viernes, 31 de julio de 2009

Entrevista a Chema Alonso

Hola a todos!

A partir de ahora, y con carácter mensual, vamos a dedicar un pequeño espacio para entrevistar a expertos en seguridad, tanto de Microsoft como de otras compañías. Intentaremos que sea un espacio diferente, más colaborativo con los lectores del blog, por tanto estará abierto a vuestra participación.

Podéis proponer temas y sugerencias dirigiéndoos al siguiente correo electrónico: i-merma@microsoft.com

La primera entrevista la abre Chema Alonso, Director Técnico de Informática 64 y MVP de Microsoft. ¿Qué significa ser MVP? Para aquellos que no estéis muy familiarizados con el termino, el programa Most Valuable Professionals (MVPs) está compuesto por una comunidad de líderes técnicos a través de todo mundo, a quienes se premia por compartir de manera voluntaria su conocimiento. Personas de reconocido prestigio, absoluta confianza y accesibles que poseen una amplia experiencia en uno o varios productos de Microsoft® y que participan activamente en las comunidades en línea para compartir sus conocimientos , experiencia y ayudar a los demás.


1. ¿Cómo fueron tus inicios en el mundo de la seguridad informática?

Mis comienzos en este mundo fueron desde una aproximación desde el mundo de los sistemas informáticos. Yo venía de trabajar con bases de datos, con redes y tecnologías Microsoft de servidores y llegar al mundo de la seguridad fue un camino sencillo y casi de atracción mutua. A mí me encantaba y había una necesidad grande de profesionales en aquellos momentos.

2. Tú que eres una persona de mundología… Son conocidos tus viajes por todo el mundo: China, Argentina, EEUU… ¿Como consideras que se encuentra España respecto al resto de países en materia de seguridad?

Esta es una pregunta que me hacen muchas veces y siempre tengo que matizarla de secciones. Creo que tenemos grandes profesionales y una gran comunidad de expertos. Sólo hay que ver como hay profesionales españoles en los principales equipos de seguridad de las grandes empresas. Caso de Fermín en el MSRC de Microsoft, Palako en Yahoo! y un largo etcétera. Además, sólo hay que ver que tenemos representación de profesionales españoles en grandes conferencias internacionales, como los Sexy Panda en la Defcon o David Barroso en la última RSA.

Esto se nota en cuanto a las empresas de seguridad que hay en España, grupos como Hispasec, el laboratorio de Panda Security, el equipo de seguridad de SIA o S21Sec, por citar alguno de los muchos que hay, son de muy alto nivel.

En cuanto a las empresas, en general, pocas han tomado conciencia respecto a la seguridad. Han hecho avances, sobre todo las grandes, invirtiendo en tecnologías, productos y auditorías, pero todavía no se ha metido la cultura de la seguridad en sus procesos. En cuanto a las medianas y pequeñas, empiezan ahora a pensar ello muy tímidamente.

3. ¿Cómo crees que está influyendo la crisis en la toma de decisiones en el área de seguridad?

Es una pregunta difícil. Yo creo que frenar la inversión en seguridad es contraproducente, pero supongo que los responsables de los presupuestos deben ser mucho más finos en estos momentos. Es evidente que la alineación con el negocio por parte de los equipos de IT debe ser especialmente cuidadosa en estos momentos para ayudar a generar más productividad a las empresas, pero una carencia de inversión en seguridad puede hacer que salga más caro generar una nueva vía de inversión con riesgos de seguridad que no sacarla. No olvidemos que los equipos de seguridad no sólo se ven afectados por problemas de continuidad de negocio, imagen o estafas, sino que además existe una legislación vigente que cumplir que obliga a mantener una infraestructura segura.

4. ¿Cuál crees que son las tendencias de seguridad para las empresas en el largo plazo?

Pues a largo plazo no sé, pero a corto y medio plazo tienen muchos retos por delante. El primero de ellos continuará siendo el defenderse frente amenazas clásicas interpretadas por las nuevas mafias mediante el uso de malware y botnets. Seguidamente las empresas tienen el reto de defenderse, y más en estos momentos, contra los riesgos de fuga de información, robo, espionaje, etc.. provocado por ataques o negligencias internas.

Además, tenemos retos tecnológicos de nivel en este país, la integración del e-DNI, la aplicación definitiva de la LOPD, la estandarización ISO 27001 y la inminente llegada de la e-administración con la ley de Acceso hace que el panorama de la seguridad sea de una actividad frenética.

Pararse en esta carrera puede suponer retrasar una empresa u organización su competitividad.

5. ¿Qué ventajas crees que aporta el software propietario frente al software libre frente a garantizar la privacidad y seguridad de la información?

Realmente no creo que el que sea software propietario o no aporta algo mejor de forma estructural. Lo que sí es cierto es que existen productos de software comercial que no tienen competencia en el mundo del software libre simplemente porque el modelo de negocio del software libre en ese campo no ha generado suficiente dinero como para mantener la competitividad.

El software libre tiene buenos proyectos, confiables y seguros, pero estos son muy pocos comparados con una gran mayoría de ellos que no tienen recursos para mantener una evolución constante y son una autentica incertidumbre en su futuro inmediato.

Yo creo que cierto software comercial da una garantía de soporte y continuidad en una línea futura de trabajo. Una empresa no puede actualizar sus sistemas cada seis meses, ni actualizar diariamente su software ni, por supuesto, cambiar la arquitectura de sus servicios porque un producto sea discontinuado.

El software libre y el software pueden y deben convivir en una búsqueda equilibrada entre la inversión adecuada en tecnología para una productividad mayor, tanto de la empresa como de la administración de este país.

6. Muchas veces la seguridad no es tenida en cuenta como un factor determinante para la competitividad de las empresas ¿Qué opinión tienes al respecto?

El que no tome la seguridad como un factor determinante para la competitividad de la empresa es un peligro en la gestión de presupuestos y deberían mandarle a hacer algún otro trabajo.

Desde mi ocupación laboral, realizando test de intrusión a empresas, he visto a muchas compañías perder dinero por sistemas inseguros. Empresas que no han podido trabajar durante días porque les han colonizado sus servidores de correo y no se podían comunicar con sus clientes y proveedores, empresas que no han podido pagar impuestos a tiempo por culpa de virus informáticos y directamente empresas a las que les han robado dinero a través de webs inseguras.

El que necesite que le expliquen esto debe ser puesto en un listado de managers que nunca deben ser contratados en una empresa.

7. Has participado proactivamente en el voluntariado de seguridad de Microsoft, dando charlas de seguridad online a los menores en diferentes colegios ¿Cuál ha sido tu experiencia en esta iniciativa?

Pues me lo he pasado genial, los chavales son muy divertidos y espontáneos. Sus reacciones son de asombro, miedo y descubrimiento. Cuando les explicas los problemas posibles, los riesgos y lo que pasa en Internet si no se toman precauciones ellos se sienten identificados. Te cuentan sus experiencias y te piden consejo. Es increíble el uso intensivo que los chavales le dan hoy en día a Internet.

Siempre intento hacerles entender a ellos y a los padres que Internet es genial y que tiene que entrar, descubrir, conocer, usar y aprovecharse de este regalo que es Internet, pero que lo hagan con seguridad.

Me ha encantado la experiencia y repetiré seguro.

8. ¿Qué medidas de seguridad implementas como usuario final? ¿Eres de los paranoicos obsesionados con el malware que se puede introducir en tu pc, o más bien eres de los de “en casa del herrero cuchillo de palo”?

Pues en mi PC implemento una política genial. No abro ningún mail que viene de quién no conozco, jamás uso un usuario privilegiado o privilegios cuando trabajo con programas o navego por Internet. Todo actualizado. Firewall on. No instalo ningún programa que no sé de donde viene (tengo la suerte de tener la suscripción Technet y MSDN para disfrutar del software directamente de la raíz) y disfruto de un Windows Vista en el que tengo las protecciones activas desde principio. Es bastante sencillo mantener un Windows Vista o Windows 7 seguro sin mucho esfuerzo. Lo siento por esos pobres que reinstalan su sistema cada seis meses. Mi Vista se instaló una vez y va mejor cada día.

9. ¿Qué conferencias tienes previstas realizar recientemente?

Pues ahora mismo tenemos por delante la gira del Summer Of Security por cuatro ciudades Españolas.

Después tenemos un curso de verano fantástico en la Universidad de Salamanca donde se van a juntar 15 pájaros de cuidado en el mes de Julio.

Y después de esto me voy a Colombia a participar en otro curso internacional y de ahí a Las Vegas, a participar en la Defcon 17 con un grupo de españoles por allí. Como puedes ver yo no me aburro. ;)

10. Imagino que te lo habrán preguntado muchas veces… pero es asombrosa la dedicación que le prestas a tu blog. ¿De dónde sacas esa constancia para escribir de manera diaria?

Pues yo creo que porque después de haber estado trabajando de pintor, barnizador y albañil creo que es un lujo el trabajo que tengo y la verdad, adoro mi trabajo. Parece mucho, pero es un placer. En mi blog además escribo de lo que vivo, aprendo, descubro, dibujo o me pasa. Es un blog muy personal en el que muchas veces tengo más cosas que publicar que las que realmente pongo, pero… no quiero ser más pesado de lo que ya soy. Si lo haces con placer… siempre hay un minuto para publicar y no olvides que yo estoy conectado a Internet todo el tiempo que estoy despierto ;)

11. ¿Por qué consideras que hay tan pocas mujeres en el mundillo de la Seguridad?

No creo que haya tan pocas, el ratio es más o menos el mismo que en la informática en general. El tema es que se ha corrido la voz que en la carrera de informática no hay chicos guapos (algo totalmente falso porque aquí me tenéis a mí y al resto de los frik… digo.. de los ingenieros) y prefieren tirase por carreras con más glamour. Realmente hay algunas muy,muy, muy buenas, pero yo creo que prefieren mantener su anonimato. Muchos de esos nicks que se ven por ahí son chicas, pero es difícil saberlo cuando el Nick es ka8bu_kiFX!

12. Nos das permiso para publicar esa famosa foto del calendario…. ¿¿????

Claro, pero… ¿es corporativo publicar una foto así en Spectra? No vaya a ser que te quedes sin trabajo sólo por lucirme. ;)


Gracias por todo Chema, si ves que este blog no continua publicando artículos, ya sabrás el motivo… :)

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

miércoles, 29 de julio de 2009

Alerta de seguridad de Microsoft

ALERTA DE SEGURIDAD
28 de julio de 2009
Resumen Ejecutivo:
ALERTA:

MS09-034 / Crítico para las versiones de Internet Explorer 5.01, 6, 7 y 8 corriendo sobre versiones de Windows XP, Vista, Windows Server 2003 y Windows Server 2008

MS09-035 / Afecta a las aplicaciones desarrolladas con la tecnología Active Template Library (ATL) incluida en Visual Studio. Esta actualización es específica para desarrolladores de componentes y controles.
Acción Inmediata:

Obtenga la actualización de seguridad utilizando: Windows Update, Microsoft Update, ingresando a http://update.microsoft.com Para más información consulte: http://www.microsoft.com/latam/seguridad/
Estimado Cliente:

Por este medio le informamos que el día de hoy Microsoft liberó dos actualizaciones de seguridad, como parte de nuestro compromiso de mantener a nuestros clientes seguros. Estas actualizaciones son sobre una vulnerabilidad en Componentes y Controles desarrollados con las librerías de Visual Studio Microsoft Active Template Library (ATL) y una actualización para Internet Explorer que es Crítica y que busca mitigar el vector de ataque (páginas especialmente desarrolladas).

Hasta este momento no se han detectado o reportado ataques en América Latina.

Esta actualización también resuelve vulnerabilidades en Internet Explorer que podrían permitir ejecución de código remoto si el usuario está viendo páginas especialmente preparadas. Los usuarios que tengan configuración con menos privilegios en sus cuentas podrían ser impactados de menor manera.

