• Opinión: Seguridad o libertad: ¿cual es nuestra elección?
• Seguridad en capas: Mecanismos de autenticación (III)
• Resumen de noticias de la semana
• El correo del lector

"Quien sacrifica su libertad en pos de un poco de seguridad, no merece ni la una ni la otra."

Permitidme, una vez más, empezar este artículo con una de esas frases que se suelen poner en las firmas de los mensajes en los foros. Este tipo de frases, aunque lapidarias, suelen pecar de maniqueístas, por poner en extremos contrapuestos dos propuestas aparentemente contrapuestas. Sin embargo, como toda la filosofía o la religión, tienen la virtud de hacernos reflexionar sobre el tema, aunque sea solo unos minutos.

Viene esto a cuento porque esta semana leía en un medio una opinión sobre la conveniencia de restringir el acceso a técnicas criptográficas fuertes al común de los ciudadanos. La opinión del autor venía fundamentada en el hecho de que el recientemente detenido dirigente de ETA, Antza, usaba estas técnicas para proteger los documentos en su ordenador y dificultaba así el acceso de las fuerzas de seguridad francesas a información que pudiera ser vital para detener a terroristas y, así, proteger la vida de personas.

Para el lector recientemente incorporado al mundillo este de la seguridad informática, me permito recordar un episodio que sucedió hace no muchos años. Por aquel entonces, un joven norteamericano llamado Phil Zimmermann escribió un software que permitía el acceso sencillo a técnicas criptográficas. Lo denominó Pretty Good Privacy, más conocido por sus siglas de PGP. Hoy es un producto comercial, para el que existen alternativas libres, pero en su momento fue un hito en el acceso a la criptografía por parte del público en general. Por aquel entonces, la criptografía era considerada como un arma (y sigue siendo considerada así en muchos ambientes) y existían grandes restricciones a su exportación. De hecho, el gobierno USA prohibía la exportación de criptografía que usase claves fuertes. Así, la versión de PGP que estaba disponible para descarga fuera de USA estaba restringida a las débiles claves de 56 bits. Sin embargo, Zimmermann estaba decidido a que su software estuviese disponible para todo el mundo. Así que recurrió a un pequeño truco. No podía enviar el programa, pero una antigua ley permitía en tráfico de libros. Se puso de acuerdo con unos amigos europeos y les envió el código de PGP impreso en forma de libro. Una vez en Europa, se escaneó, se pasó por un OCR y se obtuvo, de forma legal, el PGP, que quedó disponible en una web internacional.

Las leyes de criptografía USA cambiaron con el tiempo, y hoy es posible exportar programas que usen claves de 128 bits,. Pero, a raíz del 11-S, otras leyes surgieron para, teóricamente, proporcionar más seguridad. Lo malo es que estas leyes, singularmente la Patriot Act, proporcionaron a los medios de investigación del estado facultades para interferir en la privacidad de los ciudadanos. Dispositivos denominados Carnivore, destinados a investigar en el tráfico de Internet, se colocaron en la mayor parte de los principales bakcbone de los ISP americanos. La privacidad pasaba a ser un derecho secundario, subyugado a las pretendidas necesidades de la seguridad nacional.

Aunque el movimiento en contra de este tipo de medidas es cada día más fuerte, un amplio sector del pueblo norteamericano sigue apoyando estas medidas. Y parece que en Europa, aunque más débil, también hay un sector que pide ese mismo tipo de actuación. Desde esta Asociación, aunque preocupados por la seguridad, siempre hemos defendido, por encima de todo, la libertad. La libertad nos permite elegir el grado de seguridad que queremos tener. De hecho, en eso consiste la libertad: en poder elegir.

Por cierto, la frase que encabeza este artículo no es de un filósofo anarquista. Es de uno de los padres de los Estados Unidos de América, Benjamin Franklin.

Luisma.
Miembro de la AIH.

Algo que se tiene.

