:^) NAUTOPIA: Privacidad, Seguridad y Libertades Civiles

NAUTOPIA AL DESNUDO	4 Diciembre 2003

por ADMINISTRADOR (maty) ESTADISTICAS DE NAUTOPIA 03 Diciembre 2003 "El espejo sito en GALEON ocupa aproximadamente 38 MB, de los cuales 8 MB son los comprimidos de la carpeta baul. En el resto de espejos, tal carpeta pesa bien poco." "Son 2.838 ficheros en 172 directorios/carpetas." "Unas 2.300 imágenes, mayoritariamente en formato PNG, de 16 y 64 colores en su mayoría" "En total son 437+2 páginas y 12 hojas CSS" "Se han probado numerosos contadores de visitas, y ninguno cuenta realmente el tráfico real, al utilizar los miembros nautópatas técnicas para su mayor invisibilidad a la hora de la navegación, así como el uso de proxys locales para evitar la recarga continuada." "Es decir, ya hemos superado los 4 GB/mes que ofrecen habitualmente en numerosos hostings, y eso sólo en este espejo (BEEEEEE en ARSYS)." "Unos cuantos son registrados con nombres aleatorios, fruto de la configuración del PROXOMITRON. Gracias a ello, he comprobado que mis accesos no son contados adecuadamente y, sobre todo, bastante menor es el tráfico contado así como el número de páginas (que estimo, como máximo, en un 50% del real)." El artículo completo AQUI SERVIDOR LINUX: Tod-OS -> The Perfect Setup - Debian, by Falko Timme This is a detailed description about the steps to be taken to setup a Debian based server that offers all services needed by ISPs and hosters (web server (SSL-capable), mail server (with SMTP-AUTH and TLS!), DNS server, FTP server, MySQL server, POP3, Quota, Firewall, etc.). I will use the following software: Web Server: Apache 1.3.x Mail Server: Postfix (easier to configure than sendmail; has a shorter history of security holes than sendmail) DNS Server: BIND9 FTP Server: proftpd (you could also use vsftpd) POP3: in this example I will use qpopper Webalizer for web site statistics XAVIER CABALLÉ: Pound: proxy invers, distribució de càrrega i front-end HTTPS per servidors web MAKYPRESS: Vigilancia total, por Ignacio Ramonet BULMA: Fulls d'estil dinàmics amb PHP, per Joan Miquel (en català) MAKYPRESS: Sin camino o hacia un callejón sin salida con medalla (ITER), por Maky WIRED: Un software para intercambiar canciones en la calle, por Kari L. Dean

REVISION DEL MANUAL KERIO 4	3 Diciembre 2003

por EDITOR (maty) MANUAL KERIO 4, por daexma 21 páginas y 143 imágenes optimizadas. Que lo disfrutéis. En unos días será pasado a formato PDF. Los que detecten cualquier error, que avisen y será subsanado. Cuando esté listo el nuevo manual del GNUPG, volveré a revisar su edición, y revisaré las reglas teniendo en cuenta las propuestas por godi. PRIMEROS PASOS EN POSTNUKE La semana que viene: primeros pasos en POSTNUKE, como *nuevo sistema de edición -que aseguraremos-* de NAUTOPIA** (se creará un nuevo tema: Nautopía, pensando en nuestras necesidades, y que será de libre distribución), al utilizar PHP, implementado en numerosos hostings, lo que no nos ataría a ninguno. Mientras no dispongamos de servidores propios, con acceso físico, parece que es la solución más razonable. Por otro lado, si llega el día en que la *ley "mordaza"* LSSICE y su Reglamento** y/o futuras leyes restrictivas hagan "irrespirable" la Red española, fácilmente migraríamos a otro país, junto con la administración.