Esta actualización es crítica para Internet Explorer 5.01 e Internet Explorer 6 Service Pack 1, corriendo con versiones soportadas de Microsoft Windows 2000; Crítico para Internet Explorer 6, Internet Explorer 7, e Internet Explorer 8 corriendo las versiones soportadas de Windows XP and Windows Vista; y moderado para Internet Explorer 6, Internet Explorer 7, e Internet Explorer 8 corriendo las versiones soportadas de Windows Server 2003 and Windows Server 2008.
Por favor, siga las siguientes recomendaciones:

• La actualización de seguridad MS09-034 para Internet Explorer, es importante asegurarse de seguir los siguientes pasos para protegerse:
- Ejecutar el Windows Update y asegúrese de instalar: Actualización de seguridad No. KB 972260

• La actualización de seguridad MS09-035 para Visual Studio, es importante asegurarse de seguir los siguientes pasos para protegerse:
- Ejecutar el Windows Update y asegúrese de instalar: Actualización de seguridad No. KB 969706
Para encontrar más información para mantenerse protegido en: http://www.microsoft.com/latam/seguridad/

Cómo obtener las actualizaciones

Si utiliza Windows Vista, puede administrar sus actualizaciones a través del panel de control. Para más información, consulte Windows Vista: Cómo actualizar su sistema operativo.

Para descargar manualmente actualizaciones disponibles, vaya a Microsoft Update o, en Windows Vista, vaya a su panel de control. Cuando finalice la exploración de su equipo para comprobar qué actualizaciones necesita, haga clic en el botón Personalizada para buscar las actualizaciones que desea instalar. Recomendamos que instale todas las actualizaciones de seguridad de alta prioridad y críticas inmediatamente.

Le recomendamos que obtenga las actualizaciones automáticamente en Su PC. Cuando el equipo está encendido y conectado a Internet, las últimas actualizaciones de seguridad se descargan e instalan en el equipo automáticamente. Para averiguar cómo activar la actualización automática en su sistema operativo particular, consulte Actualización automática del equipo

Para preguntas y/o asesoría a este respecto, contáctese de manera gratuita con Microsoft a través del servicio PC Segura en: http://www.microsoft.com/latam/protect/support/ ubicando la información de contacto de su país.

Encontrará noticias actualizadas en el blog de Seguridad de Microsoft de Latinoamérica: http://blogs.technet.com/seguridad/

Más información disponible en: Seguridad en Microsoft: http://www.microsoft.com/latam/seguridad

Boletines de Seguridad Microsoft: http://www.microsoft.com/latam/technet/seguridad

Gracias,
Equipo de Seguridad de Microsoft

martes, 28 de julio de 2009

SQL Server 2008 Developer Training Kit


Este es un kit descargable para aprender todo lo relacionado con construcción de aplicaciones web que exploten las características de SQL Server 2008. Incluye 6 presentaciones, 12 demostraciones y 3 laboratorios asistidos y está dirigido a personas que quieran mejorar sus habilidades de programación web con el producto, tengan poca o nada experiencia con SQL Server 2008.

Usenlo con las versiones Express de SQL Server 2008 y de Visual Studio Web Developer 2008 para una mejor experiencia. Revisen de todas maneras la parte de ejemplos y recursos de este sitio web de las herramientas Express; muy buena.

Info


jueves, 23 de julio de 2009

Márketing Online: Posicionamiento en Buscadores


Datos Técnicos
Márketing Online: Posicionamiento en Buscadores, Miguel López Gómez (SEO)
Spanish | PDF | 256 Páginas | Miguel López Gómez | 2009 | 10 MB

Descripción
El SEO no es hacer algo 100%mejor que los demás, sino hacer 100 cosas un 1%mejor que ellos.

Aparecer en los primeros puestos de los buscadores le reportará visitas no pagadas, tráfico cualificado, usuarios que están buscando sus productos y servicios.
El paso siguiente a tener una web es que la gente le encuentre facilmente. Si no aparece en los buscadores perderá la oportunidad de rentabilizar su inversión rápidamente.


Contenido del Libro
1. Objetivos del libro
¿Qué es lo que aprenderá en este libro?
¿Qué necesita saber para entender este libro?
¿Quién debería leer este libro y por qué?
¿Por qué SEO?
¿Qué no encontrará en este libro?
Edición digital del libro

2.- Pasos previos al SEO.
Modificar su web. El servicio FTP.
Un poco de HTML, lo justo
Creación de una cuenta Google
Creación de su cuenta de Google Gmail

3.- Analítica web
Los servicios gratuitos de Google: Analytics y Sitemaps
Utilizando Google Analytics para el SEO
Configuración de Google Analytics en su web
Configuración avanzada de Google Analytics
Yahoo! Web Analytics
Añadiendo sus páginas al índice de Google
¿Qué es el Sitemaps?
Creación del archivo Sitemaps
Trabajar con Google Webmaster Central
Configurando su primera cuenta en Google Sitemaps
Indicando a Google dónde está el Sitemaps
Resumen de tareas

4.- Fundamentos SEO, la teoría necesaria.
Seccionando a sus visitantes
¿Qué buscan sus visitantes en internet?
¿Cuándo hacemos SEO?
En qué se basa el SEO.

5.- Comenzando el trabajo SEO
Elección de las palabras clave
Lista de términos de marketing
Lista de términos por encuesta
Lista de términos populares
Sacando partido a Google Trends.

6.- Fijando objetivos SEO.
Conociendo el futuro: previsión de visitas
Calcular las visitas a partir de la posición en SERP
Aplicación para el cálculo de visitas estimadas.
¿De donde venimos?¿A dónde vamos?
Herramientas de monitorización SERP

7.- ¡Contenido, contenido, contenido!
Información útil, información fresca
Flash, el problema del contenido invisible
Densidad de palabra (keyword density)
Long Tail, la larga cola de palabras clave
Marketing en Internet: captando más visitas

8.- Factores internos
Estructurar la información
Link Juice y el atributo “nofollow”
Importancia no es lo mismo que PageRank
Subdominios o carpetas
Dando nombre a las páginas
URL estáticas o dinámicas
Paso de parámetros entre páginas dinámicas.
Reescribiendo la dirección de los enlaces.
Cabecera de página
HTML validado
Campos META
META TITLE
META DESCRIPTION
META KEYWORDS
Dentro de la página
Divide y vencerás
Organizar el contenido con titulares
La cantidad de texto no influye
Escribir HTML validado no es fundamental, pero ayuda
Las imágenes se tienen que leer
Utilizando los buscadores de imágenes para conseguir visitas
SEO es ENLACES
El primer enlace es el que cuenta

9.- Otros factores internos a considerar
Por su nombre le encontraran
Comprando dominios con palabras clave
Alojamiento web: ¿lejos o cerca?
Piense en global, actúe en local
Google Local Business Center
Webs locales, webs orientadas
El efecto Halo

10.- Factores externos
Estructura de enlaces en el sitio web
PageRank
TrustRank
Intercambio y compra de enlaces
Agujeros negros en internet

11.- Black Hat SEO.
Cloaking
Texto invisible
Duplicación de dominios
SPAM en foros
Uso de enlaces forzados o spam keywords
Información sobre Black Hat SEO
Cómo salir de una penalización en Google

12.- Hoja de ruta SEO
Chuletas SEO.
SEOMOZ.org SEO Cheat Sheet.
Antón Shevchuck SEO Cheat Sheet

13.- Seguimiento del proyecto SEO.
Seguimiento de posiciones (SERP)
Analítica de resultados SEO.
¿Cómo configurar Analytics como monitor SEO?
Valoración de las visitas provenientes de buscadores
Valoración por volumen de visitas
Valoración por calidad de las visitas
Valoración por mejora del posicionamiento

14.- Casos prácticos
Canal Solidario
Objetivos del proyecto canalsolidario.org
Análisis de las visitas
Análisis de palabras clave
Eligiendo las palabras clave objetivo
Factores OnPage

15.- Fuentes de información
Blogs
Foros
Libros.

16.- Directorio de profesionales y empresas.
¿Cómo elegir una empresa o profesional SEO?
Profesionales SEO en España
Madrid
Catalunya
Valencia.
Zona Norte (País Vasco + Asturias + Navarra)
Castilla y León.
Aragón
Andalucía.
Canarias
Otros países.
USA / México / Argentina.


Enlaces
Márketing Online: Posicionamiento en Buscadores, Miguel López Gómez (SEO)
Rapidshare | Megaupload | Easy-Share | DepositFiles | HotFile | Storage

lunes, 20 de julio de 2009

Nuevos contenidos en la Red Temática CriptoRed (junio de 2009)

Breve resumen de las novedades producidas durante el mes de junio de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Actualización del Archivo Exámenes Resueltos Asignatura Seguridad Informática EUI - UPM (Jorge Ramió, Word, 30 exámenes, España)
http://www.criptored.upm.es/examen/e_eui_upm.htm


* Entendiendo los Conceptos Básicos de los Anonymizers (Nicolás Aristizábal, Javier Alexander Cristancho, Andrés Oswaldo Romero, Dirección Jeimy Cano, PDF, 10 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142j1.htm


* El Uso de las Memorias como Evidencia Digital (Javier Alexander Cristancho, Andrés Oswaldo Romero, Dirección Jeimy Cano, PDF, 10 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142k1.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de mayo de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200905.pdf


* Documentos con Breve Recorrido de la Criptografía Usada en la Revolución Mexicana (José de Jesús Ángel Ángel, México)
http://computacion.cs.cinvestav.mx/~jjangel/Pagina_Criptografia_Revolucion_Mexicana.html


* Estudio de INTECO sobre Hábitos Seguros en el uso de las TIC por Niños y Adolescentes (España)
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_ninos


* Presentaciones de la XXVII Reunión de CERTs Europeos (España)
http://www.terena.org/activities/tf-csirt/meeting27/


* Primera Encuesta Latinoamericana de Seguridad de la Información (Colombia, México, Uruguay)

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/I-ELSI09-JJCM-Uniandes.pdf


* Número 110 Revista Sistemas: Monitoreo y Evolución de la Inseguridad Informática (Colombia)
http://www.acis.org.co/index.php?id=1340

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)


* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)


* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)


* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres � Reino Unido)


* Agosto 5 al 6 de 2009: Tercer Congreso Internacional de Seguridad de la Información CISI 2009 (Cartagena de Indias - Colombia)


* Septiembre 14 al 17 de 2009: Sixth International Conference on Broadband Communications, Networks and Systems BROADNETS 2009 (Madrid - España)


* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna * Bulgaria)


* Septiembre 23 al 26 de 2009: Workshop on Computational Intelligence for Security in Information Systems CISIS 09 (Burgos - España)


* Septiembre 24 al 25 de 2009: Fourth International Workshop on Data Privacy Management DPM 2009 (Saint Malo - Francia)


* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)


* Octubre 14 al 16 de 2009: 14th Nordic Conference in Secure IT Systems NordSec 2009 (Oslo - Noruega)


* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)


* Octubre 21 al 23 de 2009: Conferencia Ibero Americana WWW Internet 2009 IADIS (Alcalá de Henares - España)


* Noviembre 4 al 6 de 2009: 31 Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)


* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)


* Noviembre 19 al 22 de 2009: IADIS International Conference WWW Internet 2009 (Roma - Italia)


* Noviembre 30 a diciembre 4 de 2009: IEEE Globecom 2009 Ad Hoc, Sensor and Mesh Networking Symposium (Hawaii - USA)


* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. OTRAS NOTICIAS SELECCIONADAS DEL MES DE JUNIO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#jun09


* Security Art Work Nuevo Blog de Seguridad de S2 Grupo (España)
http://www.securityartwork.es/


* Nueva Edición para Formación Azlan D-Link Academy en Madrid, Vigo y Barcelona (España)
http://dlink.informatica64.com/

