martes, 15 de diciembre de 2015

Editorial de la Sexta Edición de la Revista Digital #VirtualDTIC


Seguimos demostrando que nuestra Universidad Central de Venezuela siempre avanza, teniendo como norte el Camino hacia la Excelencia y en tal sentido, la Dirección de Tecnología de Información y Comunicaciones se complace en publicar la Sexta Edición de la Revista Digital #VirtualDTIC dirigida a toda la Comunidad Universitaria y Público en general, orgullosos de nuestro esfuerzo y compromiso para difundir nuevos servicios, avances de proyectos, temas actuales que se abordarán en nuestras acostumbradas secciones de: Plataforma Tecnológica, Comunidad Internet (Communet), Servicios Innovadores, Contenido Ligero, Voz Estudiantil, entre otros.

Como es tradición en nuestras ediciones decembrinas, se publica un Encarte Especial, donde resaltamos los logros de quienes trabajan con mucha dedicación y profesionalismo en nuestra magna Casa de Estudios, y en esta oportunidad queremos enaltecer al Teatro Universitario para Niños “El Chichón”, quienes este año 2015, arriban a sus 37 años de labor ininterrumpida en la escena teatral infantil venezolana.

De igual forma, contamos con un espacio de contenido ligero que plantea el impacto de la tecnología en nuestras vidas, en esta ocasión una reflexión de la figura del empleado del futuro, denominado  “Empleado 3.0” como resultado de la simbiosis existente entre la tecnología y el talento humano.

Asimismo, en esta edición se continúa abordando temas vinculados con nuevas herramientas y/o plataformas para el desarrollo de soluciones que contribuyan a la migración de sistemas informáticos a plataformas que cumplan con los estándares internacionales de software libre, abierto o no propietario; de forma tal que la Institución cumpla con la Ley de Infogobierno.

Por otro lado, se presentarán interesantes aportes por parte de la comunidad estudiantil para compartir sus reflexiones en cuanto a los mitos y realidades que versan sobre la Migración de Documentos Ofimáticos, así como una propuesta de adopción de principios de reproducibilidad en las investigaciones, considerando el Caso Estudio: Asignación de Cupos Universitarios 2015.

El equipo de #VirtualDTIC sigue trabajando con el ánimo de ratificar nuestra revista como un espacio de referencia para los miembros de la comunidad universitaria que deseen divulgar sus proyectos y logros vinculados con el área tecnológica.

Mariangela Alvarez
Directora #VirtualDTIC



martes, 1 de diciembre de 2015

Repositorios Institucionales


El Repositorio Institucional (RI) se entiende como un Sistema de Información que reúne, preserva, divulga y da acceso a la producción intelectual y académica de las comunidades universitarias.

En la actualidad, el RI se  constituye en una herramienta clave de la política científica, tecnológica y académica de la universidad.

Objetivo: Facilitar el acceso a la comunidad de los resultados de investigaciones realizadas por sus miembros y aumentar la visibilidad de la producción científica de la Institución. Asimismo, contribuir a la preservación de los documentos digitales allí depositados.

Contenido: Los Repositorios Institucionales suelen incluir tesis doctorales, artículos de carácter científico, ponencias o comunicaciones a congresos, revistas electrónicas editadas por la institución, materiales docentes, elaborados por los profesores e investigadores de la universidad o centro de investigación.

En tal sentido, la Dirección de Tecnología de Información y Comunicaciones de la UCV, en el marco de la Migración hacia Software Libre está propiciando el establecimiento de un Repositorio Institucional para agilizar el acceso a la información de avances del proyecto en sus distintas áreas, que permitan el intercambio de conocimientos y experiencias en cuanto a soluciones bajo Software Libre, como alternativa de servicios que están bajo plataforma propietaria y deben ser migrados en el menor tiempo posible.