LAS COSAS DE PALACIO VAN DESPACIO	1 Diciembre 2003

por ADMINISTRADOR (maty) CONVERSACION CON ENRIC BRULL, de OASI / TINET Ha habido suerte y finalmente he mantenido una cordial conversación telefónica con el responsable (a día de hoy) de OASI / TINET, Enric Brull, organismo autónomo dependiente de la DIPUTACIÓ de TARRAGONA, cuyo fin es el promover el uso de las nuevas tecnologías en las comarcas tarraconenses (donde resido). Dificultades: Pocos días atrás hubieron elecciones autonómicas en CATALUNYA, por lo que todo está en el aire a la espera de que se logren los pactos políticos que permitan una legislatura estable (es bien sabido que las cosas están complicadas, dados los resultados de las elecciones). Una vez que los equipos directivos estén reorganizados, deberán decidir qué política llevará adelante OASI / TINET en esta legislatura. También ha de tenerse en cuenta que los recursos son limitados (os recuerdo la política -ley de obligado cumplimiento- del déficit cero que han de respetar los organismos públicos), y que numerosas asociaciones tarraconenses sin ánimo de lucro también están pidiendo cobijo en su red. Nuevo contacto: Hemos quedado en que volvería a contactar a mediados del mes de ENERO del 2004, confiando que para entonces el panorama político se haya clarificado y la nueva política a seguir haya sido consensuada (le he pedido que vaya visitando la comunidad para que valore nuestra "utilidad pública", así que comportaos debidamente en los foros, con la buena educación y el respeto a los demás como guía). Mientras tanto, estudiaremos cómo organizarnos (Asociación, ONG, Fundación, ... ).

ASOCIACION "INFORMATICA ABIERTA"	1 Diciembre 2003

por maty Extracto procedente del boletín de Noviembre: "... Proyecto PRESENCIA ACTIVA - Voluntariados, ONGs y demás. La Asociación continúa con el proyecto PRESENCIA ACTIVA para que, organizaciones no lucrativas, ONGs y similares puedan tener un dominio propio, cuentas propias de correo, hoja web, formularios etc. Muchas gracias a todos los voluntarios que nos han escrito y colaborado. El proyecto va adelante y ya estamos trabajando con varias organizaciones. ¿Quieres/Necesitas colaboración? http://www.abierta.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Donación de Ordenadores. Dentro del proyecto PRESENCIA ACTIVA, la Asociación está llevando a cabo una recogida de ordenadores para reciclarlos y entregarlos a asociaciones sin ánimo de lucro. Si tú o tu empresa tenéis ordenadores que ya no os hagan falta y estáis en Madrid o provincia, poneos en contacto con nosotros. [ Necesitamos máquinas mínimo Pentium ] Y si perteneces o sabes de alguna organización -zona Madrid- que necesite uno, ponle en contacto con nosotros ..." Hace casi cuatro años que recibo su boletín mensual de noticias. Antiguamente distribuían Mandrake (así los conocí, cuando buscaba la versión 6, años ha). Esas máquinas las reviven gracias a LINUX. Desconozco su funcionamiento. No estaría de más contactar con algunos que hayan colaborado con ellos. * Pregunta: ¿El no respeto a las normas ortográficas forma parte de la filosofía del código libre?