5. LISTA DE LOS 41 TRABAJOS ACEPTADOS PARA CIBSI 2009 MONTEVIDO - URUGUAY
http://www.fing.edu.uy/inco/eventos/cibsi09/


* A Survey on Masquerader Detection Approaches (Argentina)
* An Extended Reference Monitor for security and safety (Estados Unidos)
* Análisis Formal del Estándar NIST para Modelos RBAC (Uruguay)
* Aplicar el Modelo de Amenazas para Incluir la Seguridad en el Modelado de Sistemas (Argentina)
* Aumento de la Fiabilidad de la Evidencia en un Protocolo de Intercambio Justo mediante la División del Entorno de Firma (España)
* Autenticación Biométrica a través de Dinámica de Tecleo (México)
* Autorización de Acceso en MIDP 3.0 (Uruguay)
* Command Dimension Reduction in Masquerader Detection (Argentina)
* Consideraciones sobre Algunos Supuestos de Cesión o Comunicación de Datos Personales de los Estudiantes en la Universidad Pública Española (España)
* Control de Calidad en Imágenes de Iris mediante Razonamiento Ontológico (España)
* Criptoanálisis del Generador Auto-Shrinking: Una Propuesta Práctica (Argentina)
* Diseño Básico de la Seguridad para un Servicio Nacional de Salud Pública en Venezuela (Venezuela)
* Diseño e Implementación de una Función Hash Basada en Caos (México)
* Estegoanálisis Aplicado a la Generación Automática de Estegotextos en Lengua Española (España)
* FACTOIDS: Modelos y Herramientas para el Análisis e Intercambio Seguro de Datos Colectados por Sensores (Uruguay)
* Generación de Ambientes para Entrenamiento en Seguridad Informática (Uruguay)
* Gestión Automatizada de Requisitos de Seguridad para Proyectos de Desarrollo de Líneas de Producto Software (España)
* Gestión de Identidad en las Administraciones Públicas: Interoperabilidad pan-Europea (España)
* Hacia una Arquitectura de Servicios de Seguridad para Entornos Grid Móviles (España)
* Honeynets en Ambientes Virtuales (Argentina)
* iPhone 3G: Un Nuevo Reto para la Informática Forense (Colombia)
* La Formación Jurídica del Ingeniero Informático en Temas de Seguridad Informática en la Universidad de Pinar del Río (Cuba)
* La Protección de Datos y el Diseño de Tratamientos de Datos Ppersonales. Especificaciones Funcionales Necesarias (España)
* Metodología de Implantación de un SGSI en Grupos Empresariales de Relación Jerárquica (Uruguay)
* Metodología para la Selección de Métricas en la Construcción de un Cuadro de Mando Integral (España)
* MGSM-PYME: Metodología para la Gestión de la Seguridad y su Madurez en las PYMES (España)
* Propostas para Apoiar a Preservação Documental de Longo Prazo na ICP-Brasil (Brasil)
* Protocolo de Creación de Evidencias en Entornos Vehiculares (España)
* Robust Declassification for Bytecode (Argentina)
* SLSB: Improving the Steganographic Algorithm LSB (España)
* Sobre el Número de Funciones Bent Obtenidas a Partir de Funciones de Máximo Peso (España)
* Técnicas Anti-Forenses en Informática: Ingeniería Reversa Aplicada a TimeStamp (Colombia)
* Towards Secure Distributed Computations (Uruguay)
* Um IDS Cooperativo para Redes de Acesso de Banda Larga (Portugal)
* Un Modelo Compacto de Criptografía Asimétrica Empleando Anillos no Conmutativos (Argentina)
* Una Marca de Agua Inteligente Aplicada al Dinero Electrónico (México)
* Una Propuesta de Arquitectura Biométrica de Control de Acceso Basada en Ontologías (España)
* Uso del DNIe para Reforzar el Anonimato en el Voto Telemático Mediante Tarjetas Inteligentes (España)
* Venciendo la Protección de Páginas no Ejecutables a Través del Análisis Automático de Binarios (Argentina)
* Verificación Formal de la Equidad de un Protocolo de Firma de Contratos Mediante Colored Petri Nets (España)
* Watermarking in the Encrypted Domain (España)

6. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 782
211 universidades y 293 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 25.944 visitas, con 75.774 páginas solicitadas y 32,48
GigaBytes servidos en junio de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

domingo, 19 de julio de 2009

Boletines de seguridad de Microsoft en julio

Boletines de seguridad de Microsoft en julio
--------------------------------------------

Este pasado martes Microsoft publicó seis boletines de seguridad (del
MS09-028 al MS09-033) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft tres de los
boletines presentan un nivel de gravedad "crítico" y los tres restantes
son "importantes".

Los boletines "críticos" son:

* MS09-028: Actualización para corregir tres vulnerabilidades en
Microsoft DirectShow, que podrían permitir la ejecución remota de código
si el usuario abre un archivo QuickTime específicamente creado. Afecta a
Windows XP, 2000 y Server 2003.
http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx


* MS09-029: Actualización destinada a corregir tres vulnerabilidades en
el interprete de las fuentes EOT (Embedded OpenType), que podrían
permitir la ejecución remota de código arbitrario. Afecta a Windows XP,
2000, Vista, Server 2003 y Server 2008.
http://www.microsoft.com/technet/security/bulletin/MS09-029.mspx


* MS09-032: Actualización de seguridad de los kill bits de ActiveX en
Microsoft Windows, que podría permitir la ejecución remota de código
arbitrario. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.
http://www.microsoft.com/technet/security/bulletin/ms09-032.mspx

Los boletines clasificados como "importantes" son:

* MS09-030: Actualización destinada a solucionar una vulnerabilidad en
Microsoft Office Publisher, que podría permitir la ejecución remota de
código si un usuario si un usuario abre un archivo de Publisher
específicamente creado.
http://www.microsoft.com/technet/security/bulletin/ms09-030.mspx

* MS09-031: En este boletín se ofrece una actualización para resolver
Una vulnerabilidad en Microsoft Internet Security and Acceleration (ISA)
Server 2006 que podría ser aprovechada por un atacante para conseguir
elevar sus privilegios en los sistemas afectados.
http://www.microsoft.com/technet/security/bulletin/ms09-031.mspx

* MS09-033: En este boletín se corrige una vulnerabilidad en Microsoft
Virtual PC y Microsoft Virtual Server que podría ser aprovechada por un
atacante para conseguir elevar sus privilegios en los sistemas
afectados.
http://www.microsoft.com/technet/security/bulletin/ms09-033.mspx

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Dada la gravedad de las
vulnerabilidades se recomienda la actualización de los sistemas con la
mayor brevedad posible.

miércoles, 8 de julio de 2009

Fundamentos de Unix v2.0 Español (CISCO)

Datos Técnicos

Fundamentos de Unix v2.0 Español (CISCO)
Spanish | 12MB | CISCO | SWF

Descripción

El curso Fundamentals of UNIX enseña como utilizar el sistema operativo UNIX e introduce las interfaces de usuario gráficas (GUI): CDE, GNOME y KDE. Se proporciona una descripción de las versiones del sistema operativo UNIX, Sun Solaris y Linux. Este curso se orienta a nuevos usuarios del ambiente operativo UNIX. Está patrocinado por Sun Microsystems, utilizando la misma metodología E-learning de Cisco.
Se aprenden las características fundamentales de línea de comando de UNIX que incluyen navegación por el sistema de archivos, cambio de permisos de archivos, los editores de texto vi y Emacs, características de los Shell Bash y Kourne y el uso básico de red. Las características de interfaz de usuario gráfica incluyen administradores de aplicaciones, administradores de archivo, editores de texto, entre otras.

Contenido

  1. El ambiente de computación de UNIX
  2. El acceso al sistema e interfaces gráficas UNIX
  3. Aplicaciones de usuario gráficas
  4. La obtención de Ayuda
  5. El acceso a archivos y directorios
  6. Administración de archivos y directorios básica
  7. Administración de archivos y directorios avanzada
  8. Utilidades de información de usuarios y archivos
  9. Uso de editores de texto
  10. Seguridad del sistema de archivos
  11. Impresión
  12. Backup y recuperación
  13. Procesos del sistema
  14. Características del Shell y personalización del ambiente
  15. Introducción a los scripts de Shell
  16. Aspectos básicos de redes

Enlaces

Fundamentos de Unix v2.0 Español (CISCO)
Rapidshare | Megaupload | Easy-Share | DepositFiles | HotFile | NetLoad | Ziddu

jueves, 2 de julio de 2009

Autorun Virus Remover v2.3 Build 0702, Protección a través de tu USB




Autorun Virus Remover v2.3 Build 0702

English | 1,23MB | Incl. Medicina

Descripción
Autorun Virus Remover puede detectar y limpiar cientos de usb / autorun virus y se bloquean los virus y troyanos tratando de atacar al dispositivo USB se inserta. Remover el virus de Autorun ofrece 100% de protección contra programas maliciosos de cualquier intento de ataque a través de dispositivos de almacenamiento USB (USB driveUSB stickpen unidad Flash Drive de tarjeta flash Secure Digital de almacenamiento extraíbles de almacenamiento portátil, ipod reproductor multimedia). Comparar Autorun Virus Remover con otras soluciones antivirus, se encuentra a cabo sus más destacados: Autorun Virus Remover proporciona 100% de protección contra las amenazas a través de cualquier unidad USB, sin embargo, la mayoría de los otros productos aún no están en condiciones de garantizar la protección del 90%. Autorun Virus Remover puede detectar y limpiar el usb virus / gusano / troyano, como Ravmon, auto.exe en su ordenador o unidad USB, podría resolver el problema de que no se puede abrir una unidad de doble clic. También elimina los restos de virus mediante la eliminación de los ficheros autorun.inf y la limpieza de su sistema de registro, por lo que no verá la autorreproducción tema más.

Caracteristicas
100% de protección contra cualquier programas maliciosos a través de USB de almacenamiento
Autorun Virus Remover usos innovadores de tecnología proactiva para bloquear las amenazas desde la unidad USB. Hay relativamente pocos productos disponibles en tiendas o en Internet que ofrecen incluso cercana al 100% de protección contra cualquier programas maliciosos a través de unidad USB. La mayoría de los productos aún no están en condiciones de garantizar la protección del 90%. Autorun Virus Remover es lo mejor del mundo de software para bloquear las amenazas desde la unidad USB.

La mejor solución para proteger la computadora sin conexión
Otros antivirus deben actualizar base de datos de firmas regularmente, y no pueden proteger eficazmente fuera de la red de computadoras que no está conectado a Internet. Cuando los nuevos virus, gusanos y otros ataques maliciosos huelga, las firmas tradicionales son insuficientes. Cada minuto uno espera de una actualización de firmas de virus crea una ventana de vulnerabilidad que podría tener consecuencias devastadoras. Autorun Virus Remover los usos avanzados de técnicas de detección proactiva, no requiere las actualizaciones de firmas, y cierra la ventana de vulnerabilidad dejó abierta por otros reactivos, la firma basada en las respuestas.

El más rápido del mundo y el más pequeño software antivirus
Con Autorun Virus Remover, que no es necesario sacrificar la velocidad para la detección y escaneo. Compare antivirus, y descubrirá que el virus de Autorun Remover es, con diferencia, uno de los más pequeños las aplicaciones en la industria. Por ejemplo, el Autorun Virus Remover instalador está a sólo 1 MB. El programa utiliza aproximadamente 1 a 7 MB de memoria RAM.

100% compatible con todo el software
La incompatibilidad entre los programas antivirus es un problema. En la gran mayoría de los casos, la instalación de dos programas antivirus de diferentes fabricantes en una máquina (para una mayor protección) es técnicamente imposible, ya que los dos programas de cada perturbar el funcionamiento de otros. Sin embargo, Autorun Virus Remover es 100% compatible con todos los software, incluyendo Windows Vista.

Fácil de usar
Autorun Virus Remover ha sido específicamente diseñados para realizar con eficacia, independientemente de que el usuario del nivel de conocimientos de computadoras. Simplemente instalar y olvidar.





Requisitos
  • Procesador 100MHz o más
  • 16MB de RAM o más
  • Windows 2000, Windows XP o Vista


Autorun Virus Remover v2.3 Build 0702
Rapidshare | Megaupload


martes, 23 de junio de 2009

[Audiolibro-Voz humana] La Fortaleza Digital [Dan Brown]


Del mismo autor de los Bestsellers "El Código Da Vinci" y "Ángeles y demonios," Dan Brown les trae una apasionante novela llena de claves secretas, mensajes ocultos, engaños y crímenes. "Fortaleza Digital" los mantendrá en suspenso y no podrá dejar de escucharlo hasta que llegue al final.

