Esta semana he recibido una "proposición deshonesta":

"... Sé que estás muy ocupado, pero sería un placer contar con un experto como tú. Si aceptas, se pensaría un día (preferentemente viernes, sábado o domingo) y una hora a partir de las 20:00, pues hay gente que no es de España.

Espero que no se me haya olvidado ningún punto. Bueno, que para entrar a nuestro canal, la informacion es:

          Servidor: irc.liquidirc.com
          Puerto: 6667
          Canal: edonkeymagazine

Nuestra web es http://www.ed2kmagazine.com , aunque ahora nos falta mucho por hacer, pero estamos ilusionados y con ganas ..."

He rehusado por ahora, proponiéndo que me lo recuerde dentro de un mes y que se planteen la migración a FILETOPIA.

En torno a un año y medio atrás planteé hasta tres veces de ofrecer un seminario gratuito sobre CIFRADO FUERTE y COMERCIO ELECTRONICO utilizando FILETOPIA, pero la respuesta en el hilo fue bien escasa.

Ese debiera ser otro de nuestros objetivos, dar charlas, cursos, seminarios, ... GRATUITOS sobre los temas que tratamos en la comunidad. Que sí, en su momento deberemos plantearnos crear una FUNDACION.

Lo que está claro es que se necesita de la involucración de más personas en la GESTION DE NAUTOPIA, ya que NO PUEDO CON TODO.

*Que administre todo esto, no implica que sea un EXPERTO. Una vez más, lo que me interesa realmente es el CIFRADO. Desde hace un año, a causa del mantenimiento de NAUTOPIA, noto que me estoy quedando estancado, por falta de tiempo para estar al tanto de todo (la ausencia en los foros sobre LINUX es una prueba de ello).

**La semana que viene estaremos unos días sin actualizar, porque quiero centrarme en redactar la propueta de gestión, gnupg con winpt, ... salvo que la actualidad lo exija.

por daexma

PARTITION SAVING (SAVEPART)

Programa gratuito que no tiene nada que envidiar a los conocidos Drive Image o Norton Ghost, soporta los tipos de archivo más habituales, rápido, permite comprimir y chequear las imagenes. El programa se puede descargar desde http://perso.club-internet.fr/guiboure/en/index_frame.html, siendo un archivo comprimido de tan sólo 317 Kb, incluyendo documentación sobre el programa. Desde la página anterior se puede descargar la versión completa del manual del programa en formato HTML.

El programa sólo funciona en modo DOS, por lo que tendremos que arrancar el ordenador en este modo mediante el sistema que cada cual crea más oportuno, y ejecutar el archivo savepart.exe para arrancar el programa. También funciona mediante comandos, pero, si quieres saber cómo, tendrás que darle un vistazo al manual, a mí me gusta lo fácil.

Interesante artículo, donde se comenta el uso de programas gratuitos que hace tiempo comentamos en la portada.

Sería conveniente que los nuevos "camaradas" leyesen el artículo: MATY al desnudo (actualizada la primera página, con imagen HTML-Kit en castellano y la nueva del WinHex).

Como todo, conviene no conformarse con las configuraciones por defecto y acotar al máximo. Un buen cortafuegos es algo imprescindible en estos días. A primeros de mes dispondremos del KERIO 4.

por GODI: El día D

El día D sera el 2 de Mayo, día en que podremos descargar la versión 4 del KERIO. Según comentan se podrá importar las reglas del Kerio 2.14 al 4 ¿Cierto? tiempo al tiempo, que el día 2 está cerca

Y otra página para que no os aburréis, ya contaréis qué os parece.

          https://www.the-cloak.com

por maty: Muy interesante. Se ha de verificar si cumple todo lo que promete.

*Se necesita crear nueva regla para el navegador en el KERIO 2.14 para poder acceder a the-cloak. Bajar el nivel de seguridad y desmarcar el CERROJO para que aparezca la ventanita. Crear regla: OPERA TCP OUT en el puerto 443, habilitándola sólo cuando sea preciso.

por Alfon: SNORT 2.0

Despúes de las "realease candidate", hasta la rc4, de Snort en fase de pruebas, se libera por fin la versión definitiva de Snort 2.0:

