Editado por AIH: www.infohackers.org

Boletín informativos.info

5.485 subscriptores

Hacktivismo y seguridad

23 de Octubre de 2005

• Opinión: Propiedad intelectual: la apropiación del conocimiento
• Introducción a las redes TCP/IP: Capa 3: Direccionamiento IPv4 (II)
• Resumen de noticias de la semana
• El correo del lector

Este artículo de Carlos Sánchez Almeida está dentro de su obra República Internet.

Hemos recorrido miles de años para encontrarnos en el mismo punto: el derecho de propiedad como base del poder. Con una diferencia: la propiedad más importante ya no es la tierra, sino la propiedad intelectual. Y es curioso que se la denomine así, por cuanto los derechos de autor no son estrictamente propiedad.

Lo primero que sorprende al hablar de derechos de autor, en el marco de la Declaración Universal de Derechos Humanos, es que se encuentran desligados del artículo que regula el derecho de propiedad. Se encuentran en el artículo 27, el mismo que establece el derecho a participar en el progreso científico, y a continuación de todos los artículos que regulan los derechos a un adecuado nivel de vida, a la salud y a la educación.

A partir de este punto, surge una pregunta retórica. ¿Por qué se llama propiedad intelectual a los derechos de autor, cuando según la Declaración Universal de Derechos Humanos son cosas distintas? Distintas hasta en su duración: la propiedad es ilimitada en el tiempo, los derechos de autor no. Sería inimaginable que la propiedad de un inmueble caducase a los 70 años de su compra: es transmisible a los herederos indefinidamente, lo que no sucede con los derechos de autor. Si tan distintos son en su esencia, derechos de autor y derecho de propiedad, ¿por qué son denominados propiedad intelectual? La respuesta es sencilla: para poder traficar con ellos.

Como ponía de manifiesto Philippe Quéau, en un artículo publicado en Le Monde Diplomatique, la revolución multimedia ha servido de detonador y de pretexto para lanzar un ciclo general de revisión del derecho de la propiedad intelectual, que comenzó en 1976 con la revisión de la ley sobre derecho de autor, Copyright Act en Estados Unidos. Las directivas europeas sobre bases de datos o sobre la protección de programas informáticos, los dos tratados de la OMPI, adoptados en 1996 (Tratado sobre las interpretaciones y ejecuciones y los fonogramas y Trtado sobre el Derecho de Autor), el Digital Millenium Copyright Act (Ley sobre el derecho de autor para el Milenio digital... hasta llegar al Convenio sobre Cibercrimen del Consejo de Europa, orientado a proteger la propiedad intelectual en Internet, evidencian hacia donde van las cosas.

Del mismo modo que ocurriera antaño con la propiedad inmobiliaria y la propiedad industrial, en nombre de la propiedad intelectual se está produciendo una acumulación sistemática de saberes que debería compartir toda la humanidad. Con extremos particularmente sangrantes. La propiedad intelectual sobre los productos farmacéuticos, por ejemplo, provoca situaciones como la que denunciaba en 1999 Médicos sin Fronteras: América del Norte, con 303 millones de habitantes, consume 135 mil millones de dólares en medicamentos. Asia y Africa juntas, con 4282 millones de habitantes, sólo consume 28 mil millones de dólares. La propiedad intelectual, multiplicando por diez el coste de los medicamentos, condena a muerte cada año a millones de enfermos africanos. Las embajadas de los países productores presionan a las autoridades locales, impidiéndoles la elaboración de fármacos genéricos. Y ello por no hablar de las patentes sobre la vida y sobre la riqueza biológica de los países, en manos de empresas de biotecnología. Si la propiedad intelectual permite algo así en el mundo real ¿qué no permitirá en Internet?