La supercomputadora de la Agencia de Seguridad Nacional se encuentra con un código el cual no puede descifrar. El subdirector de la agencia llama a la hermosa criptógrafa Susan Fletcher, La única pista para romper ese código parece estar en el cadáver de un hombre fallecido en España, donde ha sido enviado el prometido de Susan, David Becker. Mientras David intenta hallar la clave y sobrevivir a la persecución de un metódico e implacable asesino en las calles de Sevilla, Susan se enfrentará a su propio drama en las desoladas instalaciones de máxima seguridad de la Agencia, durante una larga noche en la que la mentira y el asesinato acechan tras cada puerta.

Por Rapidshare
http://rapidshare.com/files/154664892/L.F.D.ByFuranani.part1.rar
http://rapidshare.com/files/154675418/L.F.D.ByFuranani.part2.rar

Por Megaupload
http://www.megaupload.com/?d=6YNRX0TO
http://www.megaupload.com/?d=PN7BWK8J

Arquitectura de Computadores: Un Enfoque Cuantitativo, David Patterson


Datos Técnicos

Arquitectura de Computadores: Un Enfoque Cuantitativo, David Patterson (McGraw-Hill)
Spanish | PDF | 32.4 MB | David Patterson; John Hennessy | Editorial McGraw-Hill | 854 Páginas | ISBN: 8476159129

Descripción

Esta obra incorpora un nuevo enfoque cuantitativo haciendo énfasis en la relación coste/rendimiento, presentando muchos datos y ejemplos de máquinas reales, y haciendo estudios comparados de los distintos diseños de arquitecturas.Todos los capítulos tienen secciones originales, y una vez presentados los conceptos, aparece una sección denominada “”Juntando todo”" donde se relacionan las ideas expuestas, para mostrar cómo se utilizan en una máquina real. A continuación aparece otra sección titulada “”Falacias y pifias”", que permite al lector aprender de los errores que han cometido otros en el diseño de una arquitectura. Después hay otra, llamada “”Perspectiva histórica y referencias”" que intenta dar crédito a las ideas del capítulo. Cada capítulo finaliza con una buena colección de ejercicios de distinto grado de dificultad.

Contenido

1.- Fundamentos de diseño de computadores
2.- Coste y rendimiento
3.- Diseño de repertorios de instrucciones: alternativas y principios
4.- Ejemplos y medidas de utilizacion de los repertorios de instrucciones
5.- Técnicas basicas de implementacion de procesadores
6.- Segmentacion
7.- Procesadores vectoriales
8.- Diseño de la jerarquia de memoria
9.- Entradas/salidas
10.- Tendencias Futuras
Apéndice A.- Aritmética de comptadores (por David Goldberg)
Apendice B.- Tablas completas de repertorios de instrucciones
Apendice C.- Medidas detalladas del repertorio de instrucciones
Apendice D.- Medidas de tiempo frente a frecuencia
Apendice E.- Vision general de las arquitecturas RISC

Enlaces

Arquitectura de Computadores: Un Enfoque Cuantitativo (1era Edición)
Rapidshare | Megaupload | Filefactory

Computer Architecture, Fourth Edition: A Quantitative Approach

Filefactory


martes, 2 de junio de 2009

Calculadora basica en java

Codigo.

import java.awt.*;
import java.applet.*;
import java.awt.event.*;


public class Main extends Applet implements ActionListener {
Label l1, l2,l3;
TextField t1,t2,t3;
Button b1,b2,b3,b4,b5,b6,b7,b8;

public Main () {
l1 = new Label("Numero 1");
t1 = new TextField(8);
l2 = new Label("Numero 2");
t2 = new TextField(8);
b1 = new Button("Suma");
b2 = new Button("Resta");
b3 = new Button("Multiplica");
b4 = new Button("Divide");
b5 = new Button("Raiz de 1");
b6 = new Button("Raiz de 2");
b7 = new Button("Mayor");
b8 = new Button("Limpia");
l3 = new Label("Resultado");
t3 = new TextField(8);

add(l1);
add(t1);
add(l2);
add(t2);
add(b1);
add(b2);
add(b3);
add(b4);
add(b5);
add(b6);
add(b7);
add(b8);
add(l3);
add(t3);

b1. addActionListener(this);
b2. addActionListener(this);
b3. addActionListener(this);
b4. addActionListener(this);
b5. addActionListener(this);
b6. addActionListener(this);
b7. addActionListener(this);
b8. addActionListener(this);
}

public void actionPerformed(ActionEvent ae) {
if (ae.getSource() == b1) {
int n1 = Integer.parseInt(t1.getText());
int n2 = Integer.parseInt(t2.getText());
int suma = 0;

suma = n1 + n2;
t3.setText("" + suma);
}
if (ae.getSource() == b2) {
int n1 = Integer.parseInt(t1.getText());
int n2 = Integer.parseInt(t2.getText());
int resta = 0;

resta = n2 - n1;
t3.setText("" + resta);
}
if (ae.getSource() == b3) {
int n1 = Integer.parseInt(t1.getText());
int n2 = Integer.parseInt(t2.getText());
int multi = 0;

multi = n1 * n2;
t3.setText("" + multi);
}
if (ae.getSource() == b4) {
int n1 = Integer.parseInt(t1.getText());
int n2 = Integer.parseInt(t2.getText());
int div = 0;

div = n1 / n2;
t3.setText("" + div);
}

if (ae.getSource() == b5) {
int n1 = Integer.parseInt(t1.getText());
double raiz = 0;

raiz = Math.sqrt(n1);
t3.setText("" + raiz);
}
if (ae.getSource() == b6) {
int n2 = Integer.parseInt(t2.getText());
double raiz = 0;

raiz = Math.sqrt(n2);
t3.setText("" + raiz);
}
if (ae.getSource() == b7) {
int n1 = Integer.parseInt(t1.getText());
int n2 = Integer.parseInt(t2.getText());
int mayor = 0;

if (n1 > n2)
mayor = n1;
else
mayor = n2;

t3.setText("" + mayor);
}

if (ae.getSource() == b8) {
t1.setText("");
t2.setText("");
t3.setText("");
}
}
}

Resultado:

lunes, 4 de mayo de 2009

¡ Con lo que tienes !



Comienza con lo que tienes, no con lo que te hace falta, tú ya tienes todo lo que necesitas para comenzar a crear tu futuro, sin embargo, a veces te encuentras diciendo: si tan sólo tuviera esto si al menos esto fuera distinto si tuviera más dinero.

No exageres la importancia de las cosas que no tienes, empieza con lo que tienes, no con lo que te hace falta.

No permitas que aquello que no puedes hacer, te impida hacer lo que sí puedes, la pasividad prolongada paraliza la iniciativa. Para la mente que vacila, todo parece imposible.

No esperes que existan circunstancias extraordinarias para hacer el bien hazlo en las situaciones comunes.

No necesitas más energía, habilidad ni mayores oportunidades, lo que debes hacer es sacarle provecho a lo que ya tienes.

Lo que puedes hacer ahora es la única influencia que tienes sobre tu futuro. La grandeza verdadera consiste en demostrar excelencia en las pequeñas cosas.

No te quejes porque no tienes lo que quieres, agradece no recibir lo que mereces.

No serás feliz hasta que no aprendas a sacarle provecho a lo que ya tienes, no te preocupes por lo que no tienes. La alegría nunca vendrá a quienes no saben apreciar lo que ya poseen.

La mayoría de las personas cometen el error de buscar muy lejos aquello que está cerca.

Nunca alcanzarás mayores logros, a menos que te lances antes de estar listo. Nadie logró el éxito mientras esperaba que todas las condiciones fueran “ideales''.

La Biblia dice: el que al viento observa, no sembrará; y el que mira a las nubes, no segará, esto significa que si esperas a que se den las condiciones perfectas, nunca llegarás a nada.

No pierdas el tiempo con dudas y temores acerca de lo que no tienes. Dedícate de lleno a terminar la tarea que tienes en tus manos, sabiendo que el correcto desenvolvimiento actual es la mejor preparación para tus años venideros.

Simplemente hazlo, con lo que tienes

miércoles, 8 de abril de 2009

¿Qué es un agujero negro?




"Para entender lo que es un agujero negro empecemos por una estrella como el Sol. El Sol tiene un diámetro de 1.390.000 kilómetros y una masa 330.000 veces superior a la de la Tierra. Teniendo en cuenta esa masa y la distancia de la superficie al centro se demuestra que cualquier objeto colocado sobre la superficie del Sol estaría sometido a una atracción gravitatoria 28 veces superior a la gravedad terrestre en la superficie. Una estrella corriente conserva su tamaño normal gracias al equilibrio entre una altísima temperatura central, que tiende a expandir la sustancia estelar, y la gigantesca atracción gravitatoria, que tiende a contraerla y estrujarla. Si en un momento dado la temperatura interna desciende, la gravitación se hará dueña de la situación.



La estrella comienza a contraerse y a lo largo de ese proceso la estructura atómica del interior se desintegra. En lugar de átomos habrá ahora electrones, protones y neutrones sueltos. La estrella sigue contrayéndose hasta el momento en que la repulsión mutua de los electrones contrarresta cualquier contracción ulterior.
La estrella es ahora una «enana blanca». Si una estrella como el Sol sufriera este colapso que conduce al estado de enana blanca, toda su masa quedaría reducida a una esfera de unos 16.000 kilómetros de diámetro, y su gravedad superficial (con la misma masa pero a una distancia mucho menor del centro) sería 210.000 veces superior a la de la Tierra.

En determinadas condiciones la atracción gravitatoria se hace demasiado fuerte para ser contrarrestada por la repulsión electrónica. La estrella se contrae de nuevo, obligando a los electrones y protones a combinarse para formar neutrones y forzando también a estos últimos a apelotonarse en estrecho contacto. La estructura neutrónica contrarresta entonces cualquier ulterior contracción y lo que tenemos es una «estrella de neutrones», que podría albergar toda la masa de nuestro sol en una esfera de sólo 16 kilómetros de diámetro. La gravedad superficial sería 210.000.000.000 veces superior a la de la Tierra.

En ciertas condiciones, la gravitación puede superar incluso la resistencia de la estructura neutrónica. En ese caso ya no hay nada que pueda oponerse al colapso. La estrella puede contraerse hasta un volumen cero y la gravedad superficial aumentar hacia el infinito. Según la teoría de la relatividad, la luz emitida por una estrella pierde algo de su energía al avanzar contra el campo gravitatorio de la estrella. Cuanto más intenso es el campo, tanto mayor es la pérdida de energía, lo cual ha sido comprobado experimentalmente en el espacio y en el laboratorio. La luz emitida por una estrella ordinaria como el Sol pierde muy poca energía. La emitida por una enana blanca, algo más; y la emitida por una estrella de neutrones aún más. A lo largo del proceso de colapso de la estrella de neutrones llega un momento en que la luz que emana de la superficie pierde toda su energía y no puede escapar. Un objeto sometido a una compresión mayor que la de las estrellas de neutrones tendría un campo gravitatorio tan intenso, que cualquier cosa que se aproximara a él quedaría atrapada y no podría volver a salir. Es como si el objeto atrapado hubiera caído en un agujero infinitamente hondo y no cesase nunca de caer. Y como ni siquiera la luz puede escapar, el objeto comprimido será negro. Literalmente, un «agujero negro».

Hoy día los astrónomos están buscando pruebas de la existencia de agujeros negros en distintos lugares del universo".

ISAAC ASIMOV

martes, 17 de marzo de 2009

Boletín del Taller de Criptografía

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Boletín del Taller de Criptografía de Arturo Quirantes
http://www.cripto.es

Número 65 30 de Noviembre de 2008

========================================================================

EDITORIAL

TEMAS DE ACTUALIDAD
- Apología de PGP (o carta a un periodista)
- Hashing y búsquedas razonables
- Ataques WiFi (I): WEP
- Ataques WiFi (II): WPA

LIBERTAD VIGILADA
- Lucha contra el crimen y espionaje

========================================================================


<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
EDITORIAL
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>

Este boletín me ha salido con una claro sabor de actualidad. Si
en otras ocasiones procuro combinar noticias modernas y antiguas, en
esta ocasión la actualidad se ha abierto paso a patada limpia. Este mes
se ha conocido, por ejemplo, una decisión de un tribunal norteamericano
relativa al uso del hashing como herramienta forense, en la que se
pregunta hasta qué punto puede considerarse una búsqueda razonable por
parte de las fuerzas policiales. Al margen de su relevancia en nuestro
sistema judicial, creo que es un tema interesante por sus implicaciones
en el balance libertad-seguridad.

