-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Boletn del Criptonomicn
http://www.iec.csic.es/criptonomicon
Ao I, n 43
10 de marzo de 1999

******************************************
Susurros desde la Cripta
  1. Microsoft: el Gran Hermano nos vigila?

Las noticias de la semana
  2. Un cdigo generado por Windows permite rastrear documentos
  3. Descubren un nuevo fallo de seguridad en Windows NT
  4. El registro online de Windows 98 podra estar violando la
intimidad
  5. Nuevos anuncios de congresos

Candados, cortafros y otras herramientas
  6. El vigilante de Omniquad

Parada y fonda
  7. Restriccin sin censura

Consejos y trucos
  8. Cmo controlar por dnde navegan los nios

Novedades en el Criptonomicn
  9. Teletipo del boletn

Hablan los expertos
  10. Los secretos del comercio electrnico en Espaa

Sobre el boletn del Criptonomicn
  11. Informacin sobre suscripcin y cmo borrarse
  12. Nmeros atrasados
  13. Firma PGP

******************************************
Susurros desde la cripta

******************************************
1. Microsoft: el Gran Hermano nos vigila?

Cuando nos enfrentamos a gigantes de la talla de Microsoft, uno nunca
sabe a qu atenerse.

Actualizaciones on-line que vulneran la intimidad de los usuarios,
firmas personales en los documentos de Office que quedan ya unidas a
ellos revelando el ordenador con los que se crearon, ficheros ocultos
e indestructibles en el disco duro que almacenan rutinariamente las
andanzas de los usuarios del ordenador, programas de la competencia
que no funcionan correctamente o que se desinstalan solos, juegos y
animaciones ocultos en los productos Office que surgen al apretar una
secuencia determinada de teclas, agujeros de seguridad que ya no se
sabe si son fallos o estaban ah con un oscuro propsito... En fin,
suficientes incidentes para escribir el guin de una pelcula de
espas. Y sin embargo, aqu est la mayor parte del mundo occidental,
diariamente usando el mismo sistema operativo.

En fin, si Orwell levantara la cabeza y escribiera su libro de nuevo,
tal vez lo titulara "Windows 98".

******************************************
Las noticias de la semana

******************************************
2. Un cdigo generado por Windows permite rastrear documentos

Segn un artculo publicado por el diario New York Times, Microsoft ha
reconocido que existe un fallo de programacin en Windows 98, que
permite identificar al autor de cualquier documento generado por los
programas de la propia compaa, mediante un cdigo interno generado
por el propio sistema operativo, una vez registrada la copia del
mismo.

La noticia completa en:

http://labrujula.net/marzo/lunes,8,8.htm

******************************************
3. Descubren un nuevo fallo de seguridad en Windows NT

Microsoft ha reconocido la existencia de un fallo de seguridad en su
sistema operativo Windows NT. El bug, descubierto por una empresa de
informtica de la India, Cybermedia Software, permite a un hacker
tener acceso a archivos y directorios restringidos con contrasea,
mediante un software especfico. Segn fuentes de la propia Microsoft,
el momento en el que un usuario malintencionado puede tener acceso a
estos recursos protegidos, es cuando se activa el protector de
pantalla del sistema.

La noticia completa en:

http://labrujula.net/marzo/miercoles,10,1.htm

******************************************
4. El registro online de Windows 98 podra estar violando la intimidad
de sus usuarios

Cuando un usuario registra su copia de Windows 98 a travs de
Internet, el sistema enva a Microsoft una serie de informaciones
sobre su ordenador que el usuario no ha autorizado previamente. Segn
informa "The New York Times", la empresa ha admitido que algunos datos
adicionales podran ser enviados si el usuario activa determinada
configuracin del Globally Unique Identifier.

La noticia completa en:

http://www.noticias.com/noticias/1999/9903/n99030913.htm

******************************************
5. Nuevos anuncios de congresos

=====================================
Security Conference Announcement: the Black Hat Briefings '99

July 7 - 8th, Las Vegas, Nevada

Toda la informacin en:

http://www.blackhat.com/

Bruce Schneier asistir como ponente!

=====================================
Peticin de ponencias para:

CQRE [Secure] Congress & Exhibition

Duesseldorf, Germany, Nov. 30 - Dec. 2 1999

Toda la informacin en:

http://www.secunet.de/forum/cqre.html

******************************************
Candados, cortafros y otras herramientas

******************************************
6. El vigilante de Omniquad

Omniquad Desktop Surveillance es una til herramienta para la gestin
de los recursos de una red, que permite saber y controlar lo que est
ocurriendo dentro de la propia red: lectura de documentos
confidenciales, trabajo con nminas, juegos, acceso a materiales
ilcitos, navegacin y un largo etctera.

Permite almacenar todos los datos de la monitorizacin en una base de
datos y elaborar estadsticas de uso de la red e incluso los perfiles
de los usuarios.

