Editado por AIH: www.infohackers.org

Boletín informativos.info

5.823 subscriptores

Hacktivismo y seguridad

5 de Marzo de 2006

• Opinión: El argumento de autoridad y la presunción de inocencia (o de culpabilidad) del software
• Resumen de noticias de la semana
• El correo del lector

Parece ser que lo de la computación distribuida se está imponiendo como método para obtener gran cantidad de GigaFlops para usos más o menos filantrópicos. Sin duda, el mayor ejemplo de esto es el proyecto SETI@home, que hace uso de los tiempos muertos de las CPU de millares de ordenadores de escritorio (y de algunos servidores) para procesar la gran cantidad de datos que recibe el radiotelescopio de Arecibo, en Puerto Rico, intentando identificar patrones que indiquen la presencia de una inteligencia extraterrestre.

En estos días se presentaba un nuevo proyecto, denominado Project M4, con un fin bastante curioso. Se trataba de descifrar cuatro mensajes interceptados en el Atlántico Norte en 1942 y que correspondían a comunicaciones entre submarinos alemanes y sus bases. Estos mensajes usaban un cifrado basado en la famosa máquina Enigma, en su versión de cuatro rotores, y permanecían sin descifrar desde entonces. Por supuesto, el interés actual por el contenido de estos mensajes es pequeño, pero lo llamativo de la experiencia ha sido un efecto de llamada para mucha gente, que ha corrido a descargarse el programa cliente. El resultado es que uno de los mensajes está ya descifrado y el resto no tardará mucho. Para los que sientan curiosidad sobre la máquina Enigma y su sistema de cifrado, les recomendamos la serie de artículos que sobre el tema está publicando Roman Ceano en Kriptópolis. Para los que quieran entretenerse, además de aprender, el libro sería la novela Criptonomicon, de Neal Stephenson.

Sin embargo, la versión para Windows del mencionado cliente presentaba (y presenta) un fallo bastante grave. Para la ejecución del cliente como tarea programada, crea un usuario con una contraseña única para todos los clientes. A nadie se le escapa que este es un agujero de seguridad muy importante. No vamos a entrar más en detalles (esperamos en breve el dar más datos sobre el funcionamiento de este cliente), pero ni la instalación ni la solución dada por los responsables del proyecto (cambiar manualmente la contraseña en el script de instalación) nos parecen de recibo.

¿Por qué mucha gente (y no todos usuarios sin conocimientos) ha instalado este software con un peligro tan obvio sin preocuparse de ver lo que realmente hacía? La respuesta es, en mi opinión, el argumento de autoridad. Como no todos podemos ser expertos en una determinada materia, o no tenemos el tiempo necesario para hacer todas las comprobaciones, aceptamos como bueno lo recomendado por ciertas personas (o sitios web) que consideramos confiables y expertos. En el caso que nos ocupa, la publicidad ha venido de multitud de estos sitios, desde Slashdot a Kriptopolis. Por supuesto, muchos de esos sitios se han apresurado a avisar a los usuarios del problema de seguridad. Además, como responsables de un sitio web que publica noticias, muchas veces tenemos que confiar en las fuentes. Con esto quiero decir que esto no es, ni mucho menos, una crítica a los sitios que "patrocinaron" este proyecto. El problema, a mi entender, viene por parte de los usuarios.

En el correo del lector de este boletín nos comenta un lector los problemas que tiene porque determinadas aplicaciones exigen ser ejecutadas con permisos de superusuario (administrador o root). Este es el caso del cliente que nos ocupa. Si no somos administradores, no podemos crear un usuario nuevo y, por lo tanto, el problema no se produciría.

Sin embargo, la decisión de instalar un programa como superusuario viene apoyada por la recomendación por parte de una fuente confiable. Si lo publican en Slashdot (o en Kriptopolis, o en Barrapunto, o en ...) debe de ser seguro. El argumento de autoridad se ha vuelto contra nosotros. Hemos instalado algo que puede ser gravemente perjudicial para la seguridad de nuestro sistema.

Muchas veces hemos defendido en estas líneas la presunción de inocencia de todos los acusados. En el caso del software, vamos a contradecir esta presunción. Hasta que me demuestren lo contrario, cualquier programa es presuntamente culpable y lo mantendré bajo vigilancia. Aunque me llamen paranoico.

Luisma
Miembro de la AIH

Esta obra está bajo una licencia de Creative Commons.

Esta sección esta dedicada a resolver vuestras dudas y recibir vuestros comentarios sobre los artículos de este boletín y sobre temas de seguridad informática. Os animamos a escribirnos a el_lector@infohackers.net.

Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Los derechos de los artículos pertenecen al autor. Para reproducirlos, es necesario ponerse en contacto con el mismo. Desde la AIH animamos al uso de licencias libres tipo CreativeCommons, pero es decisión personal de cada autor el tipo de licencia que use.
La maquetación, logotipos y nombre son propiedad de la Asociación para la Información de Hackers. Todos los derechos reservados..
Los nombres de productos y marcas registrados son propiedad de sus respectivos dueños.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.
La base de datos de suscriptores es creada y mantenida por elistas.net.
Toda consulta, cancelación de datos y demás derechos recogidos en la ley deben de ser ejercidos frente a elistas.net