En este marco, los nombres de dominio se han revelado como un objeto más de propiedad, un instrumento más para ejercer el poder. El Departamento de Comercio norteamericano decide liberalizar el sistema de nombre de dominios, otorgando la concesión a una empresa norteamericana, de forma que la adquisición de un dominio es, durante los primeros años de la Internet comercial, absolutamente libre. Es más sencillo adquirir un dominio .com que un dominio .es. Durante varios años, se produce una inflación del valor de los dominios. Cuando el mercado está saturado, se adoptan las normas de arbitraje sobre dominios, con un solo objetivo: poner el control del sistema de dominios en manos de los titulares del derecho de marcas. Estamos ante un movimiento de pura especulación. En aquellos casos en que las empresas multinacionales americanas han podido hacerse con dominios estratégicos, el derecho de res nullius opera sin problemas. No ocurre lo mismo en otros casos, porque ni la ley, ni las normas sobre dominios son iguales para todos, lo que tanto en lenguaje jurídico como en el lenguaje de la calle tiene un nombre bien sencillo: ley del embudo. La ley que se quiere imponer en Internet por parte de las empresas multinacionales.

Seguiremos discutiendo sobre el sexo de los ángeles, sobre la posición del demandante o el demandado, sobre nuevas normas de arbitraje, pero no abriremos el melón. Y el melón es que todo el sistema está montado sobre una falacia: el nombre del dominio carece de otro valor que no sea el puramente especulativo. Tiene valor sólo porque al Departamento de Comercio norteamericano le ha interesado que lo tenga para provocar su inflación, porque a empresas americanas les ha interesado especular, y porque a multitud de abogados les está suponiendo suculentas comisiones. Evitar los problemas derivados de los nombres de dominio sería tan sencillo como establecer un sistema de IPS sin DNS, al objeto de que nadie pudiese especular con simples números. Pero eso no interesa a ninguno de los que está aquí, empezando por mí mismo en el momento que en lugar de ejercer como provocador, ejerzo como abogado. Un par de disputas de dominios cada mes sirve para pagar muchas cenas.

Sé que mis palabras suenan ingenuas. Al fin y al cabo, lo que está ocurriendo con el Derecho en Internet es lo mismo que ha ocurrido siempre con el Derecho. Cuando el que ocupa una res nullius es el detentador del poder, siempre dispone de una pléyade de leguleyos para justificar su apropiación. A los abogados nos gusta comer bien, y discutir sobre las propiedades de otros es la mejor excusa para llenar muchos folios con los que justificar minutas de honorarios.

Teniendo en cuenta que los presentes ya estarán a estas alturas, después de tres días de Congreso, cansados de sesudos debates sobre nombres de dominio, intentaré ser lo más ameno posible, así que les contaré un cuento que ya he explicado alguna vez.

Había una vez un territorio libre, absolutamente virgen, en el que pocos pioneros aventuraban a internarse. Aquellos aventureros que llegaron primero, clavaron su bandera, y construyeron los caminos que lo llenaron de habitantes. En aquel territorio no había lindes, ni marcas registradas, porque en aquella tierra prometida los dominios eran de aquellos que tuvieron la valentía de enfrentarse lo desconocido. Entre aquellos pioneros no hacían falta leyes, ni tribunales, ni verdugos.

El paraíso duró poco, porque un día llegaron los hombres de la ley, al servicio de un ejército de conquistadores. Y los hombres de la ley dijeron que aquellos campos, que los pioneros habían cuidado durante años, ya tenían dueño. Los conquistadores son muy amables, vienen con una sonrisa: los indígenas sólo tienen que abandonar su terreno, y para que vayan más rápido les ayudan a llevarse sus cosas. La extorsión es un arte, sobre todo cuando se trata de «recuperar» lo que nunca se ha tenido. Algo tan absurdo como hispano: llamamos «reconquista» a una expulsión genocida, la de la cultura árabe de un territorio tan suyo como nuestro.

La paz ha terminado, y se avecinan tiempos difíciles. En ese espacio sin fronteras los conquistadores pretenden la aplicación de la ley de la horca, olvidando que nuestra civilización debe su avance en buena parte a la tradición jurídica romana, gracias a cuyo derecho civil superamos la ley del Talión.. para que la propiedad se quedase en manos del más fuerte.

Carlos Sánchez Almeida

Esta obra está bajo una licencia de Creative Commons.