*EL AGUJERO "GALACTICO"* DE WINDOWS**	1 Diciembre 2003

por maty HISPASEC: Algunos problemas de Windows, sin posible solución "... " Exploiting design flaws in the Win32 API for privilege escalation - or Shatter Attacks - How to break Windows" es un artículo que presenta un nuevo método para atacar los sistemas basados en Win32 (y con la posibilidad que otros entornos basados en el proceso de mensajes se ven igualmente afectados). Lo más importante de esta vulnerabilidad es que no tiene una solución fácil. Al menos no mediante la aplicación de un simple parche, ya que se trata de un problema en el propio diseño del entorno ..." "... El problema de seguridad se encuentra en el hecho que Windows permite a una aplicación en ejecución enviar un mensaje a cualquier ventana abierta en el mismo ordenador (o escritorio, para ser más exactos), con independencia de si la ventana receptora tiene alguna relación con la aplicación que emite el mensaje o de sí el receptor de mensajes desea recibir los mensajes que le son enviados. Adicionalmente, Windows no facilita a las aplicaciones ningún mecanismo para determinar la autenticación del emisor del mensaje. Es justamente esta falta de funciones de autenticación la que puede ser aprovechada en este tipo de ataques. Una aplicación maliciosa puede enviar un mensaje a un programa que se está ejecutando con el que puede manipular las ventanas y los procesos del programa receptor del mensaje. La buena noticia es que este tipo de ataques, hoy por hoy, sólo pueden realizarse en local." por maty No es ninguna novedad para la comunidad nautópata. *Estamos "hartos"* de denunciar ese grave fallo funcional del diseño de TODOS LOS WINDOWS*. Esa es la causa de que el uso de la función resumen (hash)* MD5 que implementan KERIO 2.1.5 y ZA no sea efectivo. ¿A qué sinó nuestro empeño con el KERIO 3 -nunca tuvo a versión estable- y en el nuevo KERIO 4 -que son betas, aunque la compañía no lo especifica? Pues muy sencillo: porque controlan todos los procesos y servicios que se inician en nuestro sistema windows desde el arranque. Por eso, cuando por fin se disponga de una versión del KERIO 4 estable, contrastada, "atormentada" por idoru, será el cortafuegos que recomendemos desde NAUTOPIA, con la ventaja adicional de su uso gratuito para usuarios particulares (que no será posible para servidores, con versión diferente, exclusivamente de pago, algo bastante razonable). Esa es la política a seguir, la gratuidad para usuarios caseros, con versiones más avanzadas para usuarios avanzados/redes empresariales. Y "daremos la lata" a la empresa para que facilite una versión en castellano del mismo, incluso traduciéndola nosotros mismos (Senpai), por el bien de la red hispana. Mientras sea gratuito, contará con nuestro pleno soporte. Sólo le falta que libere el código!!! Que nadie lo dude, si al final no solucionan los problemas, no dudaremos en DENUNCIARLO y buscar otra alternativa del mismo nivel.

HISTORIAS DE FILADELFIA (G. Cukor film)	28 Noviembre 2003

por maty MAKYPRESS: Ataques preventivos y armas de destrucción masiva, por Maky "... Dice más adelante -ASOCIACION DE INTERNAUTAS- "nuestra postura en el debate de la LSSI" (¿debate? Qué debate? ¿el que cortaron por lo sano en la lista interna de la misma asociación amañando unas elecciones que provocó la espantada de afiliados? Y fuera de la asociación ¿dónde han debatido?) continúa "incomprendida por algunos que ahora se amparan en la ley, fue la de negociar con el Gobierno" y añado con los resultados que hemos visto. Su postura fue perfectamente entendida por eso se quedaron aislados, por besar las alfombras del ministerio en contra de la opinión de todo el mundo. Una ley concebida en principio para regular el comercio electrónico y el spam quedó transformada por obra y gracia de su amigo Borja Adsuara en la ley mordaza de internet, la ley que cuando sea aplicada será para cerrar webs molestas o críticas pero en absoluto para controlar un comercio electrónico que en España no sólo no despega si no que que está en franco retroceso, entre otras cosas por la LSSI, en palabras de la Cámara de Comercio Internacional. En cuanto a quiénes se amparan en esa ley, que diga los que son por que desde luego las páginas personales, de comunidades, de ciberderechos, de software libre y otras no. Pero más que seguir comentando tanta falsedad mejor lean la entrevista mencionada ..." por maty VOLVIENDO SOBRE LA LSSICE "CEBOLLERA" Desconozco las amistades de Víctor Domingo y a él mismo, pero lo que sí es de dominio público es su posición favorable a la nefasta ley LSSICE, de redactado tan ambiguo, y cuyo reglamento no se han atrevido a desarrollar, al ser éste un año electoral. Cuando finalmente venga el lobo, a muchos les pillará "desprevenidos" y se rasgarán hipócritamente sus vestiduras, tal es la ceguera reinante entre la mayoría de los internautas hispanos, tan dados a protestar en los foros, a insultar, pero poco más, sólo cuando "toca" y en tumulto. Una vez redactado el reglamento y lo apliquen ¿vendrán los periodistas a nosotros (Nautopía, MakyPress, DiarioRed, Taller de Criptografía, ... ), o seguirán acudiendo a Víctor Domingo? Noticia relacionada: MALAS PRACTICAS DE LOS MEDIOS PERIODISTICOS * "Cebollera": tema repetitivo, con opiniones ya conocidas.