Inicialmente, se ha habilitado la siguiente dirección: http://repositoriolinux.ucv.ve para acceder a las dos versiones de Sistema Operativo Ararauna, una de 32 bits y otra de 64 bits con paquetería ofimática robusta.

Posteriormente, se publicarán documentos y presentaciones realizadas con el proceso de Migración hacia Software Libre que contribuyan con el avance del Proyecto y aseguren el cumplimiento de la Ley Infogobierno por parte de la Universidad Central de Venezuela.



Autor: Mariangela Alvarez 
Coordinación División Difusión y Atención de Usuarios.




lunes, 23 de noviembre de 2015

Firmas Digitales
Lic. Evelyn Terrones
Div. Seguridad Informática - DTIC
La autenticidad de algunos documentos legales y en general, cualquier tipo de documento se determina mediante el uso de la firma manuscrita ya que ni siquiera sirve una fotocopia de la misma. Para que los documentos enviados de forma digital tengan la misma validez que un documento firmado a mano se crea la firma digital. Es un método criptográfico que asocia una identidad ya sea de una persona en particular o de un equipo a un mensaje enviado a través de transmisión por la red. Su uso puede ser diferente dependiendo de lo que queramos hacer con la firma ya que tendremos posibilidad de validar que el documento es emitido por nosotros, expresar conformidad con algún documento de tipo legal como podría ser la firma de un contrato laboral e incluso asegurar que no podrá modificarse el contenido del mensaje. La firma digital es el resultado de aplicar a un documento, en línea, un procedimiento matemático que requiere datos que exclusivamente conoce la persona que firma, encontrándose ésta bajo su absoluto control.
Con la firma digital debe cumplirse que el receptor debe ser capaz de verificar la identidad del sujeto transmisor. El transmisor no puede rechazar el contenido del mensaje que ha expedido. El receptor no deber ser capaz de poder construir el mensaje el mismo.
La firma digital debe ser susceptible a verificación por terceras partes, de manera tal que dicha verificación permita, simultáneamente, identificar al firmante y detectar cualquier cambio al documento digital posterior a su firma. Podemos mencionar también que la firma digital tendrá idéntica validez y eficacia a la firma manuscrita, siempre que esté debidamente autenticada por claves u otros procedimientos seguros de acuerdo a la tecnología informática. Es necesaria una autoridad certificadora que regule y valide la firma digital, en los sitios de comercio electrónico es fundamental contar con un certificado SSL para poder brindar seguridad a sus clientes.
En el caso de Venezuela, se promulgó una nueva legislación para otorgar validez a las firmas electrónicas y para establecer mayor certeza jurídica en cuanto a la validez de las mismas.
Decreto – Ley sobre Mensajes de Datos y Firmas Electrónicas Venezolana se promulga el 28 de Febrero de 2001 en el marco de la Ley Habilitante otorgada al Presidente de la República Bolivariana de Venezuela, este fue un proyecto presentado por VenAmCham y la Cámara de Comercio Electrónico (CAVECOM).
Este Decreto – Ley reconoce en su artículo 1 eficacia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda la información inteligible en formato electrónico.
Se debe indicar que este Decreto – Ley considera en su artículo 7 lo siguiente: “Cuando la ley requiera que la información sea presentada o conservada en su forma original, ese requisito quedará satisfecho con relación a un mensaje de datos si se ha conservado su integridad”.
Cabe destacar que la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el encargado de coordinar e implementar el modelo jerárquico de la infraestructura Nacional de Certificación Electrónica, también acredita, supervisa y controla a los Proveedores de Servicios de Certificación (PSC) y es el ente responsable de la Autoridad de Certificación Raíz del Estado Venezolano. Así mismo, está encargado de proveer estándares y herramientas para implementar una tecnología de información óptima en las empresas del sector público, a fin de obtener un mejor funcionamiento y proporcionar niveles de seguridad confiables.
Algunos casos de éxito en la implementación de esta tecnología son:
·         Oficina Nacional de Identificación y Extranjería (e-pasaporte).
·         Servicio Nacional Integrado de Administración Aduanera y Tributaria (RIF Inteligente).
·         Venalum Industrias Básicas (Sistema de Congestión: Generación de Certificados Electrónicos para clínicas y ambulatorios).
·         Ministerio del Poder Popular para la Alimentación (Aprobación de exportaciones de alimentos de manera electrónica).
·         Fundación Instituto de Ingeniería (FII)
                                                   



