• Opinión: Mirror of the Universe
• Artículo: Seguridad en capas: servidores bastión. Un ejemplo (III)
• Resumen de noticias de la semana
• El correo del lector

Acabo de leer esta noticia y, sinceramente, me siento obligado a escribir esta editorial. Llevo ya tiempo queriendo hacerlo, pero esto ya ha colmado mi paciencia.

Muchas respuestas ha tenido la pregunta de qué es Internet. ¿Porqué existe Internet? o lo que es lo mismo .... ¿qué objetivo podría tener para el mundo ?. Para mi Internet es un poco como aquella carta de Magic ( Ay qué recuerdos ... ) llamada Mirror of the Universe. Para mi Internet no es más que una gran metáfora de la civilización donde como en un espejo todos los problemas que acaecen a la sociedad se muestran a la espera de una solución. El problema básico es que vivimos en una sociedad Closed Source ( uso este término porque estoy seguro de que no está patentado, por si acaso ) en la que todo problema se parchea sin más, ya que probablemente de ese mismo problema derivan intereses varios que parece ser que interesa menos que desaparezcan a que desaparezca el problema en si. Me explico :

Amén de la diferencia entre pedofilia y pederastia, de dónde se extrae que la pedofilia no constituye ni puede constituir jamás delito alguno, Internet sirve de espejo para este problema y desgraciadamente es un caso más de parche anunciando la detención de los susodichos. Si tanto se ha impuesto el término pedofilia, ¿se ha de tomar realmente esa filia como un transtorno mental que desemboca unívocamente en un delito de pederastia ?, de ser así no se ha hecho nada por avanzar en su erradicación. Si por el contrario el delito es la pederastia y no es el único desenlace posible a la pedofilia, estamos contemplando cómo el número de casos aumenta día tras día mientras que se nos intenta convencer de su erradicación a golpe de detención. Si ese número no deja de crecer .... ¿lo estamos solucionando ?. Tal vez las detenciones sirvan para algo más que para dar la falsa sensación de solución al problema. Una vez más se usa un problema como excusa para controlar Internet y lo que se comparte. No 'interesa' en ningún modo la erradicación del 'problema'.

No es ni de largo un hecho aislado .... basta abrir los ojos y preguntarse por el problema de fondo para encontrarnos con el mito de la caverna de platón :

- La empresa BayTSP crea el software MyGudio que impedirá compartir archivos en redes P2P . El parche en este caso consiste en evitar que la gente comparta algo que es suyo, asegurándose poder y 'legitimidad' en sus acciones quien quiera que emprenda dichas acciones contra la compartición de material via Internet. Se recauda dinero en pleitos y se asegura el miedo y la sumisión de los usuraios de P2P en vez de resolver los problemas con los derechos de autor. Un buen ejemplo de problema 'al dedo'.

- La policía estudia controlar las conversaciones de los chats para combatir la pedofilia ( Véase el tratamiento de esta palabra ). En este caso el parche consiste en controlar aquellas conversaciones que interesen tengan o no que ver con la pederastia y aún aquellas que tengan que ver pero por alguna razón no interese.

Idéntico trato recibe el terrorismo convertido en 'una mera excusa' para controlar a la población y recortar libertades fundamentales a todo navegante en vez de sentarse a debatir los problemas reales que existen para que éste se dé. Igual trato recibe la xenofobia, parcheada a golpe de detención. Nos escandalizamos porque un ISP nos pone un filtro que no nos deja ver una página de hacking cuando nosotros estamos permitiendo a nuestro hijo solamente visitar la página web de disney. ¿Qué tenemos que esconder? ¿Qué es aquello que no podemos dejar que nuestros hijos vean ? o mejor dicho ... ¿por qué parchearles los ojos en vez de eliminar los problemas haciendo así partícipes de Internet precisamente a aquellos que, no habiendo sido aún modelados por las bajas pasiones humanas podrían hacer el uso más racional y mejor aprovechado de la red ?.

La próxima vez que usted lea una noticia sobre internet relacionada con algún problema de la sociedad .... pregúntese qué es lo que le está reflejando y qué es lo que se debería resolver. Pregúntese cómo sería Internet sin terrorismo, sin derechos de autor, sin pederastia, sin patentes ... y obtendrá lo que las próximas generaciones podrían usar para evitar el cambio climático. ¿Poder o Humanidad ?


Kaskade.
Miembro de la AIH.

Securizando un servidor web

En este ejemplo, vamos a usar el servidor web que viene por defecto en Windows 2000 server, el Internet Information Server (IIS). Para ello vamos a tomar en cuenta varios pasos, modificando la configuración por defecto, para eliminar las funciones no usadas, filtrar las entradas y ocultar (en lo posible) la identidad del servidor.

Instalando lo mínimo

A la hora de instalar el servidor, desecharemos todas las funciones que no vamos a usar. En la configuración por defecto del servidor se instalan servicios, como los de ftp, smtp o nntp, no usados para dar servicio de web. Por lo tanto, la primera medida al realizar la instalación del servicio web, es deseleccionar estas funciones. Si más adelante, durante el desarrollo de la web, encontrásemos que son necesarios algunos de estos son necesarios, podemos instalarlos posteriormente. Pero, en principio, deberemos seguir la regla de “Si no lo usas, quitalo”.

Cambiando las rutas

IIS usa, por defecto, la carpeta %SystemDisk%\inetpub\wwwroot como raíz del árbol de directorios donde publica los contenidos. El primer paso es crear una carpeta en una partición aparte, para evitar que una escalada de directorios pueda llevar a un lugar previsible. Asimismo, deberemos cambiar la ruta del directorio donde guardaremos los ejecutables que usemos en nuestra aplicación web. El resto de directorios y rutas, como las de ejemplos, administración, etc,  deben de ser borradas.

Filtrando el acceso

Una herramienta imprescindible en la maleta de un administrador de IIS es el IIS Lockdown, proporcionado por Microsoft. Este ejecutable realiza una serie de configuraciones en el IIS, reduciendo los riesgos de seguridad de la instalación por defecto y eliminando los filtros y aplicaciones no necesarias. Instala, además, un filtro de url, denominado URLScan, que, entre otras funciones, descarta las url malformadas, eliminando, de esta forma, una gran parte de los ataques por escalada de directorios, desbordamiento y enmascaramiento.

Ocultando la identidad

Una de las medidas de protección contra los intrusos es la ocultación del software que está ejecutándose. La forma básica es ocultar o falsear la información de cabecera que proporciona el servidor. Esta información puede ser obtenida con un simple telnet al puerto 80 y el comando GET. Para ello, basta con editar el fichero urlscan.ini, dentro de %WINDIR%/system32/inetsrv/urlscan, y modificar la línea RemoveServerHeader=1.

Además de ocultar el encabezado, otra fuente importante son los mensajes de error. Se pueden cambiar por mensajes personalizados o por otros de otros servidores distintos. Incluso, con objeto de causar confusión en el atacante, puede ser interesante mezclar mensajes de varios servidores.

De todas formas, un atacante decidido y con buenos conocimientos puede obtener la identidad mediante técnicas de respuesta a errores, pero nos evitamos la mayor parte de los atacantes habituales.

Seguridad en la programación

Un servidor puede ser muy seguro a nivel de sistema, pero un simple error en la programación de la web puede llevar a un deface. Por ello, deberemos ser muy cuidadosos en la programación de los módulos que hacen funcionar a nuestra página, especialmente con las entradas de las funciones. Pero ese es un tema que escapa al ámbito de este artículo.

En resumen

Estos son unos pocos consejos básicos. La tarea de securizar un servidor web es muy extensa y requiere muchas pruebas. Es aconsejable rebuscar en Internet todo lo que podamos para encontrar trucos y vulnerabilidades. Y como siempre, una política de actualizaciones adecuada ayuda a prevenir ataques.

Luisma
Miembro de la AIH 

• Vulnerabilidad XSS en Web Wiz Forums
  Una vulnerabilidad existente en la página de registro permite a un atacante robar credenciales de información e inyectar cookies maliciosas. Dicha Vulnerabilidad afecta a la version 7.8 y ya hay un parche disponible para corregir el problema, puede encontrar mas informacion en Securiteam.
   

• Oleada de ataques contra la vulnerabilidad de Internet Explorer
  Se están detectando estos días una oleada de ataques contra equipos que usan Internet Explorer. Los ataques usan un fallo no corregido del navegador de Microsoft. Como vector de ataque se usan servidores IIS comprometidos. Según Microsoft, los servidores atacados no habían actualizado con el boletín MS04-11, la misma vulnerabilidad que usa el Sasser, pero se habla también de una vulnerabilidad no publicada. El objeto de los ataques es hacerse con datos bancarios, como números de tarjetas y PIN.
   

• El IEEE aprueba el estandar 802.11i, red inalámbrica con encriptación AES
  El organismo norteamericano de estándares IEEE ha aprobado un nuevo estándar en la ya poblada galaxia de los accesos Wi-Fi. Se trata de del 802.11i, que integra de forma predeterminada encriptación AES. La ventaja es la robustez de esta encriptación, aunque exigirá tarjetas y puntos de acceso con procesadores más potentes para hacer frente a la carga de trabajo adicional.
   

• El Ministerio de Industria anuncia que se restringirá el acceso a los números 807
  El ministerio de Industria, Turismo y Comercio anunció que restringirá el acceso a los números de tarificación adicional 803, 806, 807 y 907, los operadores deberán contar con la autorización firmada por el usuario antes de activar dicho servicio. Delitosinformaticos.com publica una noticia al respecto.
   

• Fallo de seguridad en el IOS de Cisco provoca DoS por paquetes BGP
  El IOS de Cisco, el sistema operativo que ejecutan los routers de este fabricante, es vulnerable a un ataque de denegación de servicio en el protocolo BGP, que usan los routers para comunicarse entre si. Existe una actualización gratuita para los usuarios. Hispasec publica más información al respecto.

Volvemos a la normalidad poco a poco en esta sección. Disculpad los retrasos.

Os recordamos, además, que sigue activa nuestra encuesta sobre que es lo que os gusta más del informativos.info, con la intención de dirigirlo más a vuestros gustos.
 

Estimados lectores,
llevamos desde febrero trabajando en la nueva web http://www.infohackers.org.
Como suele pasar en todos los proyectos de gran envergadura, entre el poco tiempo libre que tenemos los colaboradores que han querido aportar su granito de arena, los que se han desvivido semana tras semana, y diversas dificultades tanto por el hardware disponible como por la correcta configuración del software, poco a poco iremos abriendo las puertas a ese nuevo mundo que hemos querido crear para vuestro disfrute personal.
Desde aquí quisiéramos aprovechar para dedicarles unas líneas a todos aquellos que en un pasado no muy lejano nos atacaban continuamente.
No queremos demostrar que somos los mejores, ni tan siquiera demostrar algo imposible (en el código siempre hay fallos y en la mayoría de los casos se pueden aprovechar para entrar en los sistemas) sino intentar hacer lo que mas nos gusta en las plataformas que preferimos y con las aplicaciones mas idóneas a nuestras necesidades.
Es por esto que quisiéramos pedir a todos aquellos que quieran colaborar con nosotros en la mejora de dichos sistemas y aplicaciones, se pusieran en contacto con nosotros y que el flujo de información fuese unilateral.
Esperamos que todos (curiosos, usuarios avanzados, administradores, newbies y hackers) podamos compartir un proyecto común donde todos tengamos cabida y donde todos aprender los unos de los otros.

hola amigos, quria saber si serian tan amables de mandarme un mail con introduccion a linux: level 1,2,3 ya que el 4 lo tengo.
les pregunto esto ya que se me borraron los mails anteriores que tenia en outlook por culpa de este maldito windows.
muchas gracias
salu2 desde argentina

Os recordamos a todos que los números anteriores del boletín están disponibles a través de la página http://www.informativos.info, en la sección de mensajes.

Estimado Señor:
Coincido casi con todo lo que usted dice en su artículo "Todo está en venta". Solo quería hacer una aclaración, que también tiene que ver con la "apropiación indebida", en este caso de los nombres.

Usted dice en su artículo ...."Por eso el modelo americano "... e incluso creo lo repite varias veces.
En realidad es un error:
1) Por cantidad de personas
2) Por ser herederos culturales de los primeros europeos en llegar a estas tierras
3) Por ser el idioma más hablado (el español)
Los americanos somos nosotros, los latinoamericanos. Los estadounidenses son eso, solamente hijos...de ingleses y estadounidenses, una cultura importada y nada más. Porque llegaron despues, porque son menos, porque viven mirando una parte de europa y no representan los verdaderos intereses americanos. Por eso, este error tan común ,difundido por el propio nombre de ese país, por favor, le pido si puede lo alcare, ya que hasta eso nos han robado y no debemos permitirlo. No son, no deberíamos llamarles americanos sino estadounidenses. Para americanos baste con nosotros, con menos dinero, pero con mucho más respeto por el mundo y mucha mayor dignidad, no tenemos en nuestro haber invasiones, asesinatos, robos, ni mentiras.

Sin mas y siempre a las órdenes

No puedo estar más de acuerdo contigo, querido amigo, y lamento profundamente el haber caído yo también en el fallo propiciado desde los media de identificar América con Estados Unidos. Realmente, el continuo bombardeo de esta acepción, especialmente propiciada por los Estados Unidos, hace que el inconsciente nos traicione. Desde luego que Latinoamérica tiene más derecho a ese nombre que los vecinos del Norte, por historia, población y extensión. Saludos. Luisma.
 

Don
Miembro de la AIH

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.