|
|
|
| Asunto: | [boletín_informativos] informativos.info #130 | | Fecha: | Domingo, 20 de Junio, 2004 21:11:50 (+0200) | | Autor: | Infohackers <infohackers @...........org>
|
informativos.info
| Boletín número 130 |
Hacktivismo y
seguridad |
20 de Junio de
2004 | |
 |
Sumario |
| |
|
|
|
Opinión:
Penalizados |
| |
Leíamos esta semana en diversos foros
la preocupación existente por la entrada en vigor, en Octubre de este año,
de la reforma del Código Penal aprobado en la pasada legislatura. Esta
reforma, entre otras medidas inquietantes, mantiene la pena de seis a
veinticuatro meses de prisión por la descarga de material protegido por
derechos de autor o la simple posesión de un software para eliminar la
protección de los soportes.
Es decir, hasta dos años de cárcel por
tener un ripeador de DVD en tu equipo. No importa el uso que le vayas a
dar. No importa si solo lo usas para hacerte copias de seguridad de tus
caros (demasiado caros) DVDs, actividad, por otra parte, perfectamente
legal y reconocida en la LPI. Incluso, avanzando un paso mas, coartando el
derecho, reconocido por la ley y los tribunales, a la copia privada.
Derecho consagrado aún más por actitudes como el canon en los soportes. Es
decir, si bajas una canción, eres reo de prisión. Si puedes desproteger un
DVD eres reo de prisión. Pero, por si acaso, pagas un canon para compensar
ese delito (delito, no falta).
Un punto más no se puede escapar de este
debate: el uso de la costumbre. Se dice que la ley es la plasmación en
papel de las costumbres y reglas morales de la sociedad. Es decir, si una
sociedad cree que está mal ir desnudo por la calle, es normal la
penalización del hecho. Si una sociedad es indiferente al tema, lo lógico
es que la ley no penalice este hecho. Ahondando un poco, vemos que, con la
evolución de las costumbres y modos sociales, la ley puede quedarse algo
atrás con respecto a la sociedad. Hace cosa de cinco años, el ayuntamiento
de mi ciudad abolió la norma de la ordenanza municipal de playas en la que
se dividían los arenales en zonas diferenciadas para hombres y mujeres.
Pero, obviamente, no existía ningún caso en los últimos setenta años en
que esta norma hubiese llevado a algún expediente sancionador. Los
policías municipales y los jueces obviaban esta norma al estar totalmente
fuera de la costumbre.
Pues en el caso de esta reforma, no solo
se está manteniendo una costumbre en desuso, la cárcel para el pequeño
usurpador a nivel privado de los derechos de autor (en ningún caso estamos
hablando de las mafias de la piratería), sino que, además, este hecho es
de uso común en la sociedad. Una gran mayoría de los miembros de la
sociedad, en algún momento, han infringido, de manera privada, los
derechos de autor: grabado una película de la televisión, copiado un CD o
cinta, fotocopiado un libro o parte de el,... Una parte menor, pero
bastante considerable, ha cometido hechos reflejados específicamente en
esta reforma: tiene programas para desproteger software o DVDs, usa
programas P2P para obtener contenido protegido por derechos de autor, etc.
Esta porción de gente no está considerada por la sociedad como peligrosa,
ni provoca alarma social. No justifica su acción, en mi opinión, una
penalización, puesto que reportan beneficios a los propietarios de los
derechos en concepto de canon de soportes, y mucho menos una pena de
cárcel.
Podríamos comparar el tratamiento dado a
estos hechos con los contemplados en la Ley de Seguridad Vial y el
Reglamento de Circulación. Conducir a elevadas velocidades (más del 50% de
la permitida, es decir, a más de 180 km/h por autopista) o bajo los
efectos del alcohol, está considerada como falta grave, y conlleva
simplemente una multa no muy elevada, especialmente para bolsillos
acomodados, y la retirada de carné por periodo de hasta 1 año. Teniendo en
cuenta que este comportamiento conlleva un elevado riesgo físico, no sólo
para el infractor, sino para el resto de usuarios, y que acarrea un
elevado coste en vidas todos los días, parece ridículo que la sanción sea
tan inferior a la simple defraudación de un importe económico,
generalmente de escasísima cuantía (un músico no suele llevarse más de un
euro por derechos de autor de la venta de un CD).
Volviendo al tema de la costumbre, la
aplicación estricta de esta ley supondría el encarcelamiento de cientos de
miles, sino millones, de personas. Obviamente, no va a ser así, pero
presumiblemente se tomarán algunas cabezas de turco para dar ejemplo y
asustar al resto, al estilo de lo que se ha hecho en USA. Sin embargo, y
al tratarse de un delito, los jueces y fiscales deberán perseguir de
oficio a los infractores. ¿Es lógica una ley que obliga al poder judicial
a perseguir y a condenar a un elevado porcentaje de la población?