lunes, 16 de noviembre de 2015


Openstack. Nuevas tendencias en la Nube



En esencia, OpenStack es un sistema operativo sobre el que se construyen las nubes públicas o privadas. Pero OpenStack es una plataforma, no es solo una pieza de software que se descarga y se instala para construir una nube y “¡voila!”. En lugar de eso, OpenStack se compone de más de una docena de elementos que controlan los aspectos más importantes de una nube. Hay un proyecto para la gestión de cómputo, redes y almacenamiento en la nube. Otros para la identidad y la gestión de acceso, y unos para orquestar las aplicaciones que corren encima de todo esto. Al colocarlos juntos, esos componentes permiten a las empresas y proveedores de servicio ofrecer recursos de computación bajo demanda, al provisionar y gestionar grandes redes de máquinas virtuales. El código para cada proyecto puede ser descargado gratuitamente de GitHub y muchos de esos proyectos son actualizados dos veces al año cuando sale un nuevo reléase. La mayoría de compañías que interactúan con OpenStack lo hacen través de una nube pública que se ejecuta en estos componentes, o a través de una versión producida de este código distribuido por uno de los muchos proveedores involucrados en el proyecto. Es importante conocer las piezas que componen el proyecto. Así que aquí está el OpenStack básico (1).

Componentes (2)
OpenStack tiene una arquitectura modular con varios nombres para sus componentes.

Compute (Nova)
OpenStack Compute (Nova) es un controlador de estructura cloud computing, que es la parte principal de un sistema de IaaS. Está diseñado para gestionar y automatizar los pools de los recursos del equipo y puede trabajar con tecnologías ampliamente disponibles de virtualización. KVM y Xen son las opciones disponibles para la tecnología de hipervisor, junto con la tecnología Hyper-V, la tecnología vSphere de VMware y la tecnología de contenedores Linux como LXC.
Está escrito en Python y usa muchas bibliotecas externas, como Eventlet (para la programación concurrente), Kombu (para la comunicación AMQP) y SQLAlchemy (para acceder a la base de datos). La arquitectura de Compute está diseñado para escalar horizontalmente en hardware estándar, sin requisitos de hardware o software propietarios, y proporcionar la capacidad de integración con sistemas legados y tecnologías de terceros.

Object Storage (Swift)
OpenStack Object Storage (Swift) es un sistema de almacenamiento redundante y escalable. Los objetos y los archivos se escriben en varias unidades de disco repartidos por los servidores del centro de datos, con el software OpenStack responsable de asegurar la replicación y la integridad de los datos en el clúster. Agrupaciones de almacenamiento escalar horizontalmente simplemente añadiendo nuevos servidores. En caso de que un servidor o disco duro falla, OpenStack replica su contenido desde otros nodos activos a nuevas ubicaciones en el clúster. Debido a que OpenStack utiliza la lógica del software para asegurar la replicación de datos y la distribución a través de diferentes dispositivos, discos duros y servidores de bajo costo pueden ser utilizados.
En agosto de 2009, Rackspace comenzó el desarrollo del precursor de OpenStack Object Storage, como un reemplazo completo para el producto Cloud Files. El equipo de desarrollo inicial consistió en nueve desarrolladores. SwiftStack, una compañía de software de almacenamiento de objetos, es actualmente el líder en el desarrollo de Swift.

