• Opinión: Una nueva forma de ver la piratería
• Artículo: Seguridad en capa: Servidores bastión
• Resumen de noticias de la semana
• El correo del lector

Esta semana salía por varios weblogs la noticia, posteriormente desmentida, de que Microsoft iba a cambiar la política empleada en el primer service pack lanzado para su sistema Windows XP. En el SP1, Microsoft había puesto un sistema para evitar que números de serie que eran conocidos como usados por los piratas pudiesen actualizarse a este parche. En el SP2, al final, va a incorporar una protección parecida, pero la posibilidad de que no lo hiciese hizo verter un río de comentarios. Uno de ellos me ha provocado una reflexión que quiero compartir con vosotros.

Decía este comentario, que no recuerdo donde leí, que dar soporte a las versiones piratas favorecía el negocio de Microsoft. El argumento era que, si bien las copias piratas le hacían perder ingresos, su uso estaba mayoritariamente unido al mercado privado. Y era ese usuario privado el que luego iba a recomendar a su empresa el uso del mismo sistema que tenía pirateado en casa. Si se favorecía el uso y la estabilidad de este sistema, se favorecían al mismo tiempo las ventas empresariales, que suelen ser las más jugosas, por los componentes añadidos de soporte, servidores, actualizaciones, etc. Si, por el contrario, se forzaba a ese usuario domestico-pirata a desechar el sistema Windows, se propiciaba la entrada de la competencia (bien alternativas open source como Linux o propietarias como Mac) en el codiciado mercado empresarial. Así que la conclusión, acertada según mi punto de vista, es que un cierto nivel de piratería en el ámbito privado es bueno para el negocio.

Esto mismo lo he oído de varios músicos "medios" (medios en ventas, no en calidad) como Kiko Veneno o el bajista de Meteosat, que lo publica en esta página. El argumento es claro. Estos músicos ganan poco dinero por venta de discos, y es habitual que un par de conciertos le proporcionen más dinero que el total de las ventas de un álbum. Por lo tanto, lo que a ellos le interesa es que la gente les conozca y acuda a sus conciertos. Y en esto, la difusión de la música de forma "alternativa" favorece sus intereses.

Quizás ha llegado el momento para que las grandes compañías de software y los músicos se planteen cual es la verdadera fuente de sus ingresos. Las iniciativas de open source están ahí ofreciendo alternativas a los negocios tradicionales, basados en la venta de producto, hacia una nueva generación de negocio basada en el servicio.

Luisma
Miembro de la AIH

Concepto de servidor bastión

Cuando hablamos de poner ordenadores en la DMZ, donde estarán expuestos en cierta medida a ataques por parte de intrusos desde Internet, sale casi siempre a la luz un concepto: el servidor bastión.

Como su propio nombre indica, un servidor bastión es aquel que ha sido diseñado desde el principio para ser seguro. Es un servidor que, como regla general, ejecuta un servicio, bien sea Web, FTP, Correo o cualquier otro, de forma exclusiva. Todos los otros servicios que vienen de forma predeterminada con el sistema se reducen a los mínimos para tener un control sobre el mismo y cualquier característica de diseño, tanto hardware como software, ha sido pensada, en primer lugar, desde el punto de vista de la seguridad.