Otra noticia nos lleva a la detención de unos de los grandes
jefes de la banda terrorista ETA, el conocido como Txeroki. Entre otras
cosas, se ha filtrado la noticia de que dicho personaje usaba PGP para
cifrar sus documentos. No es noticia que grupos terroristas usen cifrado
para protegerse (la noticioso sería que no lo hiciesen), pero un
artículo firmado este mes me obligó a redactar una respuesta, que
incluyo en su totalidad en el presente boletín. Los lectores interesados
podrán ampliar información en Kriptópolis, que abrió un hilo al
respecto. Casualmente, el capítulo de Libertad Vigilada de este mes
trata del uso de criptografía por parte de ETA. Que dicho este capítulo,
el último que nos quedaba por reproducir en el Boletín ENIGMA, toque un
tópico tan actual, puedo prometer y prometo que es fruto de la
casualidad. A veces las cosas vienen así.

Tampoco podíamos dejar de hablar de un tema de candente
actualidad: la vulnerabilidad de los protocolos de seguridad wireless.
Si hace algún tiempo hablamos de los problemas de WEP, en esta ocasión
nos hacemos eco de un reciente ataque revelado contra una versión de
WPA. Y, ya puestos, echamos un vistazo a ambos protocolos, con lo que
aprendemos un poco.

Finalmente, el último capítulo de Libertad Vigilada. Sólo nos
queda el epílogo, que probablemente aparezca el mes que viene. ¿Y
después, qué? No me gusta copiar por copiar, pero probablemente haya
algún libro que nos resulte de interés. ¿Alguna idea? Mientras se me
ocurre algo, aprovecho la oportunidad para agradecer al autor, Nacho
García Mostazo, su autorización para reproducirlo aquí, y para enviarle
un mensaje personal. Nacho, he perdido contacto y no sé donde estás, así
que si me estás leyendo, ¿qué pasa con el jamón que me debes?

Antes de meternos en harina, un mensaje a todos vosotros. Un par
de personas me han comentado que, al entrar en www.cripto.es, sus
antivirus les avisan de un virus o troyano. He hablado con mi servicio
de hosting y efectuado un barrido antivirus personalmente, y el
resultado ha sido negativo. Si os sucede lo mismo os ruego me lo hagáis
saber. Indicad nombre de troyano, tipo de antivirus, sistema operativo y
navegador. Es posible que se trate de un falso positivo, pero si hemos
aprendido aquí algo es a ser cautos y no caer en lo obvio.

Saludos y que aproveche la lectura.


<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
TEMAS DE ACTUALIDAD
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>


=----------------------------------------------------------------------=
Apología de PGP (o carta a un periodista)
=----------------------------------------------------------------------=

[A mediados de noviembre de 2008, el etarra Txeroki era detenido por la
policía francesa. Entre otras noticias, se hizo público que utilizaba el
programa de cifrado PGP para proteger la información. Óscar de Otálora,
del Diario Vasco, publicó el día 11 un artículo crítico con PGP y su
creador. El día 12 le envié la carta que adjunto a continuación:]


Granada, 12 Noviembre 2008

Estimado Sr. de Otálora,

Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la
Universidad de Granada, y dirijo extra-académicamente una web sobre
criptografía (www.cripto.es). Como aficionado a la cripto, he leído con
interés su artículo “La muerte se escribe en PGP” (disponible en web en:
http://www.diariovasco.com/20081111/politica/eta-cifra-mensajes-2008111
1.html). La he leído con interés, sí, pero también con algo de disgusto,
debo reconocerlo. En su artículo, plantea usted la criptografía como un
arma que permite a los criminales campar a sus anchas. Según ese mismo
razonamiento, deberían prohibirse los cuchillos de cocina, ya que hay
gente que los usa para matar a otra gente. También podríamos entregar
copia de nuestras llaves de casa a la policía, porque lo mismo los
criminales usan las cerraduras para impedir que alguien entre en su
casa. O más aún, seguro que en el piso de los etarras encontraron papel
higiénico, así que ¿por qué permitimos que el papel higiénico siga
vendiéndose legalmente?

La táctica que usted usa -criminalizar algo porque puede ser
usado por criminales- es muy antigua, y por desgracia eficaz. Pero no
hay más que ver los usos que se dan hoy día a la criptografía (desde las
conexiones seguras a páginas web, pasando por los teléfonos GSM o los
sistemas de apertura de puertas a distancias) para reconocer que, si
bien la criptografía puede ser usada mal, en general es una herramienta
muy útil en todos los niveles.

El primero de tales niveles es la protección de nuestra propia
privacidad. Si usted investiga un poco, encontrará mil y un ejemplos de
interceptaciones de comunicaciones ilegales, irregulares o poco ...
digamos ... restringidas. Precisamente PGP fue inventado a comienzos de
los años 90 en un esfuerzo por mantener algo de criptografía en manos
del público. En aquellos días, el gobierno norteamericano imponía
fuertes restricciones a la exportación de cripto, y parecía que la
propia criptografía civil iba a ser ilegalizada de un momento a otro
(como estuvo cerca de suceder). Es en ese contexto, el de la lucha de
los gobiernos por asegurarse comunicaciones fácilmente interceptables,
en el que nació PGP, y no en el de la guerra fría, como incorrectamente
afirma usted. Puede vd. leer sus propias palabras al respecto en
http://www.pgpi.org/doc/whypgp/es/ .

Percibo, por su parte, cierta animadversión contra Zimmermann,
el creador de PGP. Cuando afirma usted que que demandado y ganó, no
parece recordar que, en realidad, la demanda no tenía base alguna. Se le
culpaba de exportar el programa cuando a) muchas otras personas lo
habían hecho antes (en alguna ocasión legalmente), y b) nunca hubo la
menor evidencia en su contra.

En cuanto al párrafo:

“El creador del PGP, por contra, defiende un tipo de proyectos
más cercanos al anarquismo o el liberalismo más exacerbado. En este
sentido, en los escritos de Zimmermann se denuncian los intentos de la
Administración Bush por controlar el mayor número de sistemas de
comunicación entre ciudadanos. «Si la privacidad está fuera de la ley,
sólo los que están fuera de la ley tendrán privacidad», resume el
informático.”

no puedo estar más en desacuerdo. No tiene usted más que escarbar un
poco en algunos de los proyectos de interceptación más polémicos
(Echelon, la ley Patriot, las escuchas legalizadas por orden
presidencial) para caer en la cuenta de que protegernos contra nuestro
propio gobierno no es sólo tarea de paranoicos, sino que por el
contrario constituye una labor de buen gobierno y autoprotección. Por
otro lado, yo he participado en diversos proyectos legítimos que, por
uno u otro motivo, debían permanecer confidenciales en su momento, y le
aseguro que esa necesidad de protección es necesaria más allá de si es
un “proyecto cercano al anarquismo o el liberalismo más exacergado”,
como usted afirma. Por desgracia, es muy fácil etiquetar alegremente a
quienes queremos criticar que razonar sus motivaciones de modo
desapasionado.

En otro orden de cosas, tomarla con PGP es absurdo, entre otras
cosas porque los protocolos criptográficos están disponibles a
cualquiera. Un informático con dos dedos de frente (e incluso con uno)
puede tomar las instrucciones de esos algoritmos y convertirlos en
líneas de código, muy fácilmente. Borremos PGP, y aún dispondremos de
centenares de programas de encriptación para usarlos libremente.

También me gustaría expresarle mi convencimiento de que, incluso
usando PGP, los mensajes cifrados pueden ser en ocasiones recuperados.
No mediante el desciframiento directo. Pero la policía dispone de
herramientas forenses muy poderosas, que exploran el disco duro en busca
de información residual como archivos borrados (¿sabía usted que un
archivo borrado realmente sigue en el disco duro y puede ser recuperado
fácilmente?) o contraseñas guardadas en memoria caché, así como listas
de diccionario y otros procedimientos sofisticados para intentar
averiguar la clave. Se pueden insertar troyanos que capturen las
contraseñas, o bien “olfatearlas” a distancia. No basta con PGP para
proteger un mensaje en un ordenador, del mismo modo que una puerta
blindada no basta para proteger una ventana que tiene una ventana
abierta. Y usted, como periodista, debiera haberse informado mejor al
respecto.

Finalmente, su comentario:

“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún
nivel de la estructura exista una persona que controla todas las llaves.
«Sin un administrador de las claves, es muy fácil que se pierdan
documentos al olvidar una contraseña. Para que el método sea eficiente»,
continúa el experto, «el sistema tiene que tener una memoria única que
controle todas las informaciones para evitar que una parte importante de
la información se destruya».”

me resulta sencillamente increíble. Si hay algo que caracteriza PGP es
su carácter descentralizado. No hace falta ninguna persona o autoridad
central que cree o administre claves. Es cómodo, pero no imprescindible.
Usted y yo podríamos crear nuestras claves, intercambiarlas y
comunicarnos en modo seguro durante años. Yo lo hago. Y no necesito que
nadie controle mis claves. De hecho, PGP incorpora un funcionalidad que
permite, mediante una clave de descifrado adicional, descifrar mensajes
incluso si el dueño no está disponible.

Resumiendo: ni PGP es invencible en un entorno real, ni es una
herramienta imprescindible, ni es usado exclusivamente (ni siquiera
aproximadamente) por los malos. Muy por el contrario, le recomiendo su
uso, porque seguro que en más de una ocasión habrá necesitado disponer
de comunicaciones y almacenamiento de datos confidencial y seguro.

Por lo demás, estoy a su disposición para cualquier aclaración o
asesoramiento que vd. desee. Puede encontrarme en aquirantes@cripto.es,
y en la web www.cripto.es

Cordialmente,

Arturo Quirantes Sierra

[Publicado anteriormente en Kriptópolis:
http://www.kriptopolis.org/la-muerte-se-vende-como-cuchillos-de-cocina ]


=----------------------------------------------------------------------=
Hashing y búsquedas razonables
=----------------------------------------------------------------------=

En todas las películas y series norteamericanas donde aparecen
policías o abogados, una de las cosas que aparecen son las órdenes de
registro. Llamadas genéricamente "warrants", autorizan a la policía a
registrar lugares, personas u objetos en busca de pruebas. Los
seguidores de CSI están habituados a ver órdenes para ver zapatos,
registrar dobladillos de pantalones o examinar ruedas de respuesto de
automóviles. En principio exigir una orden para un zapato izquierdo nos
parece algo demasiado específico (¿qué pasa si luego la mancha de sangre
está en el zapato derecho).

Pero el engorro en especificar qué se quiere registrar, cómo y
por qué motivo, evita que los abogados defensores puedan invalidar una
búsqueda por ser demasiado amplia. Uno de los principios de la ley
norteamericana consisten en exigir lo que se necesita para la
investigación, y nada más. Viene impuesto nada menos que por la
Constitución de los Estados Unidos, cuya Cuarta Enmienda protege a los
ciudadanos contra registros no razonables ("unreasonable search"): "No
se emitirán órdenes [warrants] salvo mediante causa probable ...
describiendo particularmente el lugar que será registrado, y las
personas o cosas que serán registradas".

Indudablemente, la Cuarta Enmienda se convierte en una
limitación al trabajo de fiscales y policías, pero asimismo se convierte
en una herramienta poderosa para la protección de los derechos y
libertades individuales. Eso hace que, conforme avanza la tecnología y
se complican las relaciones entre personas, se entablen batallas
jurídicas apasionantes. ¿Una empresa, como entidad jurídica, es igual
que una persona física a efectos de privacidad? ¿Se puede registrar la
basura que ha tirado una persona? ¿Le pertenecen a una persona las
huellas dactilares del vaso que ha tocado? ¿Se puede registrar una casa
desde el exterior mediante medios no intrusivos, como examinar la
radiación infrarroja (calor) que desprende, o con un radar?