Clases

Cuando se empezó a diseñar el protocolo IPv4, se planteó el dividir el rango de direcciones en varias clases, de manera que, conociendo dentro de que rango estaba una dirección, se podría saber cosas como cual era su máscara de subred. La división inicial fue esta:

Las clases A a C serían las de uso común. La clase D está reservada para emisiones en multicast (emisión del mismo contenido a múltiples receptores de manera eficiente. Típicamente usado en transmisión de audio y video). La clase E no se debe usar en redes, estando destinada a funciones específicas dentro del protocolo.

Direcciones privadas

Dentro de cada una de las clases A, B o C se ha definido un rango de direcciones no válidas en Internet. Este rango está reservado para uso privado. De esta forma, se pueden crear múltiples redes con el mismo rango de direcciones, siempre que no sean accesibles directamente desde Internet. Estos rangos son los siguientes:

Clase A: 10.0.0.0 - 10.255.255.255
Clase B: 172.16.0.0 - 172.31.255.255
Clase C: 192.168.0.0 - 192.168.255.255

Cuando diseñemos una red local no accesible directamente desde Internet (por ejemplo que tenga la conexión a través de un router haciendo NAT) deberemos usar una dirección de estos rangos. Estas direcciones, al contrario de las que si son válidas en Internet, no necesitan una asignación por parte de la entidad gestora de la numeración en Internet. Tampoco serán rutadas a través de Internet las peticiones dirigidas a estos rangos.

Otras direcciones especiales

Estas son otras direcciones especiales que no están disponibles para uso general:

0.0.0.0 - 0.255.255.255 Direcciones cero de la clase A. No se usan.
127.0.0.0 - 127.255.255.255 Bucle local. Se refieren siempre al propio equipo. Se usan para acceder a servicios que corren en nuestro equipo y para pruebas locales. La habitual es 127.0.0.1.
169.254.0.0 - 169.254.255.255 Direcciones cero de la clase B. No se usan.
192.0.2.0 - 192.0.2.255 Usadas para documentación y ejemplos.
192.88.99.0 - 192.88.99.255 Usadas para el relé de IPv4 a IPv6
198.18.0.0 - 198.19.255.255 Usadas para pruebas (benchmark) de dispositivos de red.

Classless

En la actualidad, dada la expansión de Internet, existe una escasez de direcciones IP. Dado que muchas veces no se corresponden las necesidades de IP con el rango de una clase. Así, si necesitásemos 300 direcciones, necesitaríamos acudir a una clase B, con 65.534 direcciones. Es por ello por lo que se instauró el Classless Inter-Domain Routing (CIDR), que permite seleccionar las divisiones de subredes que nos permita la máscara de subred. En el caso del ejemplo, podríamos obtener el equivalente a dos clases C, con una máscara de subred 255.255.254.0, lo que nos daría 510 direcciones posibles.

Para facilitar la lectura, se ha establecido una nomenclatura del tipo 1.2.3.4/n en la que 1.2.3.4 es la dirección y /n indicaría la cantidad de bits a 1 en la máscara de subred. Así, en el ejemplo que expusimos en el párrafo anterior, tendríamos 192.168.0.0/15, lo que nos daría las direcciones desde la 192.168.0.0 a la 192.168.1.255.

Luisma
Miembro de la AIH

Esta obra está bajo una licencia de Creative Commons.

Se ha descubierto un desbordamiento de buffer en el navegador Lynx. Este es un navegador en modo texto que está presente en prácticamente todas las distribuciones de unix, y que además cuenta con ports a Windows y MacOS X. Un fallo en el tratamiento de los enlaces NNTP (news://) en las versiones 2.8.3, 2.8.4, 2.8.5, y 2.8.6dev.13, permite que se produzca un desbordamiento de buffer y la posible ejecución de código arbitrario. El problema está corregido en la versión 2.8.6dev14, y existen parches para la mayoría de las distribuciones de Linux.

85 parches para Oracle

Ya habíamos comentado que Oracle había adoptado la política de publicar sus parches una vez al trimestre. Así, esta vez ha publicado un paquete de 85 actualizaciones para sus productos. Oracle ha mantenido una política de "boca cerrada", manteniendo lo más oculta posible la información de los fallos, en una, en nuestra opinión, equivocada actitud de "seguridad por ocultación".