Puntos a tener en cuenta en la configuración de un servidor bastión

1. No se debe permitir el acceso externo al mismo, excepto para la mínima administración. En lo posible, esta debe ser llevada a cabo desde consola.
2. Todos los servicios de compartir recursos, como puede ser el caso de NetBios y SMB en Windows y NFS en *nix, deben ser desactivados.
3. El acceso desde Internet debe de estar protegido por un firewall propio, además del de borde, que corra en el mismo equipo y limite las entradas y salidas a las mínimas necesarias para el funcionamiento del servidor. Así, en un servidor Web, el firewall solo debe permitir el tráfico entrante con destino al puerto 80 y el saliente con origen en este mismo puerto.
4. Si es necesario un control remoto de los equipos, es preferible usar una estructura de red aparte, con tarjetas y cableado distinto. Esta red de control no debe de estar conectada directamente a la red interna, sino a una estación de control aislada.
5. Cada servidor, en lo posible, debe de correr un solo servicio. No es conveniente mezclar un servidor web con un servidor de FTP, por ejemplo. De esta forma, disminuimos el impacto de una posible brecha en uno de los equipos.
6. La configuración de los parámetros de red (activación de protección de SYN floods, ventanas de conexión, etc.) deben de ser considerados de forma conservadora.
7. Dentro de lo presupuestariamente posible, se considerará la instalación redundante de los servidores, mediante técnicas de clustering y distribución de carga de red, para evitar que un DoS contra un equipo desactive el servicio.
8. El control de actualizaciones de los sistemas y software debe de ser muy estricto. Aparte de las configuraciones de actualización automática proporcionadas por el fabricante, debe de ejecutarse de forma periódica un control, manual o mediante herramientas de terceras partes, de la puesta al día y parcheado de los sistemas.
9. Los usuarios y grupos definidos en el servidor serán configurados de forma restrictiva. Como regla general, deberá haber solamente un administrador y un usuario restringido bajo el cual correrá el servicio. La política de contraseñas, tanto con respecto a su duración como a su complejidad, deberá de ser muy fuerte.
10. Deberán de eliminarse del sistema todos los ejecutables no usados y susceptibles de ser usados por atacantes. Además, los que queden deberán de ser movidos de sus ubicaciones habituales a otras menos obvias y protegidas por permisos. No es descabellado cambiar el nombre del ejecutable para evitar su uso directo.
11. Y, por último, deben de tenerse en cuenta las recomendaciones generales de seguridad de cada sistema, como la instalación en particiones distintas del sistema, ficheros temporales, logs y ficheros del servicio, para impedir ataques de escalada y DoS por llenado de disco.

En el próximo artículo:

Hablaremos de cómo aplicar estos conceptos en algún ejemplo práctico.

Luisma
Miembro de la AIH
 

• Dabber: el gusano que aprovecha un fallo del Sasser
  Tras la extensión de la infección del Sasser la semana pasada, nos encontramos esta con un gusano, cuando menos, curioso. Se trata del Dabber. Este gusano aprovecha una vulnerabilidad en el servidor FTP instalado por el Sasser. La carga de pago parece, en principio, inofensiva, pues se limita a borrar archivos en el registro correspondientes a otros virus y a replicarse via tftp a ordenadores vulnerables. SecurityFocus publica una interesante nota y aquí puede leerse una explicación detallada.
   

• Posible bug en Google
  Este lunes los usuarios de Google que buscasen la página de Microsoft o de Adobe, entre otras, se encontraban con que el buscador no las devolvía. No hay confirmación por parte de Google, pero los comentarios en sitios como google.dirson.com y webmasterworld.com apuntan a un posible bug en el buscador, que podría facilitar el borrado de los sites que no contengan la página index.htm o index.html.
   

• Actualización mensual de Microsoft
  Dentro de su política de actualizaciones mensuales, Microsoft ha sacado a la luz este martes las actualizaciones correspondientes al MS04-15. En este boletín se describe un fallo en el servicio de ayuda de Windows, que podría llevar a ejecución remota de código debido a la forma en que el centro de ayuda y soporte maneja la validación de url, si el usuario visualiza una web con una url maliciosamente construida.
   

• Fallo crítico en el protocolo 802.11
  El centro de alerta temprana australiano se hace eco de un fallo en el protocolo 802.11, utilizado en las redes inalámbricas, que podría llevar a la denegación de servicio usando un dispositivo equipado con esta tecnología, aunque fuese de baja potencia, como puede ser un PDA. El fallo se basa en la posibilidad de hacer creer a los dispositivos en el área de alcance que el canal está ocupado y evitar que se establezca la comunicación.
   

• Denegación de servicio en Java Runtime Environment
  Sun ha publicado una nota de seguridad sobre una vulnerabilidad en el Java Runtime Environment 1.4.2_03 y anteriores, que puede llevar a una denegación de servicio remota. Se aconseja bajar la actualización desde la página de Sun
   

• Fallecen dos miembros de Hispalinux en accidente de tráfico
  Barrapunto se hace eco de la triste noticia de la muerte en accidente de tráfico, cuando volvían del Congreso de Software Libre de Valencia, de Ranty y ErConde, miembros de Hispalinux. Desde aquí nuestro recuerdo a estos defensores del software libre.

