Django Software Foundation ha lanzado Django 1.4.8, Django 1.5.4 y Django 1.6 beta 4. Se recomienda que los usuarios descarguen las últimas versiones lo más pronto posible debido a una vulnerabilidad que puede ser utilizada para lanzar ataques de denegación de servicio (DOS) contra el marco de autenticación.

Los expertos aconsejan a menudo a los usuarios establecer contraseñas largas y fuertes para asegurarse de que sean difíciles de adivinar o descifrar. Sin embargo, a veces no se recomienda elegir contraseñas demasiado largas.

En el caso de Django, se utilizan hashes PBKDF2 para asegurarse de que las contraseñas sean difíciles de crackear. Aunque éste sea un método complejo, también tiene sus desventajas.

"Django no impone ningún valor máximo para la longitud de la contraseña en texto plano, lo que significa que un atacante puede enviar contraseñas arbitrariamente grandes – y seguramente ineficientes -, obligando al servidor que ejecuta Django realizar el caro cómputo de hash resultante en un intento por verificar la contraseña", dice el aviso de Django.

"Una contraseña con un tamaño de un megabyte, por ejemplo, requerirá aproximadamente un minuto de cómputo para ser comprobada si utilizas el hasher PBKDF2. Esto permite ataques de denegación de servicio mediante el envío repetido de contraseñas grandes, blocando los recursos del servidor en el proceso de comprobación de las haches correspondientes."

Para solucionar este problema, el marco de autenticación ha sido configurado para rechazar automáticamente los intentos de inicio de sesión para contraseñas que exceden 4096 bytes.

La vulnerabilidad (CVE-2013-1443) afecta a la rama principal de desarrollo de Django, Django 1.4, 1.5 y 1.6, que se encuentra actualmente en estado beta.

Los desarrolladores de Django advierten que también es fundamental actualizar a la última versión porque los detalles de la vulnerabilidad no han sido reportados directamente a la empresa. En cambio, se hicieron disponibles al público en la lista de envío de desarrolladores de django.

Se aconseja que los expertos en seguridad que identifiquen fallos de Django los divulguen por correo electrónico a security (arroba) djangoproject (punto) com.

http://news.softpedia.es/Las-contrasenas-demasiado-largas-llevan-a-ataques-DOS-advierten-los-desarrolladores-de-Django-383727.html

Hidden Lynx es el nombre dado por los expertos a un grupo de ciberdelincuentes patrocinado por el estado que al parecer es aún más peligroso que el grupo APT1 - el colectivo responsable de numerosos ataques de alto perfil, incluyendo el hackeo de The New York Times.

Symantec ha estado monitorizando las actividades de Hidden Lynx desde hace bastante tiempo. Los investigadores dicen que los ciberdelincuentes son aparentemente de China.

Están altamente organizados, pacientes y ágiles. Se dice que son los pioneros de los ataques “watering holes”, y tienen acceso temprano a ataques de día cero.

La organización de ciberdelincuencia parece ser compuesta por 50-100 miembros divididos en dos equipos principales: Moudoor y Naid.

El equipo Moudoor utiliza herramientas desechables y técnicas básicas para atacar a sus blancos. Uno de sus propósitos es recolectar inteligencia. Su nombre proviene del troyano backdoor que están utilizando.

Naid es el "equipo de operaciones especiales". Sus miembros están especializados en atacar los blancos más valiosos y más duros. Su nombre se basa también en el troyano que están utilizando en sus campañas.

A diferencia del troyano Moudoor, el malware Naid se utiliza sólo en ocasiones especiales para asegurarse de que la amenaza no sea detectada y capturada.

Al menos seis grandes campañas han sido lanzadas por el grupo desde 2011 contra sectores industriales como TIC, industria aeroespacial/de defensa, servicios financieros, energía, comercialización y Gobierno.

Normalmente, varias organizaciones son atacadas durante un período sostenido de tiempo en cada campaña.

En lo que concierne la localización de los blancos, la mayoría de ellos (52%) están en los Estados Unidos, seguido por Taiwán (15,5%), China (9%), Hong Kong (4%) y Japón (3%). Organizaciones de Canadá, Alemania, Rusia, Australia y Corea del Sur también han sido atacadas.