Entre los fallos corregidos existen algunos de alcance desconocido, mientras que otros permiten la inyección de código PL/SQL. La información sobre los fallos está disponible en la web de Oracle.

Gusano para el MS05-047

Según informa Hispasec, ya se ha detectado un gusano que aprovecha la vulnerabilidad contenida en el boletín MS05-047. El fallo afecta al Plug and Play y, en principio, necesita acceso a los puertos 139 y/o 445 (NetBios y SMB). Estos puertos están filtrados por defecto en la mayoría de los firewall perimetrales, por lo que la infección directa desde Internet es poco probable. Sin embargo, como ya ha pasado con otros gusanos, permanece el riesgo de infección interna al incorporarse a la red algún equipo expuesto al exterior, como un portátil o un teletrabajador que acceda por VPN. Normalmente estos puertos no están filtrados a nivel interno, ya que son los que se usan en las redes Windows para los servicios de archivos e impresoras compartidos.

Se aconseja la actualización inmediata de todos los equipos, bien mediante las actualizaciones automáticas, bien mediante WindowsUpdate.

Visor gratuito para máquinas virtuales VMware

Se ha publicado en diversos sitios la disponibilidad de forma gratuita de un "visor" para máquinas virtuales VMware por parte de esta compañía. VMware es conocida por su software que permite crear un "ordenador virtual" dentro de nuestro escritorio Windows o Linux. De esta forma, podremos ejecutar un sistema para pruebas o aprendizaje o, incluso, para virtualización de servidores. Con la publicación de este software, no es necesario tener una licencia del producto completo para ejecutar la máquina virtual, que podremos crear en un único equipo y distribuir por donde sea necesario. Esto lo hace especialmente interesante para tareas de aprendizaje y sistemas de pruebas distribuidas.

Descifrado el código oculto de las impresoras Canon y Xerox

Canon y Xerox, entre otras marcas, venían incluyendo en algunas de sus impresoras desde hace un tiempo un código oculto que se imprimía con el documento, sin resultar visible a simple vista. Este código consiste en varios pequeños puntos y contiene información acerca del número de serie de la impresora, así como la fecha y hora de la impresión. Según las empresas, la misión es evitar que se usen para la falsificación de monedas, aunque existen sospechas de la presión por parte de la industria editorial para evitar las copias de documentos protegidos por copyright.

La EFF (Electronics Frontier Foundation) ha publicado un documento en el que describe como está estructurado este código y la información contenida, de manera que cuando imprimimos algo en uno de estas impresoras sabremos la información que está incorporada a la misma. También ha publicado un formulario que "traduce" el código.

Esta sección esta dedicada a resolver vuestras dudas y recibir vuestros comentarios sobre los artículos de este boletín y sobre temas de seguridad informática. Os animamos a escribirnos a el_lector@infohackers.net.

Hemos recibido varios correos pidiéndonos indicaciones para acceder a diversos servicios de los que no se tiene las contraseñas. Independientemente de la legitimidad o no de tales accesos, no nos vamos a prestar a dar instrucciones ni pistas para ello. Estaremos encantados de contestar (dentro de nuestros limitados conocimientos) a preguntas concretas sobre seguridad informática, pero no vamos a hacer un HOW-TO para crackear una cuenta de Hotmail.

Recibimos con frecuencia peticiones para acceder a boletines antiguos. Os recordamos que están todos en www.informativos.info y que los estamos poniendo en pdf en nuestra web www.infohackers.org.

Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Los derechos de los artículos pertenecen al autor. Para reproducirlos, es necesario ponerse en contacto con el mismo. Desde la AIH animamos al uso de licencias libres tipo CreativeCommons, pero es decisión personal de cada autor el tipo de licencia que use.
La maquetación, logotipos y nombre son propiedad de la Asociación para la Información de Hackers. Todos los derechos reservados.
Los nombres de productos y marcas registrados son propiedad de sus respectivos dueños.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.