"Ten el valor de equivocarte"

[ Hegel - Filósofo alemán, representante del idealismo - 1770-1831 ]

Boletín 69 - Formas para hacer seguros tus correos (y III) - 04/11/2006

Leído por ahí (en daboblog.com por Liamngls)

"Copyright y CC son licencias compatibles no excluyentes, si yo creo algo soy el propietario del Copyright de mi obra y como propietario la licencia como mejor me parece, esa licencia solo es válida para aquellos que utilicen mi trabajo, yo sigo siendo dueño del Copyright. En un momento determinado podría incluso variar la licencia si lo considerase oportuno".


1. Articulo del Día: Formas para hacer seguros tus correos (y III)
2. Resultado Sorteo Consecri - Consetic
3. Privacidad. ¿Existe?
4. Programación web segura (y retos)
5. Noticias de esta semana
6. Desafío de la semana



1. Artículo del Día: Formas para hacer seguros tus correos (y III)


En las dos entregas anteriores orientamos nuestro objetivo en asegurar nuestro correo sobre clientes de correo de Windows [1] y de GNU/Linux [2]. En esta última entrega daremos los pasos necesarios para utilizar criptografía de llave pública en los correos públicos (webmail). Para ello existen dos formas.


La primera de ellas no exige más que tener nuestro programa de encriptación (PGP o GPG) y la llave pública y privada ya generadas por cualquiera de los métodos mencionados en los boletines anteriores. En esta prueba utilizaré GPG con WinPT, una interfaz gráfica que facilita el uso de GPG, evitando tener que usar la línea de comandos. Este procedimiento también se puede realizar utilizando PGP [3].


Luego de ello utilizamos nuestro editor de texto preferido, escribimos el mensaje [Img. 01] a enviar y lo firmamos/encriptamos [Img. 02]. En este caso, como puede observarse se nos solicita nuestra passphrase y luego el mensaje se firma normalmente.


A continuación abrimos nuestro webmail favorito y copiamos el texto generado en el cuerpo del mensaje [Img. 03]. Indicamos el asunto y el destinatario y enviamos el mismo.


El destinatario abre el correo con su cliente de siempre y comprueba la firma del mensaje [Img. 04] para verificar que realmente provenga de quien dice provenir y que el mismo no haya sido modificado en el camino. Como puede apreciarse la firma efectivamente es reconocida como "Good Signature".


Este mismo procedimiento puede seguirse para cifrar o para firmar y cifrar un correo mediante cualquier webmail disponible en la actualidad.


Para el segundo método utilizaremos un servicio gratuito que hasta el momento sólo permite encriptar los mensajes (no permite enviar mensajes firmados).


El servicio FreeEnigma es una extensión de FireFox que permite firmar los mensajes en Google Mail, Hotmail, Yahoo!.


Para ello es necesario registrarse en su sitio web (por invitación de otro usuario), descargar la extensión e instalarla. Luego podremos ingresar a nuestra cuenta recién creada [Img. 05].


Luego de ello ingresamos a nuestro webmail favorito y al crear el mensaje completamos una sencilla configuración [Img. 06]. Esto sólo es necesario la primera vez que se lo utiliza y "User Name" es la cuenta de correo que ingresamos al darnos de alta en el servicio.


Finalmente podemos proceder a encriptar el mensaje presionando sobre el botón correspondiente [Img. 07].


El destinatario al recibir el correo deberá realizar el mismo procedimiento obteniendo el mensaje original [Img. 08].


Es importante aclarar que los webmail pueden ser de distintas empresas y Freeenigma funcionará sin problemas.


Hasta aquí la serie de artículos sobre Criptografía Pública y las diversas formas que existen de utilizarla para salvaguardar la privacidad, confidencialidad e integridad de nuestra información cuando la misma debe circular por un medio agresivo como lo es Internet.
Como se pudo apreciar ya NO hay pretexto para decir que enviar un correo electrónico es inseguro. El abanico de posibilidades es enorme y al contrario de lo que se suele decir la facilidad y posibilidades de uso también lo son.