Esperemos que el cambio de composición
del parlamento lleve acompañado la retirada de esta reforma. Baste
recordar que, tanto PSOE como otras fuerzas, promovieron enmiendas a la
totalidad de esta, encabezadas en el caso socialista por la actual
vicepresidenta del Gobierno.
Luisma.
Miembro de la
AIH. |
|
|
Introducción
a Linux: level4 |
| |
En este capítulo vamos a tratar el
tema de ofrecer servicios. Una de las características de Linux es que está
orientado precisamente a eso. Así como windows está orientado a estación
de trabajo, linux está orientado a servidor. En este capítulo vamos a
explicar brevemente los servicios de red más usuales en entorno linux :
SSH, Web y FTP.
SSH
SSH es lo que en argot se denomina una rata (
del inglés RAT = Remote Administration Tool ), lo que en windows se
llamaría troyano que no es más que una herramienta que permite loggear de
forma controlada a una máquina remotamente. Esta herramienta viene
incorporada en cualquier instalación básica de Linux, tanto el cliente
como el servidor.
La seguridad de esta herramienta es ejemplar ya
que según se desprende de su man:
' SSH intenta reemplazar
rlogin y rsh, proveyendo comunicaciones encriptadas seguras entre 2 hosts
no confiables a través de una red insegura '
La autenticación
del cliente en el servidor dependerá de lo que se denomina 'version' de
ssh. En la actualidad existen 2 versiones : SSH.v1 y SSH.v2 siendo v2 la
más segura de ambas. Amén de varias formas de autenticación no segura para
agilizar la entrada a sistemas confiables, la autenticación se realiza
mediante RSA o DSA: ambos hosts crean un par de claves para verificar que
el cliente es quien dice ser. Esto se crea de forma automática al instalar
SSH tanto para el cliente como para el servidor. Además de este mecanismo
de seguridad, SSH checkea el nombre de host para evitar cualquier intento
de spoofing. Una vez comprobada la autenticidad del cliente, ssh pedirá un
nombre de usuario y una contraseña para el acceso al sistema. Esta
contraseña usualmente estará en md5 y toda la comunicación entre el
cliente y el servidor se realiza encriptadamente.
Para acceder
remotamente a un sistema mediante ssh, simplemente tenemos que teclear :
ssh ip_o_nombre_de_host. Esto nos informará si se trata de la primera vez
que accedemos a ese host de si queremos almacenar su clave pública para
ulteriores accesos al mismo. Esto no es una mala idea, ya que agiliza la
comprobación de que el cliente es quien dice ser y de todos modos siempre
nos pedirá una contraseña para entrar al sistema. Si la información
provista al servidor SSH es correcta, éste nos permitirá loggear dentro
del sistema. Un fallo corriente al usar ssh es que el usuario con el que
loggea el cliente no tiene permisos para llegar hasta la carpeta donde le
permitimos la entrada. Es cuestión de chequear los mismos.
Para
cualquier duda consultad : man ssh.
FTP
Un FTP es un programa que permite la
compartición de un espacio de disco duro de forma controlada mediante una
red. Permite que los usuarios almacenen o descarguen archivos en la parte
de disco duro compartida. Para ello necesitaremos un servidor de
ftp.
Voy a explicar un poco por encima ProFTPd, más que nada porque
es el más sencillo e ilustrativo de los que he probado. Su web :
www.proftpd.org tiene megas y megas de documentación acerca del servidor,
problemas conocidos, casos poco comunes... Basta echar un vistazo allí y
todo suele quedar resuelto. Para instalarlo, en Debian basta con teclear
apt-get install proftpd y si no , pues te bajas las fuentes y a compilar.
El archivo README que acompaña siempre a las fuentes en Linux detalla la
forma correcta de compilarlo.
Una vez instalado, podemos observar
si lo tenemos ya funcionando tecleando ps aux | grep proftpd. De no ser
así, deberemos dirigirnos al ejecutable llamado proftpd y teclear 'proftpd
start'. En /var/log/syslog podremos comprobar si no ha habido ningún
problema al arrancar ( El archivo de congfiguración nos permite
especificarle una ruta diferente para los logs ). Un vistazo a los
procesos ( ps aux | grep proftpd ) nos dirá si ya lo tenemos funcionando.
Si todo ha ido bien , entonces ya tendremos nuestro servidor de ftp
funcionando. Solo restará editar su archivo de configuración
'proftpd.conf' de acuerdo a nuestras necesidades y enviar al servidor la
señal 'kill -1 PID' donde PID será el PID que nos dió el comando ps para
que recargue la nueva configuración.
Podemos comprobar que todo ha
salido bien tecleando : ftp localhost. Si obtenemos un error indicándonos
que se nos deniega el acceso, deberemos comprobar los permisos para los
usuarios que hemos especificado en el archivo de configuración. Una vez
hecho esto y si nos permite loggear, ya tendremos nuestro server de ftp
funcionando. Bastará darle acceso desde internet si fuera
necesario.
