Boletn del Criptonomicn
Ao I, n 9
24 de junio de 1998

******************************************
Se cierne una terrible amenaza sobre la comunidad de investigadores y entusiastas de la criptografa y la seguridad de los sistemas informticos. Nuevos planes del gobierno de USA podran prohibir el estudio y publicacin de resultados sobre la vulnerabilidad de productos comerciales, retrocediendo a la poca en que el secretismo amparaba a los criptosistemas.

*******************************************

En este boletn:
1. El Gobierno de USA amenaza seriamente la criptografa
2. Crackeador de passwords para NT
3. Caracterstica de Outlook Express que puede colgar a los servidores de correo
4. Cmo hacer Pings seguros
5. El boletn de Freefire
6. Fe de erratas
7. Informacin sobre suscripcin y cmo borrarse

******************************************
1. El Gobierno de USA amenaza seriamente la criptografa
 
El Gobierno de los Estados Unidos est barajando la posibilidad de aceptar un tratado propuesto por la Organizacin Mundial de la Propiedad Intelectual que tornara ilegal y sujeto a penas dursimas (multas de $500.000 a $1 milln y prisin de 5 a 10 aos) el uso de programas o prcticas que vulneren los esquemas de seguridad de los productos de una compaa sin el permiso expreso de la misma. Slo la propia compaa podr legalmente sondear la seguridad de sus sistemas o contratar a terceros para que lo hagan. Es decir, estara prohibido publicar resultados acerca de la vulnerabilidad de productos comerciales y esquemas de cifrado. Listas como Bugtraq, NTBugtraq y Netware Hack se volveran ilegales. Incluso productos como Net Nanny, CyberPatrol y otros de la familia entraran en la ilegalidad. Se avecinara la era de la seguridad a travs de la oscuridad.

El fin de la comunidad de usuarios que prueba productos e informa en las listas de distribucin y foros de discusin sobre los bugs y agujeros que descubren?

Dnde se terminar si se acepta el tratado? Cunto tiempo tardaran en llegar a Espaa regulaciones semejantes?

Podis ampliar la informacin en:

http://www.zdnet.com/pcweek/news/0622/22wipo.html
http://www.zdnet.com/zdnn/content/inwk/0523/326948.html
 
******************************************
2. Crackeador de passwords para NT

L0phtCrack 2.0 para Win95/NT es un crackeador de passwords que funciona desde el registro, los archivos de reparacin y monitorizando la red.

L0phtCrack fue creado en un principio como una herramienta de investigacin experimental. Desde entonces, en respuesta a las peticiones de numerosos administradores de sistema, auditores de seguridad y hackers en general, L0phtCrack ha ido creciendo y aportando nuevas caractersticas, convirtindose en una potente y sencilla herramienta. Los creadores lo distribuyen como shareware, con un perodo de prueba de 15 das. Merece la pena.

http://www.l0pht.com/

******************************************
3. Caracterstica de Outlook Express que puede colgar a los servidores de correo

Una nueva caracterstica del Microsoft Outlook Express (que por cierto, en Unix existe desde hace muchos aos) para ayudar a los usuarios a enviar correos con ficheros agregados muy grandes puede tener efectos indeseados y llegar a colgar los servidores de correo.

Con el fin de que los usuarios de Outlook Express salven las limitaciones que muchos administradores imponen a los correos, los ficheros muy grandes se dividen en varios ms pequeos, tan pequeos como de 16Kb. En estas circunstancias, un fichero de muchos Mb podra transformorse en muchos miles de mensajes separados, todos ellos destinados al mismo buzn.

De esta forma,los usuarios de Outlook Express contaran, sin saberlo muchas veces, con una herramienta de "mail bombing", para inundar de mensajes un servidor de correo, por ejemplo enviando ficheros gigantescos de decenas de Mb, segmentados en e-mails de 16Kb cada uno.

Esta capacidad de enviar correos segmentados no es nueva, lo que s es nuevo es la facilidad con que puede hacerse y la posibilidad de que muchos usuarios no sean conscientes de los problemas que causan en la Red cuando usan el correo para transmitir ficheros monstruosos de 30Mb en vez de usar el servicio de FTP o la WWW. 

Ms informacin en:

http://www.bugnet.com/alerts/bugalert.html
http://www.infoworld.com/cgi-bin/displayStory.pl?980615.wnmsbug.htm

******************************************
4. Cmo hacer Pings seguros

El Ping fue diseado con la mejor de las intenciones, para permitir a los administradores y usuarios comprobar el estado de sus redes. Desgraciadamente, con frecuencia se asocia a los ataques de denegacin de servicio (DoS), por lo que a menudo est deshabilitado. El problema es que con el ping estndar distribuido en la mayora de los sistemas, un usuario cualquiera puede causar ataques DoS incluso sin la opcin de inundacin -f. 

El objetivo de este programa es permitir la actividad benigna de usuarios con motivos lcitos mientras se evita su uso por usuarios malintencionados.

SecurePing:

http://www.sy.net/security

****************************************** 
5. El boletn de Freefire

Acaba de crearse el boletn de Freefire dentro del proyecto Freefire con la finalidad de ayudar a los desarrolladores a construir cortafuegos y soluciones de seguridad en las tecnologas de la informacin, basndose en herramientas gratuitas. Para informacin adicional, podis visitar su pgina en:

http://www.inka.de/sites/lina/freefire-l/index_en.html

******************************************
6. Fe de erratas

En el boletn anterior, en el artculo 2, donde suministr la direccin de

ESQUEMA NACIONAL DE SEGURIDAD DE LOS SlSTEMAS DE INFORMACIN: http://www.map.es/csi/pg340s.htm

debera aparecer:

http://www.map.es/csi/pg3405.htm (Esta es la Buena)

Perdonad por las molestias.

******************************************
7. Informacin sobre suscripcin y cmo borrarse

Para borrarse de este servicio basta con enviar un correo a la direccin cripto-request@iec.csic.es con el siguiente mensaje (sin asunto o "subject"):

leave

desde la misma cuenta de correo en la que recibs el boletn.

Tenis ms informacin en la pgina

http://www.iec.csic.es/criptonomicon/suscripcion.html


******************************************

(C) Copyright 1998 Criptonomicn
http://www.iec.csic.es/criptonomicon

Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del CSIC por Gonzalo lvarez Maran
email: gonzalo@iec.csic.es