Block Storage (Cinder)
OpenStack Block Storage (Cinder) proporciona dispositivos de almacenamiento a nivel de bloque persistentes para usar con instancias de OpenStack Compute. El sistema de almacenamiento de bloques gestiona la creación, aplicación y el desprendimiento de los dispositivos de bloque a los servidores. Volúmenes de almacenamiento de bloque se integran plenamente en OpenStack Compute y el Dashboard que permite a los usuarios en la nube gestionar sus propias necesidades de almacenamiento. Además del almacenamiento del servidor local de Linux, puede utilizar las plataformas de almacenamiento incluyendo Ceph, CloudByte, Coraid, EMC (VMAX y VNX), GlusterFS, Hitachi Data Systems, IBM Storage (familia Storwize, controlador de volumen SAN, XIV Storage System, y GPFS) , Linux LIO, NetApp, Nexenta, Scality, SolidFire, HP (StoreVirtual y 3PAR StoreServ familias) y almacenamiento puro. El almacenamiento de bloques es apropiado para escenarios donde el rendimiento es sensible, tales como el almacenamiento de base de datos, sistemas de archivos expandibles, o la prestación de un servidor con acceso al almacenamiento a nivel de bloque en bruto. La gestión Snapshot ofrece una potente funcionalidad para realizar copias de seguridad de los datos guardados en volúmenes de almacenamiento en bloque. Las instantáneas no se pueden restaurar ni utilizar para crear un nuevo volumen de almacenamiento en bloque.

Networking (Neutron)
OpenStack Networking (Neutrones, anteriormente Quantum) es un sistema para la gestión de redes y direcciones IP. Asegura que la red no presente el problema del cuello de botella o el factor limitante en un despliegue en la nube y ofrece a los usuarios un autoservicio real, incluso a través de sus configuraciones de red.
OpenStack Networking proporciona modelos de redes para diferentes aplicaciones o grupos de usuarios. Los modelos estándar incluyen redes planas o VLAN para la separación de los servidores y el tráfico. Gestiona las direcciones IP, lo que permite direcciones IP estáticas o DHCP reservados. Direcciones IP flotantes permiten que el tráfico se redirija dinámicamente a cualquiera de sus recursos informáticos, que permite redirigir el tráfico durante el mantenimiento o en caso de fracaso. Los usuarios pueden crear sus propias redes, controlar el tráfico y conectar los servidores y los dispositivos a una o más redes. Los administradores pueden aprovechar las redes definidas por software de tecnología (SDN) como OpenFlow para permitir altos niveles de multiempresa y escala masiva. OpenStack Networking tiene un marco que permite la extensión de servicios de red adicionales, como los sistemas de detección de intrusos (IDS), balanceo de carga, cortafuegos y redes privadas virtuales (VPN) para ser implementada y administrada.

Dashboard (Horizon)
El Dashboard de OpenStack (Horizont) proporciona a los administradores y usuarios una interfaz gráfica para el acceso, la provisión y automatización de los recursos basados ​​en la nube. El diseño permite que los productos y servicios de terceros, tales como la facturación, el monitoreo y las herramientas de gestión adicionales. El Dashboard es sólo una forma de interactuar con los recursos de OpenStack. Los desarrolladores pueden automatizar el acceso o construir herramientas para gestionar sus recursos mediante la API nativa de OpenStack o la API de compatibilidad EC2.

Servicio de Identidad (Keystone)
El servicio de Identidad de OpenStack (Keystone) ofrece un directorio central de usuarios asignados a los servicios de OpenStack que pueden acceder. Actúa como un sistema de autenticación común en todo el sistema operativo para la nube y se puede integrar con los servicios de directorio backend existentes como LDAP. Es compatible con múltiples formas de autenticación, incluyendo nombre de usuario y contraseña de credenciales estándar, sistemas basados ​​en tokens e inicios de sesión (login) de estilo AWS (es decir, Amazon Web Services). Además, el catálogo incluye una lista consultable de todos los servicios existentes en la OpenStack cloud, en un solo registro. Los usuarios y las herramientas de terceros mediante programación pueden determinar qué recursos pueden acceder.

