Inicio > Mis eListas > infohackers > Mensajes

 Índice de Mensajes 
 Mensajes 141 al 155 
AsuntoAutor
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
 << 20 ant. | -- ---- >>
 
Infohackers.org
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 227     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[boletín_informativos] informativos.info #215
Fecha:Domingo, 5 de Marzo, 2006  19:58:28 (+0100)
Autor:Infohackers <infohackers @...........org>

informativos.info

 

Editado por AIH: www.infohackers.org

Boletín informativos.info

5.823 subscriptores

Boletín número 215

Hacktivismo y seguridad

5 de Marzo de 2006


Sumario
 

Opinión: El argumento de autoridad y la presunción de inocencia (o de culpabilidad) del software
 


Parece ser que lo de la computación distribuida se está imponiendo como método para obtener gran cantidad de GigaFlops para usos más o menos filantrópicos. Sin duda, el mayor ejemplo de esto es el proyecto SETI@home, que hace uso de los tiempos muertos de las CPU de millares de ordenadores de escritorio (y de algunos servidores) para procesar la gran cantidad de datos que recibe el radiotelescopio de Arecibo, en Puerto Rico, intentando identificar patrones que indiquen la presencia de una inteligencia extraterrestre.

En estos días se presentaba un nuevo proyecto, denominado Project M4, con un fin bastante curioso. Se trataba de descifrar cuatro mensajes interceptados en el Atlántico Norte en 1942 y que correspondían a comunicaciones entre submarinos alemanes y sus bases. Estos mensajes usaban un cifrado basado en la famosa máquina Enigma, en su versión de cuatro rotores, y permanecían sin descifrar desde entonces. Por supuesto, el interés actual por el contenido de estos mensajes es pequeño, pero lo llamativo de la experiencia ha sido un efecto de llamada para mucha gente, que ha corrido a descargarse el programa cliente. El resultado es que uno de los mensajes está ya descifrado y el resto no tardará mucho. Para los que sientan curiosidad sobre la máquina Enigma y su sistema de cifrado, les recomendamos la serie de artículos que sobre el tema está publicando Roman Ceano en Kriptópolis. Para los que quieran entretenerse, además de aprender, el libro sería la novela Criptonomicon, de Neal Stephenson.

Sin embargo, la versión para Windows del mencionado cliente presentaba (y presenta) un fallo bastante grave. Para la ejecución del cliente como tarea programada, crea un usuario con una contraseña única para todos los clientes. A nadie se le escapa que este es un agujero de seguridad muy importante. No vamos a entrar más en detalles (esperamos en breve el dar más datos sobre el funcionamiento de este cliente), pero ni la instalación ni la solución dada por los responsables del proyecto (cambiar manualmente la contraseña en el script de instalación) nos parecen de recibo.

¿Por qué mucha gente (y no todos usuarios sin conocimientos) ha instalado este software con un peligro tan obvio sin preocuparse de ver lo que realmente hacía? La respuesta es, en mi opinión, el argumento de autoridad. Como no todos podemos ser expertos en una determinada materia, o no tenemos el tiempo necesario para hacer todas las comprobaciones, aceptamos como bueno lo recomendado por ciertas personas (o sitios web) que consideramos confiables y expertos. En el caso que nos ocupa, la publicidad ha venido de multitud de estos sitios, desde Slashdot a Kriptopolis. Por supuesto, muchos de esos sitios se han apresurado a avisar a los usuarios del problema de seguridad. Además, como responsables de un sitio web que publica noticias, muchas veces tenemos que confiar en las fuentes. Con esto quiero decir que esto no es, ni mucho menos, una crítica a los sitios que "patrocinaron" este proyecto. El problema, a mi entender, viene por parte de los usuarios.

En el correo del lector de este boletín nos comenta un lector los problemas que tiene porque determinadas aplicaciones exigen ser ejecutadas con permisos de superusuario (administrador o root). Este es el caso del cliente que nos ocupa. Si no somos administradores, no podemos crear un usuario nuevo y, por lo tanto, el problema no se produciría.

Sin embargo, la decisión de instalar un programa como superusuario viene apoyada por la recomendación por parte de una fuente confiable. Si lo publican en Slashdot (o en Kriptopolis, o en Barrapunto, o en ...) debe de ser seguro. El argumento de autoridad se ha vuelto contra nosotros. Hemos instalado algo que puede ser gravemente perjudicial para la seguridad de nuestro sistema.

Muchas veces hemos defendido en estas líneas la presunción de inocencia de todos los acusados. En el caso del software, vamos a contradecir esta presunción. Hasta que me demuestren lo contrario, cualquier programa es presuntamente culpable y lo mantendré bajo vigilancia. Aunque me llamen paranoico.

Luisma
Miembro de la AIH
Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons.

   

Resumen de noticias de la semana
 



Actualización de seguridad para MacOS X

Apple ha reaccionado a los múltiples problemas de seguridad que se han publicado en las pasadas semanas lanzando un grupo de actualizaciones de seguridad para estos problemas.


