas, independientemente del gasto en tinta, papel, mantenimiento, etc. ¿que hubiese pasado? ¿por que ahora la gente no protesta?, Ah! claro porque piratea…
Que triste, no?