La frontera es más difícil de establecer de lo que parece
indicar el sentido común. Hay muchos procesos automáticos que
difícilmente pueden considerarse registros o búsquedas; pero, por otro
lado, ¿un registro se define por sus métodos, por sus resultados, o por
el efecto obtenido? ¿Es registro una acción llevada a cabo fuera de la
propiedad de una persona? Hasta 1967, los pinchazos telefónicos en los
Estados Unidos se consideraban legales si no se invadía el domicilio del
abonado; tuvo que ser el Tribunal Supremo el que dictaminara que una
interceptación telefónica sí era un registro, y por tanto requería una
orden judicial.

Puede uno imaginarse ejemplos actuales. Supongamos que usamos
una cámara termográfica para medir el calor generado por una casa. Si lo
hacemos desde el exterior, puede argumentarse que lo único que hacemos
es recoger radiación infrarroja emitida por su dueño sin limitaciones.
Pero si eso resulta una evidencia jurídica en un proceso judicial, la
cosa se complica. Mi defendido, diría la defensa, nunca consintió que su
calor fuese detectado, no fue informado de que se recogería en la calle,
y estaba en su casa. Intenten ustedes resolver el intríngulis. Creo
recordar que el Tribunal Supremo invalidó dicha búsqueda por violar la
Cuarta Enmienda. Pero luego dijo que las fotografías que envía una
persona para revelar pueden ser registradas por la policía sin necesidad
de orden. Como digo, un laberinto jurídico.

Por supuesto, el boletín ENIGMA no se han convertido en un
boletín de información jurídica. Si he sacado el tema a colación, es
precisamente porque la frontera gris de la Cuarta Enmienda ha tocado un
punto que ya hemos tratado desde el punto de vista técnico: las
funciones hash.

Un hash es una función que toma un archivo o texto (M) y lo
convierte en un "destilado" formado por unos cuantos bits. Es una forma
cómoda de representar dicho archivo. Estamos acostumbrados a ver
funciones hash dentro del esquema de la firma digital, ya que dicha
firma no es más que el resultado de tomar un archivo, someterlo a una
función hash y cifrar dicho hash con nuestra firma privada. Pero también
sirve para identificar archivos. Si busco una imagen en Internet, me
resultaría muy difícil. Digamos que quiero conocer el origen de una
fotografía que una vez me pasaron. ¿Cómo describirla para que Google me
la encuentre? Difícil, si se trata de una descripción verbal. Pero si en
lugar de decir "una foto que vi una vez, que tenía flores blancas sobre
un fondo de hieba, y un pequeño escarabajo a la derecha" indicamos el
valor de su hash, el sistema puede buscar la foto cuyo valor de hash
coincida con la nuestra. El hash vendría a ser algo así como nuestro
número de DNI o de pasaporte.

Pueden imaginarse el valor que esto tiene para los que persiguen
intercambios de música sin pagar, o sencillamente fotografías de
contenido pederasta. Y aquí conectamos con el caso que nos ocupan.
Recientemente, un tribunal norteamericano tuvo que dictaminar sobre si
tomar un hash de un archivo constituye una búsqueda razonable o no. El
caso tiene bastantes flecos interesantes, pero permítanme que nos
centremos tan sólo en la parte criptográfica.

Antes, los antecedentes. El acusado, al que llamaremos Antonio
(los nombres reales son públicos, pero no quiero contribuir a
airearlos), estaba de alquiler, y según parece no pagaba la renta, así
que su casero Carlos contrata a Manuel para que vacíe la vivienda.
Manuel, entre otras cosas, encuentra el ordenador de Antonio y se lo da
a su amigo Pepe. Éste se dedicó a trastear en el ordenador y, entre
otras cosas, descubrió dos videos con pornografía sexual explícita entre
menores. Asustado, borró los vídeos, y unos días después se dirigió a la
policía y les entregó el ordenador.

En este punto, la historia ya está bastante liada. Hay que tener
en cuenta si el casero estuvo dentro de la ley al coger las posesiones
del alquilado, quien por su parte denunció el hurto de su ordenador. En
cualquier caso, el detective Grissom (lo siento, no he podido resistirme
a usar ese alias) toma el ordenador y lleva a cabo un análisis forense.
Los pasos que siguió pueden ser de mucho interés para aquellos que se
han preguntado cómo se puede, en un caso de este tipo, demostrar que la
policía no ha alterado datos.

Lo primero que hizo Grissom es calcular un valor hash (usando el
algoritmo MD5) de todo el disco duro. De este modo, más tarde se podrá
detectar si ha sido cambiado siquiera un bit del disco. Dicho cálculo se
efectuó mediante un programa en modo de sólo lectura (para evitar
escrituras accidentales en el disco). A continuación, hizo un barrido
antivirus, y después de ello creó una imagen, es decir, una copia exacta
del disco duro. Usando los datos de la imagen, Grissom se dedicó a
calcular valores hash de todos los archivos del disco duro, y más tarde
los comparó con los valores hash existentes en una base de datos del
National Center for Missing and Exploited Children. De ese modo, se
puede verificar si algún archivo del disco duro es sospechoso de ser
pornográfico sin siquiera ver dicho archivo. Según la denuncia, Grissom
obtuvo 171 videos sospechosos, que tras una inspección ocular mostraron
múltiples imágenes de pornografía infantil. Finalmente, examinó los
registros del ordenador en busca de información sobre páginas web
visitadas.

El lector debe fijarse en el uso de los valores hash como
identificadores de archivo. El investigador no accedió directamente a
los archivos sospechosos hasta que obtuvo indicios razonables basados en
la comparación de valores hash con los de otros archivos. Hasta que
obtuvo ese indicio, nadie visualizó los videos, y ni siquiera se había
alterado un solo bit de la propiedad del acusado. Por otro lado, esos
datos podían ser usados para incriminarles, y el proceso de obtención de
las pruebas fue cuando menos cuestionable. Por ello, una de las
solicitudes de la defensa fue la supresión del ordenador como prueba.
Argumentaban violación de la Cuarta Enmienda.

En la resolución judicial, se indicaba que, en efecto, un
registro sin orden judicial es inaceptable, salvo casos muy concretos.
Ello no obstante, se supone que cuando no hay expectativas razonables de
privacidad la Cuarta Enmienda no te protege. Es decir, si un oficial de
policía efectúa una búsquda que no comprometa la privacidad del
interesado, dicha búsqueda no está afectada por la Enmienda. Por poner
un ejemplo tonto, si una persona está hablando en público por teléfono a
grandes gritos, y el altavoz permite a cualquier persona escuchar las
respuestas a varios metros de distancia, no debe quejarse de violación
de la privacidad.

La acusación decía que se daba el caso de "no expectativa
razonable de la privacidad". Pepe ya había accedido al ordenador de
Antonio, y el posterior registro policial del ordenador se llevó a cabo
en condiciones mucho más restrictivas (doctrina de registro privado, en
el que no se aplica la Enmienda). De hecho, Grissom ni siquiera "accedió
al ordenador", sino que se limitó a calcular valores hash. Resulta algo
cuestionable, a menos de que por "acceso" quiera referirse a exámenes
audiovisuales o alteraciones de datos. Sólo tras comparar los hashes con
valores de videos pornográficos ya conocidos resultó legal el registro
(examen visual) del contenido del ordenador.

Por contra, la defensa argumentaba que el hecho de obtener
valores hash constituyó un registro más intrusivo que el examen visual
de Pepe, y que la protección de la Cuarta Enmienda debería aplicarse
sobre sus intereses de privacidad en el ordenador. La protección, en
este caso, era un tema nuevo para ese tribunal, por lo que se dedicó a
estudiar el tema en profundidad. El tribunal estimó adecuado que Pepe se
chivase a la policía, ya que la interpretación legal de la Cuarta
Enmienda permite que un tercero a quien el acusado haya comunicado datos
se los pase a la policía. Según esto, si los investigadores policiales
no registran el ordenador de forma más invasiva que Pepe, los resultados
obtenidos no se consideran registro irrazonable.

Este es un punto importante: ¿fue el examen de Grissom más
profundo, o menos, que el de Pepe? O dicho en otras palabras: ¿es más
intrusivo un examen visual de un video, o una compilación de valores
hash? La acusación afirmó que, puesto que los agentes no miraron ningún
archivo, no hubo registro. El tribunal rechaza esta argumentación y
decreta que la obtención de hashes sin orden judicial fue una violación
de la Cuarta Enmienda"

"Para obtener los valores hash del ordenador de [Antonio], el
gobierno [la parte acusadora] retiró físicamente el disco duro del
ordenador ... o aplicó el programa EnCase a cada compartimento, disco,
archivo, carpeta y bit. Al someter al todo el ordenador a un análisis de
valores hash, cada archivo, historia de internet, fotografía y "lista de
colegas" se hicieron disponibles para revisión por parte del Gobierno.
Un examen tal constituye un registro"

El tribunal razona que la búsqueda de Pepe fue muy diferente que
la de Grissom, y por tanto no se puede aplicar la doctrina de "Pepe lo
hizo primero". Que Antonio perdiese las expectativas de privacidad con
respecto a los dos videos visualizados por Pepe no significa que los
perdiese con respecto al resto de sus archivos. La búsqueda con valores
hash no cambian la cuestión, ya que permanece en pie el hecho de que los
investigadores de la acusación obtuvieron con ella mucha más información
que la proporcionada por Pepe.

Con todo, el modo de argumentar es algo extraño. Se cita un
precedente, según el cual no es legítimo examinar todos los disquetes o
CDs de la casa de un sospechoso sólo porque en uno de ellos un
particular hubiese encontrado información sospechosa. El argumento de la
acusación de que el disco duro es un sólo disco no se aplica, dice el
juez, porque un disco duro está compuesto de diversas placas metálicas
demonimadas "platters" que. aunque funcionalmente funcionan como un solo
disco. pueden considerarse como "contenedores de datos" individuales, y
por tanto, entidades físicas que pueden considerarse como si fuesen
disquetes separados.

Incluso el examen visual de los videos sospechosos, efectuado
después de la comparación de valores hash, se considera según el juez
protegido por la Cuarta Enmienda, y por lo tanto necesitado de orden
judicial. Su conclusión es tajante: "Los funcionarios policiales, sin
exigencia y sin autorización, llevaron a cabo una investigación no
limitada, sin orden judicial del ordenador de una persona, a pesar del
hecho de que una orden podía haberse obtenido con facilidad"

De todos modos, Antonio no debe descorchar el cava. Aunque no
pueda usarse la evidencia obtenida del su ordenador, no lo tiene nada
fácil. La policía también hizo sus deberes a la antigua usanza e
interrogó al sospechoso en su casa, y Antonio terminó confesando que fue
él quien introdujo esos videos en su ordenador. Su abogado intentó
invalidar la confesión, pero el juez estimó que la hizo de modo
voluntario y sin coerción, así que el proceso judicial continúa. Entre
su declaración y el testimonio de testigos, dudo que Antonio salga
airoso del caso.

La decisión de que los datos obtenidos del ordenador no sean
admitidos como prueba van más allá del interés en situaciones similares.
Como método de investigación legal, el análisis mediante comparación de
valores hash se considera en iguales términos que el examen visual. Esto
me parece adecuado, ya que permitiría obtener pruebas, sin orden
judicial, que podrían condenar a un acusado o cuando menos influir
fuertemente en un proceso. El cálculo de valores hash no puede apelar a
su carácter no intrusivo para eximirse de protecciones tipo Cuarta
Enmienda. Un valor hash puede ser usado para determinar el carácter
legal o ilegal de un archivo (no de forma perfecta, pero puede ayudar en
ocasiones), y por tanto un acusado debería ester protegido mediante las
mismas salvaguardia legales que se otorgan a registros domiciliarios o
interceptaciones telefónicas.

Con la proliferación del tráfico en Internet, el uso de
funciones hash será cada vez más extendido, y no sólo en investigaciones
de tipo penal. Ciertamente, se planteará ahora la conveniencia de que la
policía obtenga permiso judicial para obtener valores hash, y no sólo en
casos como el visto aquí, sino también para examinar material
audiovisual de tipo pederasta que circule o se pueda intercambiar por
Internet. Las investigaciones judiciales serán más difíciles a partir de
ahora, pero a cambio quedarán salvaguardados nuestros derechos de
privacidad.