Una de las más importantes organizaciones atacadas por Hidden Lynx es la empresa de seguridad informática Bit9. Bit9 fue hackeada a mediados de 2012.

Symantec ha publicado un libro blanco sobre Hidden Lynx.

http://news.softpedia.es/Los-expertos-analizan-las-operaciones-de-los-ciberdelincuentes-detras-del-hackeo-de-Bit9-383839.html

Parece que Google quiere llevar a cabo un cambio más en la industria de la publicidad por Internet. Según USA Today, el gigante de la búsqueda estaría trabajando en AdID, una forma de sustituir a las cookies de terceros que daría más privacidad a los usuarios y permitiría limitar las formas en las que los anunciantes nos siguen.

AdID sería un número de identificación que nos mantendría anónimos frente a las redes de publicidad: ellos tendrían nuestros intereses para mostrarnos anuncios más interesantes, pero sin saber realmente quienes somos. Sólo anunciantes aprobados por Google podrían acceder a ese código, y nosotros podríamos cambiar esa lista para excluir a los que no nos gusten.

El periódico no da muchos más detalles, así que en realidad no sabemos en qué consiste AdID. Podría ser algo relacionado con nuestra cuenta de Google, absurdo si por lo que estamos preocupados es por nuestra privacidad. Quizás la identificación la transmita el navegador directamente a la página, de forma parecida a lo que proponía Mozilla hace unos meses.

De cualquiera de las formas, AdID daría más control al usuario y, posiblemente, también a Google. Precisamente esto último es lo que no parece hacer mucha gracia a los anunciantes: lo último que les hace falta es depender de uno de sus mayores competidores. Google no ha hecho comentarios sobre el tema más allá de “estamos trabajando para mejorar los sistemas de seguimiento online”.

Ahora mismo no tenemos muchos datos para opinar, pero si finalmente AdID mejora nuestra privacidad, bienvenido sea. Eso sí, viniendo de Google habrá que andar con ojo avizor y vigilar cómo está implementado: como decía antes, no sirve de mucho dejar de darle datos a los anunciantes si despúes AdID permite a Google tener esos mismos datos.

http://www.genbeta.com/web/google-esta-trabajando-en-adid-su-alternativa-a-las-cookies-para-mostrarnos-anuncios-personalizados

-¿Os creéis todo lo que leéis en internet?

Quien lo pregunta es un periodista llamado Luis Alfonso Gámez. Se encuentra en el aula de un instituto, rodeado de chicos y chicas de unos 15 años, con sus teléfonos inteligentes, sus camisetas de death metal, su maquillaje y sus consolas portátiles. Todos responden que sí, claro, ¿por qué no iban a creer lo que está en internet?

La escena tuvo lugar hace un par de años, durante la grabación de Escépticos, un programa de divulgación científica que yo mismo dirigí para la televisión pública vasca. La escena fue escalofriante y, cuando el capítulo se emitió, algún espectador hasta nos acusó de haberlo trucado (entre ellos, supongo, los padres de las criaturas expuestas).

El episodio me ha venido a la mente esta semana, tras leer un artículo del divulgador científico Javier Peláez titulado "La enorme y urgente necesidad de una asignatura de pensamiento crítico". En el texto, publicado en su propio blog, Peláez defiende la necesidad de un sistema educativo basado en la evidencia y en la supresión de prejuicios.

Es cierto que, por norma general, tiende a considerarse que nuestro maltrecho sistema educativo no hace el suficiente hincapié en estos aspectos. Que se centra casi exclusivamente en la memorización (tabla periódica, ríos de España, reyes católicos), dejando de lado el aprendizaje de las herramientas necesarias para desarrollar el pensamiento crítico. ¿Pero es eso cierto?

Pues, contra todo pronóstico, no, no es cierto. Al menos, sobre el papel. Basta con echar un ojo a la famosa LOE, la Ley Orgánica de Educación. En ella aparecen varias menciones a la necesidad de formar a los alumnos en la crítica. Se dice, por ejemplo, que uno de los objetivos de la Educación Secundaria Obligatoria es "desarrollar destrezas básicas en la utilización de las fuentes de información para, con sentido crítico, adquirir nuevos conocimientos". Cualquiera lo diría, ¿eh? Un par de párrafos después, la Ley añade que el alumno debe desarrollar "el sentido crítico, la iniciativa personal y la capacidad para aprender a aprender".