GNUPG: SEVERE BUG IN ELGAMAL KEYS FOR SIGNING

27 y 28 Noviembre 2003

avisado por Kunael

GNUPG'S ELGAMAL SIGNING KEYS COMPROMISED, by Werner Koch

"Phong Nguyen identified a severe bug in the way GnuPG creates and uses ElGamal keys for signing. This is a significant security failure which can lead to a compromise of almost all ElGamal keys used for signing. Note that this is a real world vulnerability which will reveal your private key within a few seconds ..."

"... Note that the standard keys as generated by GnuPG (DSA and ElGamal encryption) as well as RSA keys are NOT vulnerable. Note also that ElGamal signing keys cannot be generated without the use of a special flag to enable hidden options and even then overriding a warning message about this key type. See below for details on how to identify vulnerable keys ..."

por maty

"NO PROBLEMA"

Los usuarios que no hayan utilizado funciones ocultas del GNUPG, pueden respirar tranquilos. En otras palabras, utilizad el programa como está explicado en nuestro manual, que pronto será reescrito en su totalidad.

Si nos fijamos en las imágenes, salvo las que utilizan RSA/IDEA para firmar y cifrar mensajes, las demás son DSA/ELG y no ELG/ELG. Es decir, firman (signing) con el algoritmo DSA y cifran (encryption) mensajes con ELG.

Recomiendo para nuestros pares de claves:

Firmar el mensaje con el algoritmo asimétrico DSA (en GNUPG) o DSS [DSA + SHA] (en PGP).
Cifrar el mensaje con el algoritmo asimétrico ELG (en GNUPG) o el DH (en PGP).
Para la función resumen (hash) que añade texto cifrado de longitud fija al final del mensaje firmado (lo habitual en mis correos: firmados, pero no cifrados), prefiero RIPEMD160 (implementado en el GNUPG y en la compilación PGP 6.5.8 CKT Build 9 Beta 3 de IMAD's) en vez de SHA (ideado por la agencia NIST) o de MD5 (de Rivest).
Para el cifrado de ficheros/contenedores: el algoritmo simétrico AES de 256 bits (PGPDisk) es una buena elección, o el Blowfish de 448 o 1348 bits (DriveCrypt).

SECCION RELACIONADA: Cifrado Fuerte

* Estos comentarios aparecerán en la inminente revisión del manual del GNUPG en entorno windows, con interfaz WinPT.

"... Note again that the standard configuration of GnuPG does not allow creating the vulnerable sign+encrypt ElGamal keys and that neither DSA (type 17), RSA (type 1) nor ElGamal encrypt-only keys (type 16) are affected .."

FILETOPIA: Canales/Language/Hispanos: #NAUTOPIA

Ayer, a partir de las 22:30 horario de ESPAÑA -21:30 GMT-, estuvimos unos cuantos en el canal #NAUTOPIA. Entre otras cosas, estuvimos comentando sobre las necesidades de un nuevo hospedaje (gratuito o de pago) y sobre las posibles fórmulas para organizarnos (FUNDACION, Asociación, ONG, ... ).