Buenas tardes, les escribo para felicitarles por el trabajo que están haciendo con la publicación de Boletín Informativo que me llega semanalmente a mi correo. He sido testigo silencioso de como mi correo electrónico pasó a ser compartido por la base de datos de usuarios registrados de dos compañías distintas adjudicándose cada una por su lado la verdadera identidad del informativo, el original informativos.info al que me registré por vía de su página http://www.infohackers.org y otra nueva, pero con el diseño original, informativos.ws.

He de decir que nunca he entendido (ni me ha interesado mucho hacerlo) la organización ni la finalidad de Infohackers, simplemente me suscribí porque me parece que las noticias que me llegan los fines de semana a mi buzón de correo pueden tener algo de interés para mi, aunque he de decir que a veces desconfío de la veracidad de algunos artículos publicados, y es lógico. Las información está disponible para todas las personas con conexión a Internet a solo un click o dos de distancia: Google lo tiene todo, o por lo menos gran parte; pero en contraste a hace quince años donde para estudiar un tema nos veíamos en la necesidad de adquirir un libro, y a la hora de hacerlo nos fijábamos en el autor, en la editorial y en otros tantos detalles que nos daban garantías de que el contenido que acabamos de comprar es, hasta donde la filosofía lo permite, cierto y real... en Internet tenemos muchas cosas (gran parte gratis), pero no hay manera de comprobar que lo que estamos leyendo sea real, ya que no se pone en juego la credibilidad de nadie.

Bien podría publicar cualquiera un absurdo y miles de lectores creérselo sin necesidad de comprobar nada; La "verdad" cuesta dinero, bien sea en forma de certificados de autenticidad y seguridad (que al final pagamos los consumidores), o en forma de material impreso (diarios, libros, etc). Yo particularmente prefiero comprar una revista que suscribirme a una publicación electrónica con la tarjeta de crédito; pero en cuanto a material gratuito, como su publicación: me encanta, pero no hay.

Mi poca confianza ahora se ve aún más perjudicada por el pleito (ya antiguo) entre los integrantes de su organización, y el hecho de que me está llegando "Correo no deseado" a mi cuenta de e-mail por parte de http://www.motivados.org. Y no es que me queje, para mi mejor... más que leer; pero dudo que hubiese sido necesario uno o dos boletines explicándome la situación si con el simple hecho de que el derecho a escribirme lo tiene quien recibió mi solicitud de inscripción, no una persona en particular. Yo me dirigí a infohackers.org y solicité darme de alta, no le mandé un correo a el señor Carlos Mesa diciéndole que quería recibir información de su parte; sin embargo no voy a darme de baja de ninguno de los dos, ya que entre más información (cierta o falsa) mejor. Solo he de acotar que el encargado de Informativos.Ws debería quitar de su encabezado la frase que
afirma: 4.305 suscriptores, ya que no son suscriptores sino simples destinatarios de su maquina de spam.

Me dio algo de gracia la acotación que hacen en su número 119, y cito:
"Queremos aprovechar la ocasión para comentar que no vamos a contestar a ninguna pregunta del tipo "¿como se hackea una cuenta de correo de mi novia?" y parece que está muy de moda aquello de preguntarle a todo aquel que tenga conocimientos informáticos como conseguir contraseñas de correo electrónico de particulares; parece que es lo único que guardan en el cerebro una gran parte de los interesados por el tema, y sinceramente es triste (pero reconfortante) saber que no hay competencia ni relevo, somos los que estamos y solo un puñado de newbees van a aprender a pensar.

Sin más nada que agregar, atte.

Otto von Bismarck

Estimado Otto, no podemos mas que estar de acuerdo en lo que dices. La actitud del editor de informativos.ws es, cuando menos, poco moral, al tomar por su cuenta una lista de suscriptores, a la que tenía acceso como miembro de esta asociación, y usarla para su beneficio personal. Por nuestra parte, pedirte disculpas por esta situación que, como comprenderás, es totalmente ajena a nuestra voluntad.

El comentario del número 119 al que haces referencia no fue creado gratuitamente. Si te pasas por los foros de la AIH o por nuestro irc, verías que es un tema bastante socorrido. Creemos que, aparte del tema moral de si se debe entrar o no en cuentas de correo ajenas, ya de por si bastante espinoso, el hecho es que esta gente cree que el ser hacker consiste en ejecutar un programa y entrar en la privacidad de otro. Nosotros creemos firmemente que el ser hacker es algo más.

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.