¿Entonces por qué se producen situaciones como la que abre este artículo? ¿Por qué, en un aula cualquiera de un (buen) colegio, todos los alumnos de 15 años (insisto: todos) afirma, sin la menor duda, creer aquello que lee en internet? ¿Por qué, cuando lo preguntas, muchos te miran como si el loco fueras tú?

Sobre la necesidad de un pensamiento crítico

Hablando con educadores, no es difícil encontrarse con una queja recurrente: la dificultad de poner en práctica todo lo que se les exige (incluidas las dos frases de la LOE mencionadas más arriba) con unas herramientas muy limitadas. Bastante que, a duras penas, conseguimos abarcar todo el temario, suelen decir. ¿Pero realmente es necesario un tiempo extra para introducir el pensamiento crítico en clase? ¿De verdad hace falta material, aulas o libros adicionales para enseñar a los ciudadanos de futuro a pensar por sí mismos? ¿Hace falta una asignatura específica de pensamiento crítico, como defiende el título de Javier Peláez? ¿Soy el único al que eso le suena a derrota?

Quizá lo que Peláez es la opción más realista. La más práctica visto lo visto. Claro que, por otra parte, me imagino a los alumnos poniendo en duda al profesor de religión porque así se lo ha pedido la profesora de pensamiento crítico. Eso, en este país, acabaría con dos años de gresca política y otra reforma educativa.

La solución más lógica, aunque sin duda menos realista, pasaría por que el pensamiento crítico permease todo el sistema educativo. El escepticismo no es una materia (como, en el fondo, no debería serlo la educación y el respeto), sino una mirada. Una postura frente a la realidad.

Lógicamente, para que el pensamiento crítico alcance tal estatus en nuestro sistema educativo, debería alcanzarlo primero en nuestra sociedad. (Ya avisé de que no era una opción muy realista.) El triunfo de todo tipo de supercherías como las medicinas alternativas, el pánico a las ondas electromagnéticas o el movimiento antitransgénicos demuestra que la sociedad en que vivimos no destaca precisamente por su racionalidad.

La mano que mece la cuna

Un tal William Ross Wallace que, al parecer, era un poeta, escribió que "la mano que mece la cuna es la mano que domina el mundo". Es tan cierto que Wallace no necesitó escribir ningún otro verso memorable para pasar a la historia. Lo que ocurre es que, si esa mano que mece la cuna es acrítica y conformista, si acuna con desidia y apatía, el futuro no será mejor que el presente.

El mundo que se asoma allá a lo lejos está repleto de información y, por tanto, también de ruido. Cantidades ingentes de mensajes veraces, mentiras a medias, mentiras completas, miedos infundados y prejuicios rentables para unos pocos. La capacidad del ciudadano para analizar la información de manera crítica, será, por tanto, más necesaria que nunca.

Sabremos que el sistema educativo está haciendo bien las cosas cuando alguien entre en una clase, pregunte a los estudiantes si se creen lo que leen en internet y todos respondan:

-Por supuesto que no, ¿por quién nos tomas?

http://blogs.elconfidencial.com/tecnologia/no-me-creas/2013-09-16/si-esta-en-internet-es-verdad_28764/

La organización Anonymous ha 'hackeado' la web oficial de turismo de Tordesillas, insertando una 'noticia' en la que protesta contra el festejo del Toro de la Vega, "un muerto todavía vivo, un muerto con la muerte anunciada. Un muerto que antes de estarlo será torturado", escriben en el mensaje.

http://cdn.20minutos.es/img2/recortes/2013/09/17/138135-620-282.jpg

La noticia ha aparecido en la web de Tordesillas en la mañana de este lunes, una llamada de atención contra "esta mugrienta tradición" que también tildan de "espectáculo pensado por y para desequilibrados" y de "crimen cobarde perpetrado por cobardes".