Entre las formas de autenticación existentes, la consistente en algo que se tiene puede decirse que es de las más antiguas. La posesión de un objeto (llave que abre una puerta, carné que nos identifica o salvoconducto que nos permite el paso) ha sido usado desde la antigüedad como medio para permitir o denegar el acceso a locales, a objetos o a información. En el mundo digital sigue siendo una de las formas más usuales para determinar quien es un usuario. Veamos unos ejemplos:

• Tarjetas magnéticas. La tarjeta del banco que todos llevamos en el bolsillo es uno de los ejemplos más clásicos del uso de algo que se tiene para acceder a un sistema (en este caso, nos identifica, combinado con una contraseña, el PIN, como nosotros ante el sistema del banco representado en el cajero automático). Un código grabado en la banda magnética proporciona la identidad. Son relativamente fáciles de falsificar, como demuestra los recientes casos de bandas organizadas que sustituían los lectores de los cajeros para obtener clones de la tarjeta, tras averiguar el PIN mediante cámaras camufladas.
   

• Tarjetas inteligentes o SmartCards. Es un paso más adelante de la tarjeta magnética. Se trata de un dispositivo que lleva un pequeño microprocesador y una memoria. Al recibir un dato, lo modifica de acuerdo con el programa que lleva incorporado y devuelve una respuesta. El sistema comprueba esta con respecto a su propio cálculo y, si son correctos, acepta el usuario. Son usadas en sistemas como los de monedero electrónico, transporte público y, cada vez más, en tarjetas bancarias.
   

• Certificados digitales. Es como una tarjeta inteligente incorporada en nuestro ordenador. Mediante técnicas de clave pública, nos identifican de forma unívoca frente al sistema. Son usadas para el acceso remoto a servicios. En España, por ejemplo, los usa la Agencia Tributaria para permitir presentar declaraciones de impuestos en línea. Su fiabilidad depende de la entidad que los proporciona.
   

• SecureID.  Este tipo de dispositivos están a medio camino entre una técnica de contraseña y una de posesión de objeto. Consiste en un pequeño aparato, del tamaño adecuado para llevarlo en el bolsillo, que proporciona una contraseña numérica variable en el tiempo. Es decir, en una hora determinada, proporciona una contraseña distinta de la del minuto anterior. En el sistema que autentica al usuario, existe el mismo algoritmo sincronizado. Suelen usar sincronización de reloj por radio con relojes atómicos para mantener la correspondencia de reloj con el sistema. Son cada vez más usados por empresas para dar acceso VPN a las redes internas para los usuarios remotos.

Estos son solo unos ejemplos de las posibilidades de esta forma de autenticación. La debilidad de este sistema consiste en la falta de protección ante robos de los tokens u objetos. Por ello, casi siempre se usan combinados con métodos de contraseña (PIN) para proporcionar una seguridad adicional.

Luisma
Miembro de la AIH

Hemos tenido un problema en la cuenta de correo el_lector@infohackers.net, que no hemos advertido hasta la semana pasada y que ha provocado que hayamos perdido los correos durante un mes. Os pedimos disculpas y os rogamos a los que hayáis enviado mensajes para esta sección y no hayan sido publicados, que los volváis a reenviar. Gracias por estar ahí cada semana.

Reproducimos, a continuación, dos mensajes de lectores opinando sobre los artículos que hablaban de la libertad de expresión:

Me ha gustado mucho tu ultimo articulo sobre censurar las webs a alc*eda y demás. Y me gusta sobre todo porque lo q dices es algo con lo q star deacuerdo o no, pero que hay q plantearse. Cualquiera que no se lo haya planteado me parece tan TERR*RISTA como los terroristas :)

Lo que quiero decir con esto esq los terr*ristas hacen lo q hacen como reaccion a algo, sin pensar, sin cuestionarse si tiene o no sentido.... que menos! Bueno pues alguien q no se LO plantea (lo = deberias poder opinar? porque mi opinion es mas valida q la tuya?) esta pensando exactamente igual q un terrorista pero de manera inversa... esta pensando por reaccion... sin plantearse nada!!!

Y recuerdo q plantearse algo no es pensar si deberia o no tirar tu sitio. Si es moral o no que te deje respirar o no. Cuando hablo de no plantearse algo me refiero a... POR QUE MI OPINION ES MAS VALIDA Q LA TUYA?