WEB
El servidor web más extendido por todo
internet es Apache. Su configuración nos recuerda a la de proftpd, con un
archivo de configuración llamado httpd.conf donde se le editan todos los
parámetros. Se puede encontrar aquí: www.apache.org y tanto su instalación
como configuración no revisten mayor complicación. Procederemos como
siempre a bajar las fuentes, que compilaremos según nos indique el README.
Una vez instalado, comprobaremos que funciona abriendo un navegador y
tecleando en la barra de direcciones : localhost. Si esto fallara
pondríamos 127.0.0.1. Y si obtuviéramos un mensaje de error tal como
acceso denegado, simplemente hemos de mirar si el usuario que corre apache
( lo miramos en el archivo httpd.conf ) tiene los permisos adecuados para
acceder al directorio que alberga la web
Una vez corriendo el
servidor web, editaremos el archivo de configuración de Apache siguiendo
las indicaciones de la ayuda ( directorio 'manual' de Apache ). Y le
recargaremos la configuración usando el binario apachectl de este modo :
apachectl restart. Si esto fallara por alguna razón, simplemente le
mandamos la orden stop e inmediatamente después la orden start. Podemos
mirar asimismo en el directorio de logs de Apache ( configurable en el
archivo de configuración ) si al arrancarlo de nuevo nos da algún error
por culpa de alguna directriz mal con
figurada por nosotros. Siempre es
buena idea consultar la página web de apache ante cualquier eventualidad.
La ayuda allí es de lo más completo.
Una vez configurado nuestro
servidor, solo tendremos que colocar todos los archivos que queramos que
se muestren en nuestra página web en el directorio que hemos configurado
para tal efecto en httpd.conf. Y una vez hecho esto, tendremos nuestro
servidor Apache corriendo en el puerto que nosotros estimemos oportuno,
dependiendo de tu acceso a internet, tendrás que natear dicho puerto o
bien ya será accesible desde fuera. Recuerda comprobar los permisos de los
archivos que quieras mostrar en tu página web, suele ser el problema más
frecuente.
Y hasta aquí la aproximación al mundo de los servicios
más comunes en una máquina Linux. Espero que lo probeis y si algo no os
funciona como deseais, no desistais. La solución siempre se encuentra en
internet, el orden correcto es : página web del programa , foros, google,
ircs. Siempre en alguno de esos lugares y si no tienes fobia a la lectura
encontrarás la solución. Mucha suerte a todos y os esperamos en el próximo
número.
Belyt y Kaskade
Miembros de la AIH
|
 |
Resumen de noticias
de la semana |
| |
-
Vulnerabilidad en el protocolo BGP de
Cisco
El protocolo BGP (Border Gateway Protocol) es un protocolo
usado entre routers para compartir información tal como tablas de rutado
y otras. En la implementación de este protocolo en los routers de Cisco
existe un fallo que puede llevar a una denegación de servicio (DoS).
Cisco ha publicado un boletín
informando de este fallo y de sus soluciones.
-
CC. OO. acusa a la SGAE de bordear la
Xenofobia
El sindicato Comisiones Obreras acusa a la Sociedad
General de Autores y Editores de bordear la xenofobia en la
contraportada del polémico disco recientemente editado por Vale Music
contra la piratería. Aunque la postura de CC. OO. es clara contra este
fenómeno, frases como : "Los inmigrantes ya saben que España es un
chollo, pueden vender en la calle y no les pasará nada. Cada vez vienen
más." tienen un claro componente xenófobo. IBLNews se hace eco de la
noticia.
También se está moviendo gente en Internet para que la fiscalía
investigue de oficio este hecho.
-
Cabir, virus que afecta a los teléfonos móviles con
sistema Symbian
BandaAncha.ST
refleja la noticia de uno de los primeros virus destinados
especificamente a teléfonos móviles. Se basa en un programa bajo el
sistema Symbian, usado en algunos móviles de Nokia, Sony-Ericsson y
Motorola, y que se propaga a través de bluetooth a teléfonos
cercanos.
-
Akamai con problemas debido a un ataque
internacional
Akamai, proveedor de servicios en internet que da
soporte, entre otros, a sitios de tanto tráfico como Yahoo!, Google o
Microsoft, ha sufrido interrupciones esporádicas de servicio esta semana
como consecuencia de lo que denominan "un ataque internacional".
SecurityFocus publica una noticia sobre el
tema.
-
Fallo de seguridad en el kernel de Linux
Se
ha descubierto un fallo en el kernel de GNU/Linux que puede llevar a la
caida del sistema atacado. Para ello basta con la ejecución de unas
pocas lineas de código, sin necesidad de hacerlo como el superusuario
root. En LinuxReviews se comenta
el fallo. Existen actualizaciones disponibles en los sitios
habituales.
|
 |
El correo del
lector |
| |
Debido a
circunstancias personales del encargado de la sección, esta semana
seguimos sin poder publicar vuestras cartas. Os pedimos humildemente
disculpas.
Os recordamos, además, que sigue activa nuestra encuesta
sobre que es lo que os gusta más del informativos.info, con la intención
de dirigirlo más a vuestros gustos.
|
|
|
informativos.info 
Responder a este mensaje