Esperamos que Ud. también comience a pensarlo así y evalúe cual posibilidad de todas las mostradas es la mejor para Ud. y para su organización.


[1]
http://www.segu-info.com.ar/boletin/boletin_060916.htm

[2]
http://www.segu-info.com.ar/boletin/boletin_061007.htm

[3]
http://www.pgpi.org/products/pgp/versions/freeware/win32/6.5.8/
http://www.pgp.com/downloads/index.html




2. Resultado Sorteo Consecri - Consetic


Hemos realizado el sorteo de "Diez entradas Consecri - Consetic" a realizarse el 14 y 15 de noviembre del corriente. Para todos los interesados, recordamos que aquí se encuentran las bases y condiciones para acceder a descuentos en las entradas.


Los favorecidos para las entradas gratuitas han sido:


1. [email protected] (821)
2. [email protected] (256)
3. [email protected] (801)
4. [email protected] (344)
5. [email protected] (187)
6. [email protected] (639)
7. [email protected] (678)
8. [email protected] (813)
9. [email protected] (693)
10. [email protected] (034)


Ya nos hemos puesto en contacto con ellos para comunicarle la buena noticia. Deberán responder nuestro correo dentro de las próximas 72 hs. En caso contrario la entrada correspondiente será resorteada.


Segu-Info ni la organización del evento se hacen cargo del traslado al lugar del evento.


Segu-Info agradece a la organización de Consecri-Consetic por este sorteo. Para más información visite http://www.consetic.com.ar/



3. Privacidad. ¿Existe?


La intimidad es la parte de la vida de una persona que no ha de ser observada desde el exterior, y afecta sólo a la propia persona. Se incluye dentro del " ámbito privado" de un individuo cualquier información que se refiera a sus datos personales, relaciones, salud, correo, comunicaciones electrónicas privadas, etc. [1]


La privacidad es la parte más profunda de la vida de una persona, que comprende sus sentimientos, vida familiar o relaciones de amistad. Según dicta el artículo 12 de la Declaración Universal de los Derechos Humanos: [2]


"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques".


Al parecer algunos países no están demasiado de acuerdo con este enunciado. A continuación dejo una noticia tomada desde theglobeandmail.com [3] y traducida por Ale.


Ranking de privacidad personal


Por Katie Fretland


Canadian Press and Associated Press


Alemania y Canada son los que más defienden su privacidad, y Malasia y China los peores, dijo un grupo de derecho internacionales que publicó un reporte este miércoles.


El grupo "Privacy International" basado en Londres evaluó a Gran Bretaña como una sociedad endémica de la vigilancia, quedando en el número 33, justo por encima de Rusia y Singapur entre los primeros 37 países con protecciones a la privacidad.


Los Estados Unidos quedó un poco por encima en el puesto número 30, entre Israel y Tailandia, con pocos salvaguardas y un amplio uso de la vigilancia, dice el grupo.


El estudio evalúa a los países en varios tópicos relacionados a la seguridad. Estos incluyen temas como: existen en la constitución temas relativos a la privacidad, el uso de tarjetas de identidad y biometría, vigilancia privada electrónica, cámaras de circuitos cerrados de TV, intercepción de las comunicaciones, acceso que tienen las agencias del estados para acceder a datos privados, vigilancia de los viajes y transacciones financieras, y liderazgo global en la promoción de la privacidad.


En la escala del uno al cinco, Canadá obtuvo 3 o más en todas las categorías.


Canadá recibió la mayor puntuación en cinco de los límites legales para mantener los datos privados. Obtuvo cuatro en el tema constitucional y de reglamento de protección, privada, tarjetas de identificación y biometría, liderazgo en la promoción de la privacidad y salvaguardas democráticos.