Miraremos de fijar un día a la semana para que todos puedan participar. Avisaremos con tiempo e intentaremos que ningún ALIEN RESURRECTION nos contraprograme.

* En la imagen adjunta se reproduce parte de la conversación.

NAUTOPIA INVISIBLE "Stealth"	25 Noviembre 2003

por ADMINISTRADOR (maty) *ACAECIDO TRAS LAS BAMBALINAS* DE NAUTOPIA** CORREO PARA REUNION: ADMINISTRADOR (maty) ==> OASI/TINET (Enric Brull) *CORREOS (enlaces "problemáticos", LSSICE, Garzón): maty <==> GUARDIA CIVIL* *ENTREVISTADOS (día 24)* vía FILETOPIA: Benyi A. C. ==> N:^) GOOGLE (NAUTOPIA): 7.150 - 10.500 referencias BULMA: Exim4+Spamassassin HISPASEC: Seguridad en la Red Corporativa de Microsoft FORO MERISTATION SOFTWARE: OGG vs MP3 vs AAC ELCONFIDENCIAL.COM: PASCUAL NO ARROJA LA TOALLA Y TRABAJA DESDE ANDORRA CON `AND LIFE´, SU NUEVO CHIRINGUITO FINANCIERO ELCONFIDENCIAL.COM:** EL CUENTO DEL PAVO ALCISTA Y EL `THANKSGIVING DAY´, por Jesús García CINCODIAS.COM: La postura de cada país frente al procedimiento de sanción contra Alemania y Francia EL DI@RIO MONTAÑES: España gana peso en su pugna con Francia para ser la sede del ITER CONSUMER.ES: Especiales El asesinato de Kennedy

EXPLORER? Tururú.	21 - 24 Noviembre 2003

por maty TOTAL COMMANDER 6 La nueva versión 6.0 incluye unas cuantas novedades, como la posibilidad de las pestañas. Aquí voy a detallar mi configuración del programa. La versión shareware nos abre una ventana, en la que hemos de clickar en un botón aleatorio, por lo demás, funciona sin restricción alguna por tiempo indefinido. Descargas: Se han subido unos cuantos ZIPs para su descarga, con iconos, plugins, menú nautópata, ... El artículo completo AQUI CONSUMER.ES: Seguridad Proteger el PC KEYPARTY: ::Barcelona GnuPG Keysigning Party:: Utilidades de Seguridad, posteado por -=ToÑo.!=- en GDUTB XAVIER CABALLÉ: Security for Handhelds and Cell phones. Attacks and theories XC -> CISCO PUBLICATION: Trends in Viruses and Worms, by Thomas M. Chen HISPAMP3: ¿Cómo defenderse del canon de la SGAE?, avisado por carlosuses KRIPTOPOLIS: Moratoria chips Radiofrecuencia RFID LIBERTONIA: El canon: primera batalla LIBERTAD DIGITAL: La agencia europea de seguridad de redes informáticas comenzará a funcionar en enero CONSUMER.ES: El índice de fracaso escolar en Secundaria en España asciende al 29%, 10 décimas superior a la media europea CONSUMER.ES: Proyecto Gutenberg Literatura para todos LIBERTAD DIGITAL: El 40% son indigentes (Latinoamérica), por Peter Turner* (datos basados en estudios de la ONU)*

KERIO 4 REGLAS NAUTOPIA

17 - 21 Noviembre 2003

Actualización Reglas + 27 imágenes

por maty

KERIO 4 REGLAS NAUTOPIA: W2K SP4 MONOPUESTO revisadas

Las reglas han de depurarse con el tiempo, entre todos. Cuando estén pulidas y creadas para los diferentes windows y entornos (red, aDSL, cable, ... ) pasarán a ser las propuestas por esta comunidad.

He tenido en cuenta la retahíla de versiones del cortafuegos, por lo que he preferido optar por el Principio de Precaución, con alguna regla aparentemente redundante (IE) y otras en previsión de que algo se nos colase (Telnet y NIST) y quisiera comunicarse con el exterior.