# Snort 2.0 has been released and is available at www.snort.org. Snort 2.0 is the result of many months of effort on the part of dozens of people and has a slew of new features: Enhanced high-performance detection engine
# Stateful Pattern Matching
# New detection keywords: byte_test & byte_jump
# The Snort code base has undergone an external third party professional security audit funded by Sourcefire (http://www.sourcefire.com)
# Many new and updated rules
# snort.conf has been updated
# Enhancements to self preservation mechanisms in stream4 and frag2
# State tracking fixes in stream4
# New HTTP flow analyzer
# Enhanced protocol decoding (TCP options, 802.1q, etc)
# Enhanced protocol anomaly detection (IP, TCP, UDP, ICMP, RPC, HTTP, etc)
# Enhanced flexresp mode for real-time TCP session sniping
# Better chroot()'ing
# Tagging system updated
# Several million bugs addressed....
# Updated FAQ (thanks to Erek Adams and Dragos Ruiu) Snort 2.0 can be downloaded at http://www.snort.org/dl/snort-2.0.0.tar.gz

La versión para Windows binarios varios no está lista. En los próximos días será liberada.

por maty (ADMINISTRADOR)

Desde esta pequeña ventana a Internet quiero dar las gracias a todos aquellos que han decidido colaborar conmigo y así, poco a poco, lograr que esta iniciativa vaya dejando de ser personal, garantizando su supervivencia -con la guillotina de la LSSICE sobre nuestras cabezas-, independientemente de quien esté al frente.

Mantener todo en pie requiere cada vez más tiempo, unas veces con más energías que otras, pero ahí estamos. En el escritorio hay pendientes varios artículos, programas, ... que esperan y esperan, sin que los finalice.

Espero recargar las baterías estos días y volver con ánimos renovados. En el ínterin, podéis aprovechar para descargarla al disco duro. Disponemos de programas como TELEPORT PRO, WEBZIP, HTTrack -gratuito-, ...  Una vez en ello, podríais hacer otro tanto con los foros de Seguridad Online / NAUTOPIA.

También tenéis tiempo para bucear a fondo en la web, incluso revisando sus etapas anteriores. Esta portada, la futura Ñ, es la nº 24!

KERIO 3 REGLAS  EN PRUEBAS

GODI ha adaptado las reglas propuestas para el KERIO 2.1.4 al nuevo KERIO 3 Beta 6, retocándolas, resumiendo algunas, añadiendo otras. Recordad de realizar antes una copia de seguridad de las vuestras!!!

"Hola Maty.

Parece que se esta trabajando en un nuevo kerio ¿Kerio 3.5? por lo menos eso es lo que dicen aquí:

http://www.dslreports.com/forum/remark,6428363~root=kerio~mode=flat

Mientras llega y no llega el día 15, que es cuando se supone que aparecera esa supuesta versión 3.5, de momento te envío unas nuevas reglas que corrigen un error muy grave en las redes locales. En este kerio no es necesario crear reglas para NetBios, hacerlo provoca el no poder ver la red local. Si las quieres poner avisa por favor que siguen en fase de "experimentación" que para nada son las finales."

Las nuevas reglas, revisadas, solucionado el problema del NetBios, que impedía ver la red local:

       -> Kerio Rules.zip

OPERA 7.10 FINAL

          ftp://ftp.opera.com/pub/opera/win/710/en/std/ow32enen710.exe

HISPAMP3: PAPERCRAFT

Los que se aburran estos días, aconsejo que visiten la web recomendada por HISPAMP3: http://www.21yamaha.com/mc/papercraft/

"... PaperCraft, es una bonita página, repleta de recortables, cuyas plantillas en formato PDF pueden ser libremente descargadas.

Hay recortables de todo tipo, animales, artefactos, motocicletas... Algunos sencillos y otros endiabladamente complicados ..."

La he descargado íntegramente con el TELEPORT PORT (con everything, y así descargar los PDF, y nivel 6 de profundidad en los enlaces). 47,6 MB. Sé de unos niños que me estarán muy agradecidos, y más cuando reciban la mona de pascua del seu "padrí" (padrino) y "tiet" (tío). Suerte que la tinta a color de la impresora no corre a mi cargo  *<|:^)

Y ahora sí, a descansar unos días. Sed buenos y no la arméis en los foros. ¿Seremos capaces de seguir autoregulándonos?

Confío que la próxima bendición papal "Urbi et Orbe" sirva para que todos regresemos con el corazón más limpio, procurando evitar estériles polémicas personales.

HISPASEC: SETI@home: La vulnerabilidad está aquí dentro

"... Los clientes del proyecto SETI@home se ven afectados por una vulnerabilidad remota que puede permitir a cualquier atacante tomar el control de cualquier ordenador que participe en este sistema de informática distribuida.

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el cliente SETI@home en el tratamiento de las respuestas del servidor. De forma que bastará enviar una cadena de gran longitud seguida del carácter de nueva línea ('\n') al cliente para provocar el desbordamiento. El servidor principal de SETI@home (shserver2.ssl.berkeley.edu) también se ha visto afectado por un problema similar que podría haber permitido a un atacante no sólo tomar el control del servidor sino de los más de 4 millones de colaboradores del proyecto.