La organización "watchdog" sigue la vigilancia y violaciones de la privacidad por las corporaciones y los gobiernos, dijo el director de "Privacy International" Simon Davies. El estudió hasta donde llegan los gobiernos en el uso de videos de vigilancia en lugares privados, monitoreo de los lugares de trabajos y protección de la identidad entre otros.


"El objetivo no es humillar a las naciones que quedaron en los peores lugares, sino demostrar que es posible mantener un respeto saludable para la privacidad y mantener una democracia funcional", dijo el Sr. Davies.


Los esfuerzos para terminar con el terrorismo han erosionado la protección a la privacidad individual desde los ataques a Estados Unidos el 11 de Septiembre del 2001, dijeron los activistas de los derechos humanos. Dijeron que los gobiernos alrededor del mundo han impuesto legislaciones de seguridad e inmigración que invaden las vidas privadas de los individuos. En los estados Unidos la administración del presidente George W. Bush se ha puesto bajo fuego por sus programas de intervención telefónica domésticas sin órdenes judiciales las cuales monitorean llamadas internacionales y correos electrónicos desde los Estados Unidos con personas de las cuales el gobierno tiene sospechas sobres sus vínculos terroristas.


La Unión de libertades civiles de la ciudad de Nueva York dice que se han incrementado la vigilancia de actividades legales sin ninguna preocupación por las libertades civiles, dijo su directora Donna Lieberman.


En 1998, la unión condujo una encuesta de vigilancia privada en Manhattan encontró más de 2300 cámaras en uso. El último año un estudio similar encontró 4 veces más en sólo el 20% de Manhattan, dijo el Sra. Lieberman.


S. Arutchelvan, un activista malayo basado en Kuala Lumpur, dijo que la privacidad no ha sido suficientemente protegida desde que el gobierno se ha esforzado en los últimos cinco años en ubicar a los militantes islámicos, docenas de ello han sido detenidos sin un juicio.


"Nosotros creemos que ha habido una violación en la privacidad, como intervención telefónica y otros métodos de telecomunicación en nombre de la guerra contra el terrorismo" dijo el Sr. Arutchelvan.


El activista chino Xu Zhiyong dijo que los estrictos controles de Internet han resultado en poca protección para sus usuarios en China. El gobierno comunista ha colocado una extensiva vigilancia y sistemas de filtrado para prevenir que los chinos accedan a material considerado obsceno o políticamente subversivo.


Abogados y académicos han comenzado a elevar los niveles de conciencia en la violaciones de privacidad en China después de un incidente en el 2003 en el que una pareja fue detenida en la provincia de Shaanxi en el noroeste del país por posesión de videos pornográficos.


"En los últimos años, las autoridades han estados haciendo algunos cambios positivos con respecto a la privacidad de los individuos" dijo el Sr. Xu. "Pero cuando se refiere al Internet, el gobierno siente que debe supervisar a los usuarios y esto resulta en una menor protección de la privacidad".


Los 37 países que cuidan su privacidad según Privacy International, algunos países quedaron empatados.


1. Alemania
2. Canada
3. Bélgica
3. Austria
5. Grecia
6. Argentina
6. Hungría
8. Francia
8. Polonia
8. Portugal
8. Chipre
12. Finlandia
13. Italia
13. Luxemburgo
13. Latvia
13. Estonia
13. Malta
18. Dinamarca
18. Republica Checa
18. Irlanda
18. Lituania
18. Nueva Zealandia
18. Slovakia
24. Australia
24. España
26. Eslovenia
26. los países bajos
28. Israel
28. Suecia
30. Estados Unidos
31. Tailandia
31. Filipinas
33. Gran Bretaña
34. Singapur
34. Rusia
36. Malasia
36. China


Para finalizar esta historia Microsoft vuelve al ojo de la tormenta por este tema (entre otras organizaciones igual de importantes) [4].


Dos grupos de presión americanos han denunciado las técnicas utilizadas por Microsoft para estudiar el comportamiento de los usuarios, por considerarlas un atentado contra el derecho a la confidencialidad. ¿WGA habrá tenido algo que ver?. [5]


El informe de 50 hojas puede ser descargado desde aquí.


