• Opinión: Presuntos culpables
• Artículo: Seguridad en capas: El firewall interno
• Resumen de noticias de la semana
• El correo del lector

Leíamos esta semana la noticia de la querella presentada por parte de los directivos de CD World por calumnias contra funcionarios de la Policía y, subsidiariamente, contra el Ministerio del Interior. Todo viene a cuenta de la calificada como “la mayor operación contra la piratería en España”, llevada a cabo el año pasado y en la que las fuerzas del orden entraron en los almacenes del Grupo CD World y, ¡oh, sorpresa!, estaban llenos de grabadoras y discos vírgenes. Teniendo en cuenta que la principal actividad de esta empresa es la venta de estos componentes, siendo, además, una de las pioneras en España en este sector, lo raro es que hubiesen encontrado jamones.

Por parte de la Asociación Fonográfica y Videográfica Española (AFYVE), se emitió un informe en el que se detallaba que el medio millón de soportes (CD y DVD) no cumplían con el pago de derechos a Phillips, propietaria de la patente. Curiosamente, AFYVE fue, al mismo tiempo, acusadora en el proceso. Tras consultar con la empresa holandesa, el juez determinó que los soportes vírgenes eran legales. Pero mientras tanto, la mercancía estaba retenida, los nombres de las empresas salieron a la luz pública como acusados de piratería, y proveedores y clientes enfriaron sus relaciones, aparte de la cancelación de créditos bancarios y el desprestigio personal de los afectados. El resultado, millones de euros de pérdidas para el grupo, que ve como la labor comercial de tantos años se desmorona por las falsas acusaciones de AFYVE.

¿Recuerdan el artículo 24.2 de la Constitución? Entre otros, recoge el derecho a la presunción de inocencia. Si bien en el ámbito estrictamente jurídico se ha respetado, las declaraciones de la Policía y de los denunciantes daban ya por sentado la culpabilidad, con las graves consecuencias para la viabilidad de la empresa y de sus puestos de trabajo, han vulnerado claramente este derecho. Ese mismo derecho es vulnerado también cuando se acusa genéricamente al comprador de CD de usarlo para piratear, o al usuario de la fotocopiadora de ser un reproductor de libros.

Es muy peligroso acusar genéricamente. Ni todos los hackers se dedican a tirar sistemas, ni todos los emigrantes trabajan en el top manta. Y, por supuesto, la importación de soportes para grabación es una actividad legal, aunque le pese a algunos.

Luisma.
Miembro de la AIH.

Situación
El firewall interno es el dispositivo que separa la zona desmilitarizada de la red interna. Evita, por lo tanto, que posibles ataques a los servidores instalados en la DMZ puedan llegar a afectar a la más delicada red interna.

Configuración
La primera medida de configuración del firewall interno es anular todo tráfico que provenga del exterior. Ningún servicio accesible desde Internet, en principio, debe de estar corriendo en los servidores internos de la empresa.

En caso de que los servidores de la DMZ deban de acceder a datos de la red interna, como un servidor de comercio electrónico que acceda a una base de datos SQL, existen dos posibilidades:

• Crear reglas que limiten el acceso a estos puertos únicamente desde la dirección IP del servidor externo y con destino a la IP del servidor interno.

• Crear una conexión originada desde el servidor interno con destino al externo, haciendo uso de tecnología de VPN.

En cualquier caso, sería conveniente, si el firewall nos lo permite, el efectuar un filtrado a nivel de capa de aplicación, para evitar ataques embebidos en las peticiones por parte de un posible atacante que hubiese comprometido el firewall externo. Asimismo, los permisos de acceso a datos del usuario con el que se conecte el servidor externo deben de estar limitados a los mínimos necesarios para su trabajo.

En cuanto a la configuración de salida, como en el caso del firewall externo, es conveniente configurar una situación de partida de todo cerrado y, posteriormente, ir abriendo los puertos de las aplicaciones que se desea que accedan al exterior (p. e.: 80, para web). De esta forma, evitaremos que una mayoría de troyanos, que suelen usar puertos propios, y que pudieran haberse instalado en un equipo de la red interna, puedan ser accesibles desde el exterior.

Asimismo, esta configuración nos permite el limitar el uso de aplicaciones no deseadas y que son posible fuente de problemas de seguridad en los clientes. Dentro de este rango, se incluyen ciertos clientes de mensajería instantánea, que permiten el envío de archivos, así como los programas de acceso a redes peer-to-peer.
 

Luisma
Miembro de la AIH 

• Primera vulnerabilidad de Gmail
  Gmail, el servicio de correo electrónico gratuito de Google, todavía en fase beta y al que solo se puede acceder por invitación, ya es objeto de los primeros anuncios de vulnerabilidades. SecurityTracker publica un fallo que puede provocar que un usuario remoto acceda a información de otros usuarios, invocando repetidamente un script.
   

• La APD considera "dato de carácter personal" la dirección IP
  Kriptopolis publica un detallado artículo a raiz la nota que ha publicado la Agencia de Protección de Datos indicando el carácter personal del dato de la dirección IP con que se accede a un servicio en Internet. Los datos de carácter personal almacenados en ficheros (como pueden ser los log de un servidor web) son protegidos por la Ley Orgánica de Protección de Datos, que indica medidas mínimas para su seguridad y la obligación de registrar estos ficheros en la APD.
   

• Más fallos en el Internet Explorer
  ZDNet publica una información referente al descubrimiento de fallos en Internet Explorer no solucionados con el último parche publicado por Microsoft. En concreto, se trata de una vulnerabilidad del componente Application.Shell, mientras que el parche de la semana pasada deshabilitaba ADODB.Stream. El descubridor, un estudiante holandés llamado Jelmer Kuperus, hace hincapié en el hecho de que muchos de los sitios comprometidos y usados para ataques a usuarios usando estos fallos, usan varias vulnerabilidades.
   

• Denegación de servicio en IBM Lotus Domino Web Access
  El servidor de colaboración de IBM, Lotus Domino, en su acceso web, es vulnerable a un ataque de denegación de servicio (DoS). El fallo puede ser explotado enviando una imagen JPG de gran tamaño, que provocaría una caída del servidor. La vulnerabilidad se ha confirmado en una versión 6.5.1 de Domino, aunque no se descarta que afecte a otras versiones del programa. IBM no planea sacar un parche para solucionarlo, limitándose a recomendar que no se envíen imágenes grandes usando el Web Access.
   

Esta semana se han dejado notar los exámenes finales en las Universidades y las vacaciones de verano. No tenemos ningún mensaje para contestar. Os animamos a vuestros comentarios sobre el boletín y preguntas sobre sus contenidos. Gracias por estar ahí semana tras semana.

Os recordamos, además, que sigue activa nuestra encuesta sobre que es lo que os gusta más del informativos.info, con la intención de dirigirlo más a vuestros gustos.
 

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.