Se recomienda a todos los usuarios del cliente (o salvapantallas) de SETI@home actualicen a la nueva versión 3.08 publicada para corregir esta vulnerabilidad y que se encuentra disponible desde: http://setiathome.berkeley.edu/download.html ..."

GUARDAD LOS DATOS IMPORTANTES BAJO CIFRADO FUERTE.

MAKYPRESS -> ARTURO QUIRANTES: LA LSSI Y LOS ENLACES MALOSOS

"... Primero, Kriptópolis. Comparto su criterio de que la LSSI es muy ambigua, si bien saben tan bien como yo que lo mismo el próximo juez decreta de forma muy distinta. Cierto, podemos considerarlo una victoria. Pero el juez no sobreseyó la causa porque pensase que la LSSI es ambigua, inconstitucional o engorda. Lo hizo porque no se cumplió uno de los requisitos del artículo 17: la existencia de una comunicación efectiva al prestador. La próxima vez, la web ofensora será notificada en tiempo y forma, y entonces no habrá escapatoria ...

... Segundo, la Asociación de Internautas. No seré sincero si oculto que no me caen bien. Los considero unos trepas chaqueteros que se doblan al viento que mejor sopla (al menos, los que llevan la batuta, que seguro que entre los AIeros de base hay gente honrada y capaz). Eso no obsta para que los trate lo más objetivamente que pueda, buscando los pros y los contra siempre que pueda. Pero, lamentablemente, esta vez no puedo.

Y el motivo es que confunden el hambre con las ganas de comer. AIeros: http://ajoderse.com no se ha salvado gracias a la LSSI, sino a pesar de ella. La responsabilidad relativa a la inserción de hiperenlaces es algo que no aparece más que como proyecto futuro en la Directiva comunitaria de que deriva la LSSI. Sólo la existencia de fuertes presiones de todos permitió cambiar el término "autoridad competente" por el de "órgano competente" La LSSI no es la solución, sino el problema.

En cuanto a que "el esfuerzo negociador realizado en ese momento [por la AI] comienza a dar sus frutos" ... es que estáis pidiendo a gritos que os tiremos el pasado a la cara. Todavía recuerdo cuando la AI presumía de que las modificaciones propuestas iban a convertir la LSSI en un remanso de paz y felicidad. Vosotros mismos admitíais la responsabilidad por hiperenlaces como parte de la LSSI, con algunas modificaciones. Bien, comparad el cuarto anteproyecto con vuestras sugerencias. Por si no las tenéis a mano, os las adjunto: http://www.ugr.es/~aquiran/cripto/informes/info032.htm ..."

por maty (EDITOR)

Durante unos meses dejé de enlazar directamente la web de AI. Días atrás volvió a enlazarse, porque NAUTOPIA no es una web personal (a ver si entre todos lo dejamos claro, aportando colaboraciones y participando en la gestión, tema en discusión todavía).

Eso sí, mientras no rectifiquen y se disculpen públicamente por las amenazas vertidas contra BANDA ANCHA, la web "pseudohacker" -por decir algo- de A.I.H. seguirá sin ser enlazada.

*** Por cierto, ARTURO, ¿y si constestas a mi correo sobre cifrado fuerte y el algoritmo DES? Porque conoces nuestra existencia, ya que me comentaron un correo tuyo al respecto. Debió perderse el correo (sólo fue uno, así que volveré a enviarlo). Procuro siempre conceder el beneficio de la duda.

MAKYPRESS -> ARIADNA: LA US ARMY SE QUEDA CON LOS SATÉLITES

"... El enorme flujo de información que genera el Ejército ha convertido el Centro de Operaciones en una sala que nada tiene que envidiar a la de Control de la Nasa, donde varias decenas de soldados se dejan los ojos ante un centenar de monitores de ordenador. Pero todo esto tiene un problema considerable: la saturación de los satélites por su excesivo uso. Como cada tanque, avión, Humvee e incluso bomba o misil transmite datos al Centcom a través de los satélites, el Pentágono se ha dado cuenta de que no tiene ancho de banda suficiente para abastecer a todas sus tropas y el flujo de información que generan ..."

No sería mala idea que os apuntáseis a su lista de correo: http://para.villanos.net/lista/makypress

:: Nuevo Reto de Hacking Web ::

"Instituto Seguridad Internet anuncia el inminente lanzamiento de un nuevo Reto de Hacking Web, cuyo objetivo principal consiste en concienciar en materia de seguridad a las empresas y particulares que ofrecen servicios web a través de Internet.