"Anonymous quiere dejar un mensaje a los lanceros y políticos que hacéis posible cada año este ritual: #EstaNOesMiFiesta, #StopToroDeLaVega, continuaremos luchando y seremos la voz de aquéllos que no tienen voz", afirman.

En la noticia incluyen un vídeo con el tema musical Sangre en la arena, de Santaflow, que denuncia el trato de los toros en la considerada 'Fiesta Nacional'.

Un centenar de personas se ha concentrado este martes en Tordesillas (Valladolid), antes del inicio del torneo del Toro de la Vega, en las inmediaciones del recorrido, para intentar que no se celebrase, con gritos de "no es cultura, es tortura" y "es ilegal el Toro de la Vega".

Por su parte, el Partido Animalista ha entregado en el Congreso 85.000 firmas por la abolición del Toro de la Vega.

http://www.20minutos.es/noticia/1921359/0/anonymous-hackea/web-tordesillas/toro-de-la-vega/#xtor=AD-15&xts=467263

Una semana después del lanzamiento del nuevo móvil de Apple -el iPhone 5s- ya tenemos tema de debate alrededor de su lector de huella dactilar y la tecnología Touch ID. ¿Cómo de efectivo es el escáner? ¿Pueden suplantar mi identidad? ¿Es una herramienta más para espiar a la población civil? ¿Se puede hackear?.

Vayamos por partes. Muchas de estas dudas las analizamos en el post “cómo funciona Touch ID“, pero la perversa mente humana tiene nuevas y escalofriantes preguntas como por ejemplo… ¿Se puede engañar al escáner con un dedo cortado?

LEER MAS: http://blogs.20minutos.es/clipset/se-puede-enganar-al-iphone-5s-con-un-dedo-cortado/

La llegada de Windows 8.1 a todos los públicos está prevista en un mes, aunque ya circula por la red la versión RTM que se ha facilitado a los suscriptores de MDSN y TechNet que va a ser prácticamente idéntica a la versión final que publicará Microsoft a los usuarios de su nuevo sistema operativo Windows 8. Aunque Windows 8.1 viene con un botón de inicio, este botón no abre el esperado menú inicio clásico de Windows, por lo que los usuarios que quieren tener dicho menú disponible en su sistema optan por buscar aplicaciones que les permita sustituirlo.
 
En SoftZone hemos hablado anteriormente sobre varios programas que nos permiten realizar esto, analizándonos y explicando su funcionamiento. Aunque la mayoría de ellos estaban únicamente disponibles para Windows 8, se han ido actualizando todos ellos en las últimas semanas y ahora son prácticamente todos compatibles con el nuevo Windows 8.1. A continuación os vamos a listar las aplicaciones que ya son compatibles con el nuevo Windows 8.1 y nos permiten añadir el añorado menú inicio a dicho sistema.

LEER MAS: http://www.softzone.es/2013/09/17/recopilacion-de-aplicaciones-para-anadir-un-menu-inicio-windows-8-1/

A la par que ha sido presentada la versión de Firefox 24 para escritorio, la Fundación Mozilla ha hecho debutar también Firefox 24 para Android. La nueva entrega trae una novedad importante: soporte para WebRTC, la API HTML 5 que permite la comunicación en tiempo real mediante vídeo y voz en la web.

El soporte WebRTC habilitado por defecto debutó en Firefox 22, en junio. Ahora el soporte llega a la versión Android, donde es posible que se le saque mucho partido, dadas las características y el uso que hacemos de los dispositivos móviles. Con Firefox 24 para Android podemos realizar capturas con la cámara y el micrófono directamente desde el navegador.

La nueva versión de Firefox para Android permite realizar llamadas de audio y vídeo de navegador a navegador. Esta funcionalidad puede ponerse a prueba desde el sitio WebRTC Reference App. También se pueden compartir datos directamente, sin necesidad de servidores en medio del camino, con aplicaciones peer-to-peer, tipo chat de texto, juegos, compartir imágenes, etc.

http://img.genbeta.com/2013/09/firefox-24-android-compartir.png

Otras características nuevas incorporadas en Firefox 24 para Android son:

•Modo Lectura mejorado, que ahora alternará de forma automática entre el modo luminoso y el oscuro.
•Posibilidad de compartir pestañas abiertas entre teléfonos con NFC.
•Acceso más fácil para compartir desde el menú principal.
•Añadido soporte para Braille
•Firefox para Android ha sido traducido al catalán, además de al sueco y al inglés británico.