Hasta ahora "mi paranoia" ha ido quedando justificada por los hechos. ¿Por qué cambiar de política? Cuando hayamos experimentado más tiempo e idoru lo haya "atormentado" decidiremos CONJUNTAMENTE EN LOS FOROS qué reglas debe recomendar la comunidad nautópata.

Con imágenes y fichero de reglas descargable, editado, para aquellos que tengan todo instalado en la partición primaria C:\

Resubidas las reglas: KERIO 2.1.5
ENCICLOPEDIA VIRUS: Entrevista a Richard Marko, de ESET (programador responsable de la heurística del NOD32)

Se nos ha adelantado la web ENCICLOPEDIA ANTIVIRUS de ONTINET, la empresa que lo distribuye en ESPAÑA, mas la entrevista sobre la que estoy cavilando sería más exhaustiva y menos "complaciente". Con imágenes, ¿video? (DivX) y/o sonido (formato *.OGG).

Objetivo: contar con la colaboración de alguno de los mejores creadores hispanos de virus para así realizar una entrevista en profundidad, sobre el NOD32 y el panorama vírico actual y futuro. Ya veremos si acaba cuajando.

LIBERTONIA: De Debian a Mandrake (II) -Primeros pasos-, por NoP
WEB EN ESPAÑOL MOZILLA FIREBIRD: http://www.mudblood.org/firebird/ , avisado por Gonzalo

LIBRO DE NOTAS -> PAGINA12: Una historia que merece ser contada (judíos, Bulgaria, 1943)

CERTIFICADOS DIGITALES	16 Noviembre 2003

por Enrique en la lista Haygentepato SHARESAFE.NET "Como he recibido muchas preguntas sobre certificados digitales, me he liado la manta a la cabeza y he colgado un tutorial que espero os resuelva algunas dudas. Como la mejor forma de aprender es cacharreando, en el propio tutorial podréis sacaros certificados gratis de todo tipo para experimentar. Tened en cuenta que son certificados con carácter didáctico, no comerciales. He incluido manuales para certificados de servidor con el IIS (también para configurarlo para WAP), para certificados de navegación y para certificados de correo con el *"Outlook Express"* y el *"The Bat!"* (por sugerencia de maty). Espero que me comentéis cualquier error que haya en él, así como cualquier sugerencia, ampliación o mejora que se os ocurra" http://www.sharesafe.net/sharesafe/TuturialPKI1.asp

EN RED DESDE EL 12 DE JULIO 2001

ADMINISTRADOR: maty EDITOR XHTML y CSS: maty

Redactores: alfon, daexma, daredevil, idoru, maty, wolffete

Moderadores Foros Seguridad: daexma, wolffete

Colaboran: <JmMr>, agika, antonio, furtivo, godi, jkepler, María Jesús

LostSoul, Mercè Molist (M&M), netvicious, polímero, senpai, sheu_ron ...

La Comunidad de Nautopía no percibe ingresos económicos.

NAUTOPIA no asume ninguna responsabilidad por los comentarios que hagan los visitantes en este sitio. Toda la responsabilidad para verificar la veracidad y los derechos de reproducción de un envío corresponde al autor que lo publica.

Esta publicación es copyleft. Por tanto, se permite difundir, citar y copiar literalmente sus materiales, de forma íntegra o parcial, por cualquier medio y para cualquier propósito, siempre que se mantenga esta nota y se cite procedencia. Al publicar material en este sitio, él o la autora del envío asume que puede ser redistribuido libremente, salvo con las restricciones siguientes:

No está autorizada su reproducción sin previo consentimiento en medios con ánimo de lucro (publicidad abusiva o de contenidos restringidos, sean de pago o no) o violentos. Tales medios deben ser respetuosos con la Declaración Universal de Derechos Humanos.