Tal vez usted crea que no le concierne porque no tiene videos
porno en casa. ¿Pero cómo cree usted que la industria audiovisual
intenta controlar la piratería informática? Si una sociedad tipo SGAE
penetra en las redes p2p y comienza a compilar listas de valores hash,
podrá determinar quién se está descargando tal o cual video. Con tal
información (que un usuario legítimo de p2p usa para localizar el
archivo de su interés), pueden dirigirse al proveedor de servicios para
que nos amenace con cortarnos la conexión, o incluso iniciar un
procedimiento legal. Ya hay diversas iniciativas, o intentos, para
desconectar a los usuarios que se descargen material no autorizado (la
última en Francia). ¿Cómo podrá llevarse a cabo sin órdenes judiciales?
Repita conmigo: funciones hash.


=----------------------------------------------------------------------=
Ataques WiFi (I): WEP
=----------------------------------------------------------------------=

En el boletín ENIGMA nº 52, mencionamos los últimos ataques
contra el sistema de encriptación WEP, que protege (es un decir) las
comunicaciones Wi-Fi de los router inalámbricos tan de moda hoy día. La
solución, según todos los expertos, consistía en pasarnos al mucho más
seguro sistema WPA. Sin embargo, incluso eso vamos a tener que
replantearnos ¿El motivo? Parece que hasta el poderoso WPA está
sucumbiendo a los ataques criptoanalíticos. Vamos a describir dicho
ataque, y en el proceso aprovecharemos para arrojar un poco de luz sobre
el modo en que funcionan tanto WEP como WPA. Por supuesto, evitaremos
los escollos más engorrosos.

Antes, una breve introducción. La familia de normas técnicas
para comunicaciones inalámbricas reciben el nombre genérico de estándar
IEEE 802.11. En un principio, el acceso estaba protegido mediante el
estándar Wireless Equivalent Privacy (WEP). Básicamente, WEP utilizaba
dos algoritmos: RC4 para el cifrado y CRC-32 (Código de Redundancia
Cíclica) para asegurar la integridad del mensaje. Usar CRC-32 permite,
en teoría, detectar si se ha alterado el flujo de datos. Por desgracia,
el carácter lineal de CRC-32 y el modo en que está implementado en WEP
permite efectuar ataques activos, es decir, alterar bits del mensaje
cifrado y luego modificar el valor de CRC-32. De esta forma se puede
jugar con el mensaje transmitido sin que se detecte la alteración.

Centrémonos ahora en el cifrado en sí. RC4 es una cifra de flujo
(Stream Cipher) que, a partir de una clave K, genera una corriente de
números pseudoaleatorios a la que llamaremos "flujo pseudo aleatorio".
Dicho flujo se suma (XOR) con el texto llano para dar texto cifrado.

Uno de los problemas de RC4 es que, si sabemos algunos bits de
la clave K, es relativamente fácil obtener los otros. Recalco lo de
"relativamente fácil" en el sentido de que puede no ser fácil en
absoluto. Dependiendo de la cantidad de clave que se conozca, y de lo
listo que sea uno, se pueden montar ataques para averiguar K, o cuando
menos, para descartar las claves menos probables.

Segundo problema: si dos mensajes se cifran con la misma porción
del flujo de clave, es un juego de niños obtener en texto llano. Es, por
tanto, importante que dicho flujo no se repita. El problema es que, en
una red inalámbrica, todos los intercomunicadores usan la misma clave K
("clave raíz"). Puede que no sea un problema en una instalación casera
con un solo ordenador, pero si tenemos más de uno aparece el problema; y
no les digo nada en un entorno corporativo.

Para su uso en WEP, el problema se multiplica, ya que cada
paquete de datos ha de cifrarse de modo independiente. Para ello, el
emisor envía un paquete de datos que consta de un vector de
inicialización (IV) y la clave en sí (K). De ese modo el paquete
compuesto IV/K funciona como clave para cada paquete de datos. El vector
de inicialización IV tiene una longitud de 24 bits. En lo que respecta a
la clave K, recordemos que cuando se desarrolló WEP había restricciones
en EEUU a la exportación de material criptográfico, de modo que RC4
tenía dos sabores: el casero (104 bits) y el internacional (40 bits).
Eso nos da claves compuestas de 64 y 128 bits, respectivamente.

Un punto a tener en cuenta es que RC4 no dispone de capacidad
para generar vectores de inicialización, de modo que era el algoritmo
WEP el que los producía. El esquema de funcionamiento es el siguiente.
El emisor toma la clave compuesta IV/K (vector de inicialización mas
clave) y lo usa con el algoritmo RC4. El flujo pseudoaleatorio se suma
(XOR) al texto llano para dar el texto cifrado. Dicho texto, junto con
el IV, se transmite por el aire. En el otro extremo, el receptor toma el
IV que ha recibido, lo junto con la clave K que ya poseía, y reconstruye
el flujo pseudoaleatorio, hace una suma XOR con el texto cifrado y
obtiene de nuevo el flujo llano.

Es decir, WEP no es más que RC4 con un añadido (el IV) para
poder cifrar cada paquete por separado. Y aquí viene la parte que pone
los pelos de punta. Ambas partes conocen la clave secreta K, y no se la
dan a nadie. Sin embargo, durante la transmisión del texto cifrado,
también ha de enviarse el vector de inicialización. !IV se envía en
llano, sin cifrar! Esto significa que le estamos dando al adversario 24
bits de la clave compuesta. Es como si el director del banco le dijese
al cliente que acaba de salir de la sucursal algo así como "!eh, señor
López!, se me olvidó decirle que la primera cifra del PIN de su tarjeta
es el tres." Que levante la mano quien no desearía volver y meterle la
tarjeta en el gaznate al bocazas. Puesto lo mismo. Incluso en la versión
doméstica, eso significa reducir de un plumazo la seguridad a la de una
clave de 104 bits. Sigue siendo mucha seguridad, pero alguien que, de
entrada, te reduce las claves posibles en un factor 2^24 no parece tener
mucha idea del asunto.

El asunto es peor de lo que nos imaginamos. Un IV de 24 bits
significa que hay tan sólo 2^24 posibles valores para el IV. Si decimos
que 2^24 = 16.777.216, suena mucho. Pero imaginemos que cada paquete
cifrado tenga una longitud de 1 kilobyte. Una red transmitiendo a 11 Mbs
agotaría todos los posibles IV en menos de cuatro horas. Para rematar la
faena, algunas tarjetas wifi usan los IV en forma secuencial: toman el
primer IV como cero cuando la tarjeta se resetea, y luego va
incrementando los IV en valores de uno. Como golpe final, el propio
estándar 802.11 se limita a afirmar que cambiar el IV de un paquete a
otro !es algo opcional! Si en este punto se pregunta usted qué utilidad
tienen los IV en la seguridad, ya somos dos.

La debilidad de WEP en lo que toca a los IV permite diversos
tipos de ataques pasivos, en los que el atacante se limita a "esnifar"
paquetes de datos. Cuando suma (XOR) dos de esos paquetes que comparten
IV, el resultado es igual que el de hacer XOR con los dos textos llanos
correspondientes, lo que da información sobre dichos textos. El tipo de
archivos, y el mismo carácter del tráfico por IP, hace que dicho tráfico
sea bastante predecible. Y no olvidemos que el IV forma parte de la
clave usada por RC4, de modo que conocerlos nos permite extraer
información sobre el resto de la clave.

Los ataques contra WEP se centraron, por supuesto, en el
carácter público de los IV. Se transmiten sin cifrar, así que no hay más
que poner la oreja. Al mismo tiempo, podemos intentar imaginarnos los
primeros bytes en texto llano de los paquetes transmitidos, ya que son
hasta cierto punto predecibles. Los primeros ataques requerían una gran
cantidad de paquetes (unos cinco millones), pero el personal se fue
espabilando muy pronto. En 2004, una persona con el seudónimo Korek
publicó en un foro de Internet un conjunto de ataques criptoanalíticos,
que tenían probabilidades de éxito de entre el 5% y el 14%, y que
estaban basados en diversas correlaciones que encontró entre los
primeros L bits de la clave RC4 y los primeros bytes del flujo
pseudoaleatorio generado. Otro nuevo ataque, de 2007 ("WEP, inseguridad
inalámbrica", Boletín ENIGMA nº 52) solamente necesitaba unos 50.000
paquetes de datos para tener un 50% de probabilidades de éxito. Ya
estamos hablando de apenas unos minutos en una red típica, y de escasos
segundos de CPU para computación. Y mejor lo dejamos aquí, porque dan
ganas de llorar. Baste decir que, en la actualidad, existen paquetes
informáticos ("WEP Cracker") que efectúan esta labor de modo automático,
sin que el usuario tenga que saber nada de criptoanálisis.

Queda claro que WEP queda descartado cuando mencionamos las
palabras "seguridad inalámbrica". Según Bruce Schneier, muchos productos
criptográficos inútiles han sido implementados por gente que leía su
libro Applied Cryptography. En este caso, bien parece que WEP haya sido
diseñado por gente que no se leía ni la página de crucigramas. El único
motivo por el que se usa todavía es por inercia: las telecos no se
quieren complicar la vida, y los usuarios ni saben del tema ni les
preocupa. Por supuesto, los lectores del Boletín ENIGMA van en saco
aparte.


=----------------------------------------------------------------------=
Ataques WiFi (II): WPA
=----------------------------------------------------------------------=

Vista la forma en que WEP hacía aguas, se creó un grupo trabajo
para resolver el fallo. El problema que apareció fue el común a muchos
otros casos en los que hay que mejorar algo. Y el problema es: ¿creamos
algo nuevo, o bien mejoramos algo antiguo? Ambas soluciones tienen sus
peros. Mejorar algo antiguo es como aplicar un parche: a veces va bien,
a veces mal, en ocasiones es peor el remedio que la enfermedad. En
cuanto a crear algo nuevo, hay que contar con que no siempre salen las
cosas bien a la primera, lo que significa mucho tiempo para
comprobaciones y verificaciones, y mientras tanto ¿qué hacen los
usuarios?

El grupo de trabajo adoptó ambas soluciones. Mientras por un
lado se preparaba un sistema nuevo, por otro se adaptaba el ya existente
y se mejoraba. Esto último permite que los sistemas que no puedan
sustituirse se puedan al menos mejorar. Pues manos a la obra, dijeron, y
desarrollaro un "parche" que permitía solventar los problemas derivados
de un incorrecto uso de los IV. A dicha solución la llamaron Protocolo
de Identidad Temporal de Clave, o TKIP (Temporal Key Identity Protocol).
El protocolo TKIP, unido al viejo algoritmo RC4, constituyó un nuev
sistema llamado WPA, o Acceso Protegido Wi-Fi (Wi-Fi Protected Access).

Paralelamente a WPA, que podemos considerar como un sistema de
migración temporal ("legacy"), se desarrolló un segundo sistema en el
que se cerraban diversos agujeros de seguridad. En lugar del cifrado en
flujo RC4, decidieron sustituirlo por AES, auténtica "artillería pesada"
criptográfica. Para evitar los problemas de integridad debidos a CRC-32,
se decidió utilizar AES en el modo de encadenamiento conocido como CBC,
en el que unos bloques cifrados depende de los bloques anteriores (se
recomienda refrescar la memoria con el artículo "Encadenando bloques",
del Boletín ENIGMA 64). La combinación de AES y el encadenamiento CBC
(que recibe aquí el nombre de protocolo CCMP) fortalece la seguridad del
sistema hasta cotas estratosféricas. Ahora sí que estamos hablando en
serio.

Por desgracia, la necesidad de incluir los "sistemas legado"
para asegurar la compatibilidad con las tarjetas antiguas hizo que el
protocolo TKIP siguiera funcionando. Ahora tenemos dos soluciones: WPA y
WPA2. La diferencia estriba en que WPA solamente permite el uso "legado"
(RC4 y TKIP), en tanto que WPA-2 permite ambas soluciones (RC4+TKIP y
AES en modo CCMP, a elección).