Servicio de Imagen (Glance)
El servicio de imagen de OpenStack (Glance) proporciona servicios de descubrimiento, de inscripción y de entrega de los discos y del servidor de imágenes. Las imágenes almacenadas se pueden utilizar como una plantilla. También se puede utilizar para almacenar y catalogar un número ilimitado de copias de seguridad. El servicio de imagen puede almacenar imagenes de disco y de servidores en una variedad de back-ends, incluyendo OpenStack Object Storage. La API de servicios de imagen proporciona una interfaz REST estándar para consultar información sobre las imágenes de disco y permite a los clientes transmitir las imágenes a nuevos servidores.

Telemetría (Ceilometer)
El servicio de Telemetría de OpenStack (Ceilometer) proporciona un único punto de contacto para los sistemas de facturación, proporcionando todos los contadores que se necesitan para establecer la facturación del cliente, a través de todos los componentes actuales y futuras de OpenStack. La entrega de los contadores es trazable y auditable, los contadores deben ser fácilmente extensible para apoyar nuevos proyectos, y los agentes que realizan las colecciones de datos deben ser independientes de todo el sistema.

Orquestación (Heat)
Heat es un servicio para orquestar múltiples aplicaciones compuestas en la nube utilizando plantillas, tanto a través de una API REST OpenStack nativa y una API de consultas compatibles con CloudFormation

Base de datos (Trove)
Trove es una base de datos que funciona como un servicio de aprovisionamiento de motores de bases de datos relacionales y no relacionales.




lunes, 9 de noviembre de 2015

ADMINISTRADORES DE CONTENIDO




Los administradores o gestores de contenido (CMS por su siglas en inlgés Content Manager System) son software que proveen una plataforma robusta que permite gestionar de manera ágil y sencilla los contenidos de un sitio web.

Desde un sitio básico hasta un portal de contenidos dinámicos, estos sistemas permiten realizar tareas sencillas de incorporación de contenido y mantenimiento a cualquier sitio web, ya que proveen todos los medios necesarios para crear páginas web, escribir y editar artículos, mostrar fotografías, imágenes o subir archivos multimedia, entre otras posibilidades. Los CMS también permiten incorporar múltiples aplicaciones a un sitio para funciones tan diversas como: escribir un blog, crear encuestas, mantener foros de discusión, realizar trabajos colaborativos o, incluso, atender tiendas virtuales. Todo esto sin que los usuarios requieran ningún nivel avanzado de conocimientos en Internet ni de lenguajes complejos de programación.

Existen muchos CMS de software libre populares como son: Joomla, Drupal, XOOPS, CMS Made Simple y WordPress los cuales cuentan con comunidades de programadores muy activas que permiten que el software esté en constante evolución y mejora.

Para el desarrollo del Portal web de la UCV usamos el administrador de contenidos Typo3 que es un sistema administrador de contenido de envergadura empresarial, está adaptado para las necesidades de empresas u organizaciones, en términos de productividad y usabilidad.

Typo3 está basado en PHP y MySQL y no solo es un CMS, además es un potente framework para desarrollo de webs con php. A medida que nos adentramos en su núcleo, nos damos cuenta que está realmente bien analizado y programado. Permite la implementación del multilenguaje, aspectos de seguridad, API para la consulta de base de datos, sistema de paginación de resultados, indexación de los contenidos que se generen y mil cosas más.