CrossSite Scripting en WordPress

Se han detectado multiples fallos en el gestor de contenidos WordPress, que pueden producir fallos de CrossSite Scripting y revelación de la ruta de instalación y listado de directorios


Fallo de seguridad en el proyecto para descifrar mensajes de Enigma

Se ha detectado un fallo en la instalación del software cliente del proyecto M4, que crea un usuario y contraseña por defecto en la versión para Windows. Esto lleva asociado graves riesgos de seguridad, al permitir una vía de entrada conocida al sistema.

 


El correo del lector
 


Esta sección esta dedicada a resolver vuestras dudas y recibir vuestros comentarios sobre los artículos de este boletín y sobre temas de seguridad informática. Os animamos a escribirnos a el_lector@infohackers.net.

Recibimos con frecuencia peticiones para acceder a boletines antiguos. Os recordamos que están todos en www.informativos.info y que los estamos poniendo en pdf en nuestra web www.infohackers.org.
 

  Hemos recibido varios correos sobre el formato del boletín, en muy diversos sentidos. Os invitamos a votar en la encuesta que está disponible en nuestra página web www.infohackers.org para saber vuestra opinión. Gracias por colaborar.

Salu2 y enhorabuena por su labor!!

Antes de nada felicitarle por esta lista de correo tan interesante. Despues queria pedirte algo de ayuda con un tema que me tiene algo ocupado y es que eleji utilizar un usuario limitado en windows xp y mi sorpresa fue que muchos programas me fallan o no me permite abrirlos por necesitar permisos de administrador. Entonces decidí incluir unicamente a este usuario limitado dentro de el grupo usuarios avanzados, en teoria permite abrir ejecutables.

Resulta que tb descubri q podiamos asignarles permisos a cada ejecutable problematico y q pudiera abrirlo el usuario/os o grupo/os necesarios, pero este sistema me funciona con unos ejecutables y otros no. ¿Hay manera de solucionarlo sin tener q introducir la contraseña administrador?

Necesito algo de ayuda pq quiero mantener seguro el xp en la medida de lo posible, espero q puedas ayudarme y si necesitas algun dato q no incluya pidemelo.

P.D: Gracias x atenderme.

El tema de las aplicaciones que precisan ser ejecutadas como administrador es bastante delicado. Este problema suele ser típico de aplicaciones de Windows mal pensadas, pero no se limita solamente a este sistema. Sin ir más lejos, algunas funciones de la más clásica de las herramientas de investigación de red, nmap, solo pueden ser ejecutadas como root.

Si somos administradores de nuestra máquina, como puede ser el caso de una máquina doméstica, pero no deseamos hacer login como administrador para ejecutar esa aplicación, la solución es bastante sencilla. Se usa una herramienta de personificación como su para unix o RunAs para Windows. Sin embargo, esto no es de aplicación cuando el usuario de esa aplicación no puede tener la clave de administrador o root.

En el caso de Windows, los motivos por los que una aplicación necesite ser ejecutada como administrador pueden ser varios, pero los principales suelen ser estos:

-Necesidad de acceso a determinados ficheros solo disponibles para el grupo de administradores
-Necesidad de modificar claves de registro limitadas a los administradores
-Uso de funciones del sistema limitadas a los administradores.

En los dos primeros casos, asignando los permisos correspondientes al usuario o grupo que vaya a ejecutar esa aplicación debería funcionar. Sin embargo, cuando el problema reside en el tercer caso, la solución es mucho más complicada. A veces estos permisos se pueden permitir a través de las directivas de grupo (GPO) o las directivas de seguridad locales. En el caso extremo de que ni siquiera esto funcione, tendremos que hacer a ese usuario administrador local de la máquina (no administrador del dominio). Esto es, desde luego, un riesgo de seguridad importante, por lo que si hay alternativas a la aplicación que no necesiten la ejecución como administrador, no sería mala idea usar estas.


Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Los derechos de los artículos pertenecen al autor. Para reproducirlos, es necesario ponerse en contacto con el mismo. Desde la AIH animamos al uso de licencias libres tipo CreativeCommons, pero es decisión personal de cada autor el tipo de licencia que use.
La maquetación, logotipos y nombre son propiedad de la Asociación para la Información de Hackers. Todos los derechos reservados..
Los nombres de productos y marcas registrados son propiedad de sus respectivos dueños.


Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.
La base de datos de suscriptores es creada y mantenida por elistas.net.
Toda consulta, cancelación de datos y demás derechos recogidos en la ley deben de ser ejercidos frente a elistas.net

 



[Adjunto no mostrado: 6/ (application/octet-stream) ]
[Adjunto no mostrado: 5/ (application/octet-stream) ]
[Adjunto no mostrado: 3/ (application/octet-stream) ]

[Adjunto no mostrado: 2/ (application/octet-stream) ]
[Adjunto no mostrado: 1/ (application/octet-stream) ]