Más información | Mozilla https://www.mozilla.org/en-US/mobile/24.0/releasenotes/

http://www.genbeta.com/navegadores/webrtc-llega-a-firefox-para-android

Si algo es gratis en la web, entonces los terroristas se apresurarán para utilizarlo, independientemente del país que ofrece el servicio. Al menos eso es lo que piensa Michael Hayden, ex jefe de la NSA y la CIA.

Durante un discurso, Hayden dijo que Gmail fue el “proveedor de servicios de Internet de los terroristas de todo el mundo”. Por supuesto, esa declaración es errónea porque Gmail es un servicio, no un proveedor de Internet, pero lo dejaremos pasar.

Luego añadió que “no creo que veáis eso en un anuncio de Google, pero es gratis, es omniopresente y por supuesto, está siendo utilizado por los terroristas”.

Esto coincide con la posición adoptada por los agentes federales en todo el escándalo del espionaje, cuando dijeron que los reportes sobre el programa PRISM de la NSA cambiarían la forma de comunicarse de los terroristas.

Yo ya lo dije una vez y lo volveré a decir, nadie puede creer que éste sea el caso. ¿Por qué un terrorista preferiría utilizar un servicio que está siendo vigilado por la NSA casi con total seguridad?

http://news.softpedia.es/Ex-jefe-de-la-NSA-Los-terroristas-prefieren-Gmail-porque-es-gratis-383537.html

Publicado el 17 de septiembre de 2013 por Antonio Rentero   

Comienzan a popularizarse las baterías portátiles para surtir de energía a móviles y tablets pero la que hoy nos ocupa añade a su gran capacidad una manivela para que si llegamos a agotar también este suministro adicional de watios aún podamos generar un poco más.

Entre el aumento del tamaño de las pantallas de los smartphones y la cada vez mayor necesidad de energía de los mismos con conexiones de datos a alta velocidad empleadas de forma casi permanente, la tecnología de las baterías permite autonomías aún mayores pero todo tiene un límite y llega un momento del día en que comenzamos a mirar nerviosamente alrededor en busca de algún enchufe.

Otra alternativa es, como si fuésemos un P.Tinto, viajar con nuestra propia energía, en este caso en forma de baterías auxiliares. En el caso de Boost Turbine tenemos dos modelos de baterías auxiliares de 2.000 y 4.000 mAh, que además añaden un remedio para el caso de que incluso agotemos esa reserva, una manivela que al girarse por el usuario genera electricidad suficiente como para seguir empleando el dispositivo. De hecho con la optimización del mecanismo en Eton han conseguido que un minuto de giro de la manivela proporcione cuatrominutos de suministro de energía. Dicha energía puede ser entregada a través de los puertos USB y microUSB que incluye.

También existe la opción de la misma batería pero sin la manivela, con lo que tenemos un tamaño menor de dispositivo, más cómodo para llevar en el bolsillo y con la misma capacidad en mAh. Para los más exigentes existe incluso una opción que podríamos denominar como mastodóntica, el modelo con batería de 8.000 mAh, capaz de ofrecer cuatro cargas completas para la batería de un smartphone de tipo medio e incluso puede recargar dos móviles al mismo tiempo. A cambio y como pega, necesita un ciclo completo de 9 horas para recargarse por completo.

http://www.theinquirer.es/wp-content/uploads/2013/09/eton.jpg

La denominación de los modelos Boost Turbine recoge el número de miliamperios que almacenan, y en cuanto a sus precios el BT 4000 (con manivela) cuesta $80, el BT 4200 (sin manivela) $60 y el grandullón BT 8000 se vende a $100.

vINQulo

Amazon

http://www.theinquirer.es/2013/09/17/boostturbine-de-eton-4-000-mah-de-bateria-portatil-y-ademas-manivela-para-recargar.html#sthash.4fQSVK71.dpuf