[1]
http://www.segu-info.com.ar/articulos/24-poder-no-anonimo.htm

[2]
http://www.un.org/spanish/aboutun/hrights.htm

[3]
http://tinyurl.com/ymxnv3

[4]
http://seguinfo.blogspot.com/2006/11/confidencialidad-microsoft-vuelve.html

[5]
http://tinyurl.com/yzoy22



Gracias Ale por la traducción.



4. Programación web segura (y retos)


Proyecto Fin de Carrera presentado en la Escuela Superior de Ingenieros de Sevilla. El mismo es un análisis de seguridad, optimización y mejora de un sitio web basado en PHP y MySQL.


Consta de dos partes bien diferenciadas. La primera, teórica, describe el estado del arte de la seguridad en aplicaciones web así como conceptos generales de seguridad informática. Se incluyen también algunas referencias y breves descripciones de herramientas útiles para la auditoria de aplicaciones web, además de una guía de administración para la creación de un entorno seguro bajo Apache, PHP y MySQL. La segunda parte, práctica, consiste en auditar el código de dos sitios web de características similares, depurarlo, proponer mejoras funcionales, y posteriormente implementarlas. Como parte del desarrollo, se han escrito y experimentado con rutinas de protección genérica contra "injecting", para PHP.


Y como "la mejor forma de aprender es rompiendo" que mejor que un Reto de Autenticación Web, un poco antiguo pero siempre vigente.


Boinas Negras es un sitio de retos de hacking, creado por el Instituto Seguridad Internet.
Su objetivo principal es concienciar en materia de seguridad a las empresas y particulares que ofrecen servicios a través de Internet.


Todas las pruebas de los retos tienen lugar en un entorno controlado en el que se han abierto deliberadamente pequeños agujeros de entrada. Se trata de errores comunes en la programación de páginas web que, como se pone de manifiesto en los retos, pueden permitir a un atacante obtener información sobre otros usuarios de la aplicación, la base de datos, el sistema de archivos, etc. http://www.boinasnegras.com/


Lo interesante del reto es tratar de no leer la solución...


Por otro lado (y también de España) iZhal es una cibercomunidad formada por gente interesada en aprender y compartir conocimientos relacionados con Internet, especialmente en seguridad. http://v1.izhal.com/



5. Noticias de esta semana


Estas noticias ahora pueden ser consultadas directamente desde aquí


También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"


04 de noviembre

03 de noviembre

02 de noviembre

01 de noviembre

31 de octubre

30 de octubre

29 de octubre


6. Desafío de la semana


Solución al desafío del boletín anterior (68):


Como no sabemos le distancia recorrida, partamos del supuesto que fuese de 60 km. En este caso, hubiera tardado 1 hora en el viaje de ida y 2 horas en el de vuelta, por lo que la velocidad media sería:
v = (60+60) km. / (1+2) h. = 120 km. / 3 h. = 40 km/h.


En general, llamando d a la distancia recorrida en cada uno de los viajes de ida y de vuelta, el tiempo total de viaje sería:
t = d/60 + d/30 = 3d/60 = d/20
La velocidad media: v = 2d/[d/20] = 40d/d = 40 km/h.


Nota: A pesar que recibí quejas por la facilidad del mismo este es el desafío que mayor cantidad de respuestas erróneas ha tenido.


Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]


Desafío de esta semana:
Este desafío es parecido al problema de los cuatro 4 del boletín 62. Aquí, el objetivo es conseguir el número 6 con tres unos, tres dos, y así sucesivamente hasta tres nueves.
Las operaciones que podemos usar son suma, resta, multiplicación división, raíz cuadrada y factorial. Las potencias y la concatenación están prohibidas.
Por ejemplo: 2 + 2 + 2 = 6


Actualidad

Virus-Antivirus