En definitiva los administradores de contenido están siendo cada vez más usados y se están volviendo imprescindibles para las empresas con presencia en la web 2.0 donde los contenidos de calidad y actualizados con mucha frecuencia priman a la hora de conseguir visibilidad en la red y un buen posicionamiento en buscadores.




martes, 3 de noviembre de 2015

Concienciación en la Reducción del Consumo Telefónico en la UCV

La situación país ha incidido gravemente en la asignación presupuestaria de las universidades públicas nacionales, en especial en la UCV y en aras de reducir los gastos por consumo telefónico de nuestra casa de estudio, la DTIC está realizando el monitoreo en cuanto a la cantidad de minutos al mes utilizado por los usuarios del servicio en llamadas a celulares, locales, nacionales e internacionales.

El objetivo no es tomar acciones punitivas sino por el contrario concientizar a los usuarios del servicio sobre el uso racional del mismo. El servicio de telefonía es un importante servicio de comunicaciones corporativo que debe ser usado con racionalidad y responsabilidad por parte de la comunidad universitaria. Para visualizar el uso que se le está dando al servicio, se está utilizando un sistema tarificador que permite elaborar reportes del consumo telefónico y se hará entrega mensualmente a las autoridades de las dependencias centrales y facultades de gráficas que le permitan determinar el consumo en llamadas superior a los 500 minutos mensuales por usuario, así como las dependencias y facultades cuyo consumo en Bolívares es más elevado. 

En este sentido, se les solicita a las autoridades la revisión de los permisos para llamadas del personal a su cargo a fin de corroborar que efectivamente son los permisos que requiere según las actividades laborales que realizan, y se les recuerda que esta clave es asignada por la DTIC y puede ser actualizada a petición del usuario, la misma, es personal, secreta e intransferible y debe ser usada con discreción para racionalizar el consumo de llamadas telefónicas, todo esto en pro del mejor aprovechamiento de los recursos asignados a nuestra Institución. 




martes, 27 de octubre de 2015

El Avance de TUX en la UCV


Encaminados hacia la migración


La Universidad Central de Venezuela está asumiendo su compromiso con la Migración hacia Software Libre no sólo por el acatamiento de un lineamiento expresado por el Gobierno Venezolano, sino como una oportunidad que se presenta para generar nuevos desarrollos, poder compartirlos con instituciones gubernamentales y tener acceso a soluciones que pudiesen ser implementadas y adaptadas a nuestra Institución, con el apoyo de comunidades organizadas y orientadas al cumplimiento de las cuatro libertades que contempla el Software Libre.

Como miembros de esta comunidad universitaria debemos ejercer un rol protagónico en todo este proceso donde se asuma una “alicuota” en la responsabilidad que tiene la Universidad con el país, de generar el conocimiento requerido para proponer soluciones tecnológicas que atiendan las necesidades de la Institución e incluso del país, así como fomentar el uso de tecnologías libres dentro y fuera de nuestra Institución.

En aras de asumir este rol e incentivar las iniciativas estudiantiles de quienes son fieles entusiastas del movimiento de Software Libre, la Dirección de Tecnología de Información y Comunicaciones ha emprendido un camino conjuntamente con el Grupo de Extensión Estudiantil UCV Libre de la Facultad de Ciencias, con una actitud optimista y desafiante para afrontar los retos que se presentarán durante la migración.

En tal sentido, se está trabajando en una propuesta de una distribución personalizada basada en Ubuntu Minimal 14.04, dado que esta versión sólo incluye las funcionalidades básicas necesarias de un sistema operativo, con la finalidad de ir incorporando aquellas aplicaciones y extensiones requeridas para satisfacer las necesidades del ambiente de trabajo de los usuarios finales, considerando los recursos disponibles de memoria RAM, capacidad disco duro y tipo de procesador que estén presentes en un equipo de computación en particular.

Esta propuesta personalizada busca mostrar una imagen e identidad ucevista y de hecho se denominó Ararauna, por el nombre científico de las guacamayas caracterizadas por sus colores azul y amarillo, que abundan en nuestra Ciudad Universitaria.