Todas las pruebas del reto tienen lugar en un entorno controlado en el que se han abierto deliberadamente pequeños agujeros de seguridad para permitir la entrada. Se trata de errores comunes en la programación de páginas web que, como se pone de manifiesto en el reto, pueden permitir a un atacante obtener información sobre otros usuarios de la aplicación, la base de datos, el sistema de archivos, etc.

En este reto se ha creado una tienda de comercio electrónico que habrá que atacar utilizando el ingenio y el conocimiento. La tienda estará en línea durante exactamente un mes. En breve, se iniciará el proceso de registro en el servidor de Boinas Negras < http://www.boinasnegras.com/ >, donde se explicarán las bases del concurso y se describirán las pruebas a superar por los concursantes. El día que comience el reto, se anunciará públicamente la dirección de la tienda electrónica a atacar."

PD: No parece que tenga fiebre (faringitis) dada la larga actualización de hoy.

KRIPTOPOLIS: Criptografía y Política

"... El pasado mes de marzo la criptografía volvía a ser objeto de debate político en España, al desvelarse por parte del capítulo español de CPSR que en el proyecto de Ley General de Telecomunicaciones, redactado por el Ministerio de Ciencia y Tecnología, se incluía un artículo por el que se podría imponer la obligación de facilitar a la Administración las claves de cifrado. La redacción propuesta para dicho artículo 36 era sustancialmente idéntica a la del antiguo artículo 52 de la Ley vigente, ya cuestionado en 1998 por Fronteras Electrónicas, pero lo cierto es que se incluía de forma ladina la palabra "claves". Una palabra que tampoco estaba en el proyecto de LGT redactado por el equipo de la anterior Ministra Anna Birulés -desechado por el actual Gabinete-, lo que hacía especialmente legítima la sospecha de CPSR.

A los pocos días de conocerse el comunicado de CPSR -apoyado, en un inteligente movimiento reflejo, por otro comunicado de la Asociación de Internautas-, el Gobierno daba marcha atrás. Según publica El País en su edición de 3 de abril, la Ley General de Telecomunicaciones será objeto de enmienda en su tramitación parlamentaria, retirándose cualquier mención al depósito de claves. La noticia hace mención a que el cifrado se usa no sólo para encriptar mensajes, sino en las transacciones comerciales en línea. Un negocio en el que, al igual que la televisión de pago, la empresa editora del diario está particularmente interesada, y que resultaría notablemente perjudicado de abrirse la puerta al descifrado de sus claves secretas ..."

Yo me pregunto, ¿Existe NAUTOPIA? ¿Por qué no nos referencian webs de todos conocidos? Porque nadie lo dude, conocen de nuestra existencia y nos leen.

Así nos va e irá. Nuestra mayor debilidad es el estúpido individualismo hispano. INTERNET ha de ser un espacio de colaboración y un flujo abierto de información, sin restricciones.

Si tales webs no viven de la publicidad ¿A qué si no la ausencia de referencias, y la no contestación a mis correos?. En fin, tal es la condición humana.

Nosotros procuraremos seguir referenciando, no cayendo en el mismo error. Desde luego, hay días que dan ganas de dejarlo todo y centrarme en mis cosas. Mas seguiremos en la brecha, pese a quien pese.

KRIPTOPOLIS: PGP 2003

"... Para los que ya son usuarios de PGP, el cambio a GnuPG no es excesivamente problemático en cuestiones como las claves. Es posible mantener casi todas las claves de las que ya se disponía. Bastará con copiar los archivos que contienen las claves públicas y las privadas, renombrarlos según la nomenclatura GnuPG, y reemplazar los existentes. Hay un tipo de claves que no se pueden mantener (o al menos yo no he podido), las claves RSA, a mi entender debido a que en PGP se utilizan con el algoritmo de clave única IDEA, no incluido por defecto en GnuPG al ser un algoritmo propiedad de una empresa. De todas maneras, esto no significa renunciar a RSA. Si cambiar de claves no es un gran obstáculo, buenas noticias: GnuPG sí puede trabajar con claves RSA generadas por él mismo.

En todo caso, algo había que reprocharle a GnuPG hasta hace poco con respecto a las versiones Windows de PGP, y era su interfaz. Sólo se disponía de una interfaz de línea de comandos al estilo de la que tenía la versión 2.6.3 de PGP, no muy adecuada para un usuario medio. Pero esto también ha cambiado. Desde hace poco, se dispone de Windows Privacy Tools, un conjunto de frontends y plugins que permitirán utilizar GnuPG de una forma prácticamente igual a la de las versiones modernas de PGP ..."

Si algo tiene prioridad en esta comunidad, es el cifrado. Próximamente se reforzará la sección, entrando en el mundo LINUX. No, no nos tienen en cuenta.

          Cifrado Fuerte