Se puede encontrar una descripcin completa del producto y el programa
a descargar en:

http://www.omniquad.com/omniquad_desktop_surveillance.htm

******************************************
Parada y fonda

******************************************
7. Restriccin sin censura

Del mismo modo que no todo el contenido que se emite por TV es
apropiado para todas las audiencias, no todas las pginas web estn
hechas para todos los ojos: sexo, violencia, lenguaje de mal gusto,
desnudez, racismo... A la censura en Internet le gustara con toda
seguridad prohibir pginas con tales contenidos. Afortunadamente,
antes de que los gobiernos llegaran a esos extremos, se desarroll la
especificacin PICSTM (Plataforma para la Seleccin de Contenido en
Internet), que permite la asociacin de etiquetas (metadatos) con el
contenido de las pginas Web en Internet. Fue diseado originalmente
para ayudar a los padres, educadores y empresarios a controlar el
contenido al que acceden los nios o los empleados, filtrando todo
aquello que consideren inapropiado para ellos. PICS facilita tambin
otras aplicaciones de etiquetado, como la descripcin del contenido de
las pginas web, la firma de cdigo y la privacidad.

La plataforma establece las convenciones que deben seguir los formatos
de etiquetas y los mtodos de distribucin, sin pronunciarse en
absoluto acerca del vocabulario de las etiquetas o quin debera
prestar atencin a qu etiquetas. Resulta anlogo a especificar dnde
debera aparecer una etiqueta de advertencia en un paquete de tabaco y
con qu tipo de letra, pero sin especificar lo que debe decir ni quin
debe hacerle caso.

Para ms informacin se puede acudir a la pgina web de la plataforma
en www.w3.org/PICS.

http://www.w3.org/PICS

******************************************
Consejos y trucos

******************************************
8. Cmo controlar por dnde navegan los nios

Si eres padre de algn nio, jefe de un grupo de empleados o educador
con jvenes bajo tu tutela, puede que te preocupe saber por dnde
navegan las personas a tu cargo, qu contenidos ven y si son
convenientes. Si quieres controlar el uso que esas personas hacen del
navegador instalado en los ordenadores de tu sistema, puedes activar
el asistente de contenidos.

En Internet Explorer, debes acudir al men Ver --> Opciones de
Internet... --> Contenido --> Restricciones --> Activar.

En Netscape Communicator 4.5, se hace pulsando el comando NetWatch del
men Ayuda.

Una vez dentro, no tienes ms que seguir las instrucciones para
activar las restricciones que se impondrn sobre los contenidos que a
partir de este momento se podr visualizar en tu ordenador.

******************************************
Novedades en el Criptonomicn

******************************************
9. Teletipo del boletn

Desde hoy, disponis en la pgina de portada del Criptonomicn de un
teletipo que he escrito en Java donde presentar las noticias del
boletn. Pinchando sobre l, se acceder al nmero del boletn
correspondiente, donde podris ampliar la informacin.

Lo tenis en:

http://www.iec.csic.es/criptonomicon

******************************************
Hablan los expertos

******************************************
10. Los secretos del comercio electrnico en Espaa

Esta semana contamos con la colaboracin en exclusiva de Oscar Conesa,
quien est realizando su Proyecto de Fin Carrera en Ingeniera
Superior de Telecomunicaciones, titulado "Seguridad en el Comercio
Electrnico por Internet", en el Dept. de Matematica Aplicada y
Telematica de la UPC.
Como actividad complementaria a este proyecto cre una lista de correo
sobre el Comercio Electrnico
que al poco tiempo se convirti en la ms importante del mundo hispano
sobre este tema gracias a la
participacin activa de muchos expertos espaoles y extranjeros que se
dieron de alta en ella. En su artculo compartir su opinin acerca de
cuestiones tan importantes como los principales problemas del comercio
electrnico hoy, su solucin, perspectivas de desarrollo y situacin
de Espaa en el panorama del comercio electrnico.


Introduccin:

Entendemos el Comercio Electrnico como cualquier tipo de intercambio
financiero realizado a distancia y por medios electrnicos, siendo
Internet
el medio ideal para realizar este tipo de negocios.
EL principal beneficio que puede obtenerse en este tipo de negocios es
la
relacin directa entre fabricante y cliente sin necesidad de
intermediarios
lo que en teora debera rebajar el precio del producto. Hoy en da se
puede realizar este tipo de actividades a travs de Internet pero aun
no
se ha producido el verdadero "boom" que segn todas las consultoras
importantes se producir en los prximos aos. Tan solo algunas
empresas
pioneras, como el conocido caso de la librera Amazon
(www.amazon.com),
han sabido aprovechar la oportunidad. Aunque tambin es verdad que
muchas
grandes empresas estn preparndose a la espera de ese gran "boom"
anunciado
del Comercio Electrnico.


Principales problemas del comercio electrnico hoy

Hoy en da el principal problema es que la gente no se ha lanzado a
comprar
por Internet por una falta de costumbre y seguridad.
Las empresas deben crear un marco global que permita las transacciones
seguras por Internet, e inevitablemente esto debe venir acompaado de
una
rebaja sustancial en los precios que haga atractivo a los nuevos
consumidores
utilizar este medio.


Seguridad en las Transacciones Electrnicas

Desde el punto de vista de la Seguridad Informtica, el principal
problema
radica en garantizar la seguridad de las transacciones electrnicas
realizadas a distancia. Esto debe garantizarse mediante el uso de la
moderna criptografa de clave publica.

El mtodo de pago por excelencia en Internet es y ser las tarjetas de
crdito. