Inicio > Mis eListas > infohackers > Mensajes

 Índice de Mensajes 
 Mensajes 141 al 155 
AsuntoAutor
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
 << 20 ant. | -- ---- >>
 
Infohackers.org
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 223     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[boletín_informativos] informativos.info #211
Fecha:Domingo, 5 de Febrero, 2006  19:21:44 (+0100)
Autor:Infohackers <infohackers @...........org>

informativos.info

 

Editado por AIH: www.infohackers.org

Boletín informativos.info

5.758 subscriptores

Boletín número 211

Hacktivismo y seguridad

5 de Febrero de 2006


Sumario
 

Opinión: Firmas y firmas
 


Estas semanas saltó a la palestra la recogida de firmas que el Partido Popular está llevando en su sitio web para intentar promover un referéndum a nivel nacional sobre el estatuto de Cataluña. Dejando muy al lado las consideraciones políticas o legales de esa iniciativa, lo que nos ha llamado la atención ha sido el modo en el que se ha pretendido llevar esta iniciativa. Sobre todo, en el campo de la fiabilidad de la misma.

El sitio presenta un simple formulario en el que se introduce el nombre y el número de Documento Nacional de Identidad, indicando con esta acción la intención de apoyar la iniciativa. Es el modo en que muchas campañas se han desarrollado por la Red, en apoyo de distintas iniciativas. Sin embargo, es la primera vez (que yo sepa) que se intenta con este método el llevar a cabo una iniciativa legal. De ahí que queramos ver un poco más en profundidad los problemas de la recogida de firmas en Internet.

La única comprobación que realiza la citada web antes de aceptar la firma es una comprobación de que el número de DNI es válido. En España se incorporó al número de DNI una letra para evitar errores en los números. La comprobación se realiza comparando el resto de dividir por 23 el número contra una lista de letras. La generación de números de DNI falsos, pero correctos en cuanto estructura, es, pues, sencilla. Se generan números aleatorios de 8 cifras y se calcula la letra.

Un fallo más en la página de recogida de firmas está en que la comprobación la efectúa un javascript en el navegador del usuario. Es así, fácil el saltarse esta protección inyectando al script ASP que procesa el formulario la variable con el dato del DNI que incluso no sea correcto a nivel de comprobación de la letra.

Seremos buenos. Vamos a suponer que, aparte de la comprobación en el lado del usuario, se ha efectuado el mismo tipo de comprobación en el script de recepción. Con ello, al menos sabríamos que el "firmante" se ha molestado en crear un DNI con apariencia de correcto. Sin embargo, seguimos sin saber si ese DNI y ese nombre se corresponde con una persona real.

Para evitar la firma masiva (y falsa), se nos puede ocurrir que se podría permitir sólo una firma desde cada dirección IP. Sin embargo, de esta forma dejaríamos fuera a multitud de personas que quisieran firmar desde ordenadores situados detrás de un proxy o dispositivo NAT. Por ejemplo, dejaríamos fuera a los clientes de Telefónica (y compañías que usan la red de Telefónica), ya que la IP que le aparecería sería la del proxy-caché. Aún usando código modificado para evitar el problema de los proxies, los dispositivos NAT que permiten el acceso de múltiples equipos con una única IP pública solo presentarían esta. Y no olvidemos los ordenadores compartidos, como los de los cibercafés, o los personales que usa toda la familia.

La siguiente idea que se nos podría ocurrir sería cruzar los resultados con el censo. Los partidos políticos tienen acceso a los ficheros censales con objeto de publicidad política en las elecciones. Si comparamos los DNI para ver si están inscritos en el censo electoral, e incluso comparamos los nombres con los que están inscritos en el censo con ese DNI, podemos descartar multitud de datos falsos. Sin embargo, la Agencia de Protección de Datos ya se ha pronunciado en contra de esta práctica, por considerarla contraria a la Ley Orgánica de Protección de Datos.

Seguiremos dando opciones a los organizadores de la recogida de firmas. Vamos a suponer que han cumplido con los requisitos que la APD les exige, que la ley ha sido modificada para permitir el cruce de bases de datos y que han comprobado (y filtrado) los nombres y DNI con los del censo. Ya tenemos un listado de personas con nombre y DNI que creemos que apoyan nuestra iniciativa. Pero, ¿han sido estas personas las que han firmado?

Lo creáis o no, es sencillísimo obtener listados de parejas nombre-DNI. No hace falta asaltar una base de datos o introducirse en los sistemas del Estado. Con acceder a los Boletínes Oficiales de las provincias o del Estado, o incluso en la prensa diaria, se pueden obtener grandes listados de personas emparejados por nombre-DNI. ¿No me creéis? Simplemente mirad los listados de los resultados de las oposiciones, o de las pruebas de selectividad. O las listas que publican los BOP con los infractores de tráfico a los que no se ha localizado. Son miles de posibles "firmantes" que se pueden incorporar.

Por supuesto, en todo este proceso suponemos buena fe de los organizadores de la recogida, ya que, si no, ellos mismos pueden seleccionar las firmas al azar del censo.

¿No hay soluciones, entonces, para recoger firmas por Internet? Según la legislación española, si. La firma electrónica es legal desde el 2003, y esa sería la forma de recoger de manera unívoca los apoyos. Sin embargo, hasta ahora pocos han sido los que han obtenido el certificado en el que se basa esta firma electrónica, y eso que el proceso es sencillo y gratuito. La recogida de firmas tendría, entonces, un ámbito bastante reducido.

Puede que la solución pase por la próxima implantación del DNI electrónico, que incorporará un certificado de firma electrónica. Sin embargo, varias noticias recientes sobre el tratamiento de los datos del DNI por parte de algunos funcionarios encargados de custodiarlos traen dudas sobre la fiabilidad de este mecanismo.

En todo caso, mientras no se mejore el sistema, deberemos tomar con pinzas los resultados de cualquier recogida de firmas realizada en la Red. Especialmente si queremos que tenga fuerza legal y no queremos ser objeto de pitorreo.

Luisma..
Miembro de la AIH.

Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons.

   

Resumen de noticias de la semana
 


Nuevos fallos en Winamp

El conocido reproductor multimedia de Nullsoft, Winamp, presenta varios fallos en sus versiones 5.12 y anteriores, que pueden llevar a la ejecución de código arbitrario por parte de un atacante.

Actualización de seguridad para Firefox

Mozilla ha publicado esta semana la versión 1.5.0.1 de su navegador Mozilla Firefox. Esta actualización viene a solucionar diversos fallos de seguridad, algunos de los cuales están considerados críticos.


Escasa actividad del gusano Kama Sutra

Otra vez, los media se han equivocado. Tras haber anunciado por activa y por pasiva que este viernes día 3 se iba a producir una catástrofe por la activación del gusano "Kama Sutra", la realidad ha devuelto un índice escaso de actividad de este malware.


El correo del lector
 


Esta sección esta dedicada a resolver vuestras dudas y recibir vuestros comentarios sobre los artículos de este boletín y sobre temas de seguridad informática. Os animamos a escribirnos a el_lector@infohackers.net.

Recibimos con frecuencia peticiones para acceder a boletines antiguos. Os recordamos que están todos en www.informativos.info y que los estamos poniendo en pdf en nuestra web www.infohackers.org.
 

  Hemos recibido varios correos sobre el formato del boletín, en muy diversos sentidos. Os invitamos a votar en la encuesta que está disponible en nuestra página web www.infohackers.org para saber vuestra opinión. Gracias por colaborar.

Buenas noches,

No quiero parecer descortés ni malintencionado, así que primero dejaré claro que me encanta el boletín, y encuentro muy interesantes las opiniones vertidas en el, así como los artículos técnicos que se publicaban antiguamente... pero de ahí viene mi duda:
¿Habeis dejado de editar dichos informes técnicos temporal o definitivamente? Personalmente, encontraba muy interesantes los artículos sobre seguridad, más concretamente los dedicados a los niveles de seguridad en una empresa, tanto físicos como a nivel de software... pero últimamente sólo recibo un boletín con una opinión sobre algún tema interesante y de relativa actualidad, y una sección de cartas al director totalmente vacía... ¿Vais a renovar la serie de artículos técnicos? Si asi es, los espero ansioso :)

De todos modos, el boletín es muy interesante, y algunas opiniones abren los ojos sobre distintos temas de actualidad.
Espero no haber parecido descortés ni nada por el estilo, pues no era mi intención.
Un saludo a todo el equipo de infohackers y mi enhorabuena!

 

Gracias por los apoyos. La razón por la que últimamente no hemos publicado artículos técnicos es, fundamentalmente, la falta de tiempo. Escribir un artículo técnico supone una investigación y documentación previa, un intento de estructuración y, en muchos casos, la experimentación sobre el tema. La verdad, son muchas horas y, por suerte o por fortuna, las obligaciones laborales de los que los escribíamos nos están dejando poco tiempo libre. De hecho, esto no sólo ha afectado a los artículos técnicos. Muchas veces hemos tenido que recurrir a artículos de opinión de terceros que, aunque muy interesantes, se alejan de la intención primordial de ofrecer contenido original.

La intención es continuar, en cuanto podamos, con la inclusión de artículos técnicos en el boletín. La serie de introducción a las redes TCP/IP se ha quedado colgada casi en su inicio y nos gustaría terminarla, tanto por ofreceros a los lectores el resultado, como por lo mucho que se aprende escribiéndola. No hay mejor forma de fijar y completar los conocimientos sobre un tema que obligarse a escribirlo y explicarlo a otra persona.

¿Cuando se reanudarán? Lo desconocemos. Nos gustaría no tardar mucho, pero, como os decíamos, las obligaciones laborales últimamente nos tienen muy limitado el tiempo libre. Pero deciros que, a poco que podamos, seguiremos intentándolo. Cartas como la tuya nos empujan a ello. Muchas gracias.


Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Los derechos de los artículos pertenecen al autor. Para reproducirlos, es necesario ponerse en contacto con el mismo. Desde la AIH animamos al uso de licencias libres tipo CreativeCommons, pero es decisión personal de cada autor el tipo de licencia que use.
La maquetación, logotipos y nombre son propiedad de la Asociación para la Información de Hackers. Todos los derechos reservados..
Los nombres de productos y marcas registrados son propiedad de sus respectivos dueños.


Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.
La base de datos de suscriptores es creada y mantenida por elistas.net.
Toda consulta, cancelación de datos y demás derechos recogidos en la ley deben de ser ejercidos frente a elistas.net

 



[Adjunto no mostrado: 6/ (application/octet-stream) ]
[Adjunto no mostrado: 5/ (application/octet-stream) ]
[Adjunto no mostrado: 3/ (application/octet-stream) ]

[Adjunto no mostrado: 2/ (application/octet-stream) ]
[Adjunto no mostrado: 1/ (application/octet-stream) ]