Y decimos "por desgracia", porque este mes se ha publicado un
ataque contra WPA. Bajo el título "Ataques prácticos contra WEP y WPA",
los investigadores Martin Beck y Eris Lewis, de las universidades
técnicas de Dresde y Darmstadt, arremeten contra el sistema TKIP. Este
protocolo es una versión mejorada del esquema de claves de WEP. Incluye
una función para "mezclar" la clave K y el vector de inicialización IV.
El código de reduncancia CRC-32, usado anteriormente para verificar la
integridad del mensaje, es complementado por un comprobador de
integridad (MIC, Message Integrity Check) llamado MICHAEL, de 64 bits.
No es más que un parche para WEP, pero de ese modo los sistemas antiguos
pueden ser mejorados mediante una actualización de software o de
firmware.

Beck y Lewis aprovecharon algunas rendijas en el sistema para
abrirse camino. La primera grieta es una ingeniosa táctica llamada
"ataque chopchop", que ya usaron para WEP. Imaginemos un paquete de
datos cifrado, que lleva un "checksum" o valor de CRC-32 para asegurar
la integridad del paquete. En el chopchop, el atacante toma el paquete,
retira el último byte (llamémoslo R), lo sustituye por otro que ha
creado y calcula la "checksum", esto es, el valor correspondiente al
paquete con el nuevo byte. A continuación, envía el nuevo paquete al
punto de acceso, y comprueba si éste lo acepta. Si es así, el valor de R
que ha creado es el correcto; si no, prueba con otro R.

Es algo así como preguntar al punto de acceso "¿es este el byte
correcto?" Si la respuesta es afirmativa, ya sabemos cuál es el último
byte del paquete. Y como no hay ningún control por parte del punto de
acceso sobre cuántos paquetes son rechazados, el atacante puede seguir
hasta encontrar con el valor de R que "cuela".

El problema sería análogo al de un ladrón que intenta sacar
dinero del cajero con tarjeta ajena. Si hubiera una forma fácil de
probar las diez mil combinaciones, no hay más que darle al botón y
esperar. Para evitarlo, los cajeros automáticos imponen una espera entre
un intento y otro, y se bloquea tras tres intentos equivocados. Para
evitarlo, el algoritmo Michael (que sustituye al CRC-32) comprueba si
hay dos "checksum" erróneas en un intervalo de sesenta segundos. Si eso
sucede, el punto de acceso proceede a resetear el sistema durante un
minuto y luego solicita un nuevo intercambio de claves para todos los
clientes.

Aun así, hay ocasiones en las que se puede lanzar un ataque
chopchop. Eso se debe a que el checksum generado por Michael se incluye
en el paquete que, a su vez, es sometido al checksum de WEP. Esto
permite montar un chopchop sin que Michael se entere.

Las condiciones son estas: supondremos que se utiliza el
protocolo TKIP; la dirección IP es, hasta cierto punto, conocida (algo
así como 150.168.0.XX); el sistema TKIP utiliza un intervalo de cambio
de claves elevado (digamos una hora); y la red soporta el llamado QoS
(Quality of Service), que permite que permite que los datos viajen por
hasta ocho canales distintos.

Lo primero que hacemos es esnifar los paquetes hasta encontrar
uno de tipo ARP. Los paquetes ARP (Address Resolution Protocol),
responsables de asociar una dirección IP con una tarjeta Ethernet (MAC),
son fáciles de identificar por su longitud. En un paquete ARP se conocen
todos los datos salvo el último byte de la dirección IP (la dirección
ethernet es conocida ya que se envía sin cifrar) . Cuando está cifrado,
desconocemos otros 12 bytes: los del checksum Michael, que llamaremos
MIC (Message Integrity Check, 8 bytes), y los del checksum de WEP, que
llamaremos ICV (4 bytes).

MIC y ICV forman los últimos 12 bytes del texto llano. ¿Cómo
"chochopearlos" sin que salten las alarmas? TKIP tiene dos contramedidas
contra los ataques chopchop. En primer lugar, como hemos visto antes,
dos valores MIC incorrectos en menos de un minuto dan lugar a un reseteo
del sistema, seguido del envío de nuevas claves. En segundo lugar, cada
paquete lleva un contador numérico. Si el sistema tiene su contador en
el número 1540, y recibe un paquete con un número inferior (digamos,
1538), el paquete se descarta.

La solución es sencilla: hagamos el ataque por un canal distinto
a aquel por el que se recibió el paquete. Escogeremos para ello un canal
con poco tráfico, de modo que lo más probable es que tenga su contador a
un nivel bajo, más bajo que el número del paquete. De ese modo, la
segunda alerta anti-chopchop no se activa. En cuanto a la primera, basta
con espaciar los ataques más de un minuto. Así, en poco más de 12
minutos, habremos averiguados los 12 bytes desconocidos. Una vez
conocido el valor de MIC, podemos usar el algoritmo MICHAEL para
descubrir cuál ha sido la clave que ha usado.

En este punto, el atacante ha conseguido no sólo recuperar el
MIC, sino que también conoce el flujo pseudoaleatorio. Con él, podrá
enviar paquetes falsos al sistema, con la salvedad de que hay que usar
un canal de poco tráfico (es decir, cuyo contador sea más bajo que el
del paquete falso). Como tenemos ocho canales, alguno habrá que se pueda
usar. No es difícil, ya que en la mayoría de las redes todo el tráfico
se envía por el canal 0, de forma que tenemos los canales 1-7 a nuestra
disposición. El resultado no es espectacular, ya que solamente estamos
atacando un pequeño paquete de datos llamado ARP. Pero pueden montarse
ataques con paquetes ARP falsificados ("ARP poisoning"), cuyo resultado
sería el establecimiento de un canal del atacante hasta el cliente.

Los autores de este ataque sugieren, como contramedida, reducir
el intervalo tras el cual el protocolo TKIP cambia las claves, hasta uno
o dos minutos como mucho. Afirman que el problema puede fijarse sin
mayores complicaciones. Pero su mejor receta es la más obvia:
olvidémonos de TKIP y usemos la versión fuerte, la que usa AES.

Por desgracia, buena parte de la prensa entendió mal el ataque
de BEcky Lewis. Algunos decían que eran las claves de cifrado (las que
llamamos K anteriormente) las que habían sido recuperadas. Había incluso
quien se mesaba los cabellos, desesperado porque el supuestamente
indescifrable protocolo WPA había saltado por los aires. No hay que
sacar las cosas de quicio. Se trata de un ataque parcial contra el
sistema TKIP, que forma parte de WPA, pero sólo eso. Eso sí, habrá que
cambiar de WPA a WPA2. Y confiar en que resista futuros ataques.


<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
LIBERTAD VIGILADA
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>

=----------------------------------------------------------------------=
Lucha contra el crimen y espionaje
=----------------------------------------------------------------------=

[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con
permiso del autor]

Segunda parte, capítulo 24:

Los terroristas saben perfectamente que sus comunicaciones son
vulnerables, por eso utilizan métodos de cifrado, cambian las tarjetas a
los teléfonos móviles, llaman desde cabinas telefónicas, hablan en clave
o usan a personas como correos para transmitir la información. Ya hemos
visto que tienen su propia organización de inteligencia, uno de cuyos
trabajos consiste en analizar diariamente la prensa para detectar
posibles objetivos, aunque también seleccionan otras noticias que pueden
afectar al funcionamiento criminal de su organización. Por supuesto, en
ETA tomaron buena nota de la autorización española a los espías
norteamericanos para actuar en territorio nacional. Asimismo, también
leyeron el reportaje publicado por Gordon Thomas en El Mundo, cuando
desveló que Estados Unidos espía a ETA con un satélite. Sea o no cierta,
la noticia seguramente hizo un flaco favor a la lucha antiterrorista. Es
muy posible que los etarras también hayan leído informes y documentos
sobre "Echelon" y sobre los últimos métodos policiales para acorralar a
los criminales interceptando sus comunicaciones. De no ser así, no se
entenderían las medidas que tomaron en 2001 para protegerse.

Según publicó José Luis Barbería en el diario El País en
diciembre de 2001, "el 11 de septiembre le ha pillado a ETA huyendo de
Internet. A estas alturas -decía el reportaje- ya tiene pruebas de que
su programa de comunicación interna ha sido agujereado por los servicios
de inteligencia españoles y extranjeros. El sistema, en apariencia
perfecto, que durante años le ha garantizado el secreto absoluto y la
simultaneidad de las comunicaciones, es cada vez más un espacio
vigilado, una trampa, un terreno dúctil, blando, arenoso, que guarda las
huellas de su paso y marca el rastro. Con la ayuda de las empresas
matrices, la Policía está descifrando sus claves y códigos en la Red y,
roto el blindaje, el sistema ETA-Internet se asemeja cada vez más a un
queso gruyère. Al igual que Osama ben Laden, que, por lo visto, recurre
últimamente al secular sistema de los mensajeros de confianza, ETA está
volviendo a los zulos y buzones de siempre. No se fía de las nuevas
tecnologías. Para ella, Internet ha dejado de ser El Dorado de finales
del siglo pasado, y tampoco la telefonía móvil, tan práctica, le ofrece
ya las garantías de años atrás". [1]

Así pues, ETA es consciente de que se están aplicando métodos
mucho más potentes para adelantarse a sus actos criminales. En la lucha
antiterrorista se ha dado un paso de gigante, ya que la Policía, antes,
perseguía a los terroristas una vez que habían cometido sus crímenes,
mientras que ahora se trabaja con métodos preventivos para tratar de
anticiparse a sus acciones. En ese contexto, parece muy probable que se
esté utilizando el entramado de espionaje de señales del Ejército
norteamericano contra ETA. También es posible que las autoridades
españolas estén usando otros mecanismos similares, aunque quizá menos
sofisticados, con el mismo fin. En cuanto a las medidas aprobadas por
las instituciones europeas sobre la intervención de las comunicaciones,
parece obvio que en España se han adoptado inmediatamente para poderlas
aplicar en la persecución contra ETA. Aunque es cierto que esta
tecnología no es perfecta, como se demostró sobradamente el 11-S, y que
el necesario "factor humano" puede desbaratar su capacidad, también es
lógico pensar que, si está ahí, es porque funciona.

Fuentes del Ministerio de Defensa declinaron hacer comentarios a
propósito de "Echelon" cuando solicitamos una entrevista con el ministro
Federico Trillo-Figueroa para documentar este libro. Oficialmente, este
asunto se desconoce, dijeron. La entrevista fue denegada. Sin embargo,
el titular de la cartera de Defensa acudió el 14 de febrero de 2002 al
programa "El Círculo a Primera Hora" de Telemadrid, la televisión
pública de la Comunidad de Madrid. Los entrevistadores le preguntaron
sobre la cooperación estadounidense en materia antiterrorista y,
concretamente, por la cesión de "datos" obtenidos por la comunidad de
inteligencia norteamericana. El ministro dijo que tenía que ser
"obviamente muy discreto" en este terreno, pero afirmó que "no se trata
de que los americanos nos den los datos. Se trata -dijo- de que ponga a
nuestra disposición la capacidad tecnológica que ellos tienen para
determinadas acciones. Y eso ya lo están haciendo. Desde hace unos
meses, lo están haciendo", explicó, para concluir calificando de
"enorme" y "sin precedentes" el avance en esta materia. [2]


[1]. José Luis Barbería, "La red financiera del terrorismo
vasco". El País. Domingo 2 de diciembre de 2001.

[2]. El Círculo a Primera Hora. Telemadrid. Emisión del 14 de
febrero de 2002. Palabras textuales de Federico Trillo-Figueroa tomadas
del vídeo facilitado por el Departamento de Prensa de Telemadrid, S.A.


========================================================================

El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative
Commons "Reconocimiento-NoComercial-CompartirIgual". Se permite su libre
copia, distribución y comunicación para fines no lucrativos, citando
nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas
reducida y completa:
http://creativecommons.org/licenses/by-nc-sa/2.5/es/deed.es
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba
cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba
cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm


(c) Arturo Quirantes 2008.

========================================================================

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i

iQA/AwUBSTLTFQ7Y43Xkw2u9EQLCBACg7/kvdy9qnJiNh9TONEruaWLJmV0AoPjg
M2R3dxp2iwtMNiWZ3XEhsb3c
=kzHG
-----END PGP SIGNATURE-----

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=