Ararauna presenta una combinación de robustez, por estar basado en una distribución estable que garantiza un soporte prolongado de 5 años y dinamismo en la actualización de controladores (drivers) disponibles para la plataforma; y amigabilidad por su interfaz que pretende minimizar el impacto a la transición, por parte del usuario final.

Otra ventaja de esta distribución es la versatilidad que se maneja para darle cabida a equipos con bajos recursos computacionales, ofreciendo una serie de  aplicaciones ofimáticas básicas, hasta equipos con una robustez tal, que permite mostrar una interfaz con alta resolución, desplegando una gama de aplicaciones también robustas y más complejas. Es por ello que esta distribución se concibió bajo tres versiones:
  • GNU/LINUX Ararauna 32 bits (LIGERA) la cual incluye aplicaciones ofimáticas básicas bajo el escritorio LXDE.
  • GNU/LINUX Ararauna 32 bits (MEDIA) la cual incluye aplicaciones ofimáticas robustas bajo el escritorio LXDE.
  • GNU/LINUX Ararauna 64 bits (ALTA) la cual incluye aplicaciones ofimáticas robustas bajo el escritorio KDE.
Las dos últimas versiones se pueden descargar desde un repositorio temporal http://190.169.20.101/ararauna/iso/, próximamente estará disponible la versión ligera. A través de este repositorio, se garantizarán las actualizaciones de la distribución en los equipos de los usuarios de manera remota y desasistida.

Actualmente, la DTIC transita una fase de prueba en las etapas de instalación y configuración de la distribución bajo dos versiones, en equipos de computación ya sea PC o equipo portátil. Posteriormente, se debe incorporar dichos equipos a un ambiente operativo corporativo bajo Software Libre, donde se tenga una autenticación de usuarios para acceder a los múltiples servicios tecnológicos corporativos que se ofrecen a la comunidad universitaria.

El éxito de esta propuesta está centrada en el grado de compromiso, responsabilidad e interés por parte de los miembros de la Institución en formar parte de esta comunidad  que debe organizarse para llevar un control de cambios o versiones de la distribución ante fallas o limitaciones que puedan presentarse a lo largo de su implementación como el nuevo ambiente operativo de los usuarios finales.


viernes, 16 de octubre de 2015

Vulnerabilidad de WordPress


 [0-Day] WordPress Permite que Controlen Sitios con Falsos Comentarios


Un investigador de seguridad finlandesa ha descubierto una vulnerabilidad de día cero crítico en el motor central del sistema de gestión de contenidos de WordPress.

El CMS WordPress que es utilizada por millones de sitios web, es vulnerable a una falla de día cero que podría permitir a los hackers la ejecución de código remoto en el servidor Web con el fin de tomar el control total de la misma.

La vulnerabilidad, encontrada por Jouko Pynnönen de la empresa de seguridad con sede en Finlandia Klikki Oy, es un Cross-Site Scripting (XSS) que ataca el sistema de comentarios de WordPress.
La vulnerabilidad afecta a las versiones de WordPress 3.9.3, 4.1.1, 4.1.2, y la última versión de WordPress 4.2.

La explotación de la vulnerabilidad 0-Day:

La vulnerabilidad permite a un hacker inyectar código JavaScript malicioso en la sección de comentarios que aparece en la parte inferior de millones de blogs de WordPress.

Esto podría permitir a los hackers cambiar contraseñas, añadir nuevos administradores, o tomar otras acciones que sólo pueden ser realizadas por el administrador legítimo de la página web. Esto es lo que llamamos un ataque de cross-site scripting.

Cómo explotar el 0-Day?

El exploit de día cero, ocurre mediante la publicación de un simple código JavaScript en forma de comentario y luego añade hasta por 66.000 caracteres o más de 64 KB de tamaño.

Cuando el comentario es procesado por una persona con derechos de administrador de WordPress a la página web, el código malicioso se ejecuta sin dar ninguna indicación al administrador.