A que viene todo esto? viene a que algo q tenemos muy claro en nuestro dia a dia esq nosotros somos los buenos y los demas son los malos... pero cuando te paras a conocer a los demas ( y tengo q aclarar q hablo
de conocerlos no de pensar sobre ellos... es bastante importante esta aclaracion) resulta q ellos piensan q tu eres el malo y ellos son los buenos... resulta q estaras en desacuerdo en la superficie, pero estarás deacuerdo en el trasfondo! los dos opinais q es culpa del otro... Y, si jugamos a no engañarnos, lo de las peliculas no existe. No es real.

Lo de las peliculas es gracioso, porque algo q todo guionista tiene claro, esq hay q hacer saber al publico quien es el bueno y quien es el malo. Automaticamente se identifica uno con el bueno (condicion bastante deseada n un guion). Fijaros! El bueno actua bien, y el malo es un autentico c*bron. De hecho todos querriamos ver muerto al malo, pero claro, no seria etico matarle... donde quedaria lo bueno q somos! para poder matar a un malo, hay q poner una situacion que demuestre de manifiesto lo c*bron que es y porque deberia morir. Asi despues de perdonarle la vida aun estando en peores condiciones, cuando ya esta acabado, e indefenso, vuelve a atacar al bueno en un acto en el q , para q deje de hacer daño, el bueno se ve obligado a matarle... era un
autentico c*bron!! Asi se salva la bondad del bueno y con ella la del espectador... A ese tio habia q matarle.

Y a donde quiero llegar con todo esto? que la vida real no es como las peliculas, q no hay buenos y malos, el enemigo no esta tan claro como en las peliculas. Y no está claro, xq no es real. No existe SALVO EN NUESTRA IMAGINACIÓN. Nosotros creamos a los enemigos.

Y porque hacemos esto? que es tambien una buena pregunta. Pues yo diría que esto nos hace sentirnos mejor con nosotros mismos. Lo que esta claro esq si el otro es el malo, yo, x oposición, tengo q ser el bueno, no hay otra posibilidad! o por lo menos mas bueno q "tú", y eso ya me congratula y duermo mejor x las noches :)

Yo creo q la verdad no es lo q dices tu, ni lo q digo yo, es lo q decimos los 2. Ni tu opinion es valida sóla, ni la mia. Si solo dejo la mia estare zerzenando la realidad. Y la realdidad esq existen las 2 opiniones. Y las 2 se deberian poder decir...

Y todo esto es muy bonito y suena muy utópico y guai, pero muchos direis... vale, pero no me toques los c*ojones con soplap*lleces. Ellos han matado a miguel angel blanc*, aqui esta claro que se han pasado de listos, ellos son los malos.. eta es una organizacion que ya no tiene ideales.Saca pasta, y vive del terr*rismo. Lo minimo q podemos hacer (y q esta a nuestro alcance), es tumbarles la web....

Yo a eso, lo único q se me ocurre responder sq eso lo unico q consigue es negar una realidad q esta ahi... existe. Y desde cuando alguien a conseguido resolver un problema negandolo. Los problemas se solucionan, y cualquier h*cker los sabe, desde la profunda comprension del mismo.

Bueno os dejo ya. No podia dormirme y mirar donde he acabado xD Sin mas deciros que me gustan mucho las columnas de opinion de infoh*ckers. A seguir así ;)

Y sugeriros un proximo tema q sino recuerdo mal aun no ha sido tratado por el boletin: google.

Me gustaria saber la opinion sobre google como herramienta, sobre google como empresa, sobre gmail, sobre la privacidad de gmail ("leen" todos tus correos), sobre lo rapido q se esta propagando y sobre como acabara esto. Tb sobre como uno pierde su anonimato "gracias" a google y lo bien q funciona ;)

Salu2, un ingeniero tecnico de sistemas de madrid
 

Bueno, nos alegra que el tema os haya provocado, cuando menos, una reflexión. Creo que eso es lo más importante, como decía el lector de Madrid. El hecho de pensar sobre el tema es un gran paso adelante. Gracias por escucharnos y estar ahí.

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.
Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Para reproducir los artículos, es necesario ponerse en contacto con el autor, directamente o a través de nuestros correos.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.