Por defecto, WordPress no publica automáticamente el comentario de un usuario a menos que el usuario haya sido aprobado por el administrador del sitio.

Los hackers pueden eludir esta limitación engañando al administrador con su primer comentario benigno, que una vez aprobado permitiría que los comentarios maliciosos sean también aprobados de forma automática y así publicarse.

WordPress parcha el defecto 0-Day:

Con el fin de solucionar el problema de seguridad, los administradores deben actualizar su CMS Wordpress 4.2.1. "Esta es una versión de seguridad crítica para todas las versiones anteriores y alentamos firmemente que actualice sus sitios de inmediato", dijo el equipo de WordPress sobre esta última versión.

Según informes, WordPress versión 4.2.1 soluciona la vulnerabilidad de día cero reportado por Pynnonen.

Así que si usted es dueño de un sitio web de WordPress, asegúrese de que ejecuta una versión actualizada de la CMS con todos los plugins hasta a la fecha.

En la siguiente página encontrará la última versión de WordPress: https://wordpress.org/news/2015/04/wordpress-4-2-1/



jueves, 6 de agosto de 2015

Agradecimiento a Articulistas de la Quinta Edición e invitación a publicar en la Sexta Edición de la Revista Digital #VirtualDTIC


La Dirección de Tecnología de Información y Comunicaciones agradece a todos los articulistas, tanto personal de la dirección como profesores, estudiantes, personal administrativo y miembros de organizaciones como ISOC de Venezuela, por compartir temas y desarrollos tan interesantes; y a todas aquellas personas que hicieron posible, con su aporte, que esta Quinta Edición fuese nuevamente un éxito para la DTIC. 

Nuevamente, se reitera nuestra invitación para publicar artículos tecnológicos - institucionales en la próxima Sexta Edición de la Revista Digital #VirtualDTIC correspondiente al mes de Diciembre 2015, con el objeto de seguir compartiendo iniciativas tan fructíferas y enriquecedoras para toda la familia ucevista y público en general.

La fecha tope de recepción de artículos es hasta el viernes 30 de Octubre 2015, a través de la cuenta virtualdtic@ucv.ve. Para mayor información visitar www.ucv.ve/dtic

Los invitamos a visitar la Quinta Edición en la siguiente ruta: http://issuu.com/dticucv y próximamente estaremos informando por la publicación en el Repositorio Institucional Saber UCV.


viernes, 10 de julio de 2015

Proyecto de Redes Inalámbricas:



Las zonas UCV WiFi fueron ideadas para brindar conectividad inalámbrica a la Comunidad Universitaria en aquellas Facultades que no contaban con el servicio de red inalámbrica de la UCV. La UCV WiFi es un complemento de la red cableada conocida como UCVNet y que brinda servicios corporativos como Internet, correo electrónico, Telefonía IP, sistemas académicos y administrativos, entre otros. Hasta la fecha, han sido instaladas en la UCV satisfactoriamente ocho (08) zonas UCV WiFi en cuatro (04) Facultades. Estas facultades son: Humanidades y Educación, Arquitectura y Urbanismo, Odontología y Farmacia. Próximamente, se harán los estudios técnicos para la instalación de dos zonas UCV WiFi en la Facultad de Ingeniería. 

De manera general, la red UCV WiFi cuenta en total con cinco (05) Wireless LAN Controllers (WLANCs) para la administración y monitoreo de ciento diecisiete (117) equipos Access Points (APs) instalados en el campus Universitario de Caracas. Cada uno de estos equipos soporta hasta 100 usuarios conectados, lo que equivale a una capacidad de 11.700 usuarios en toda la UCV WiFi. 

El crecimiento de la red UCV WiFi está supeditado a la adquisición de nuevos equipos APs y WLANCs, cuyos costos en la actualidad son elevados. Esta situación aunada a la Ley de Infogobierno nos obliga a buscar alternativas de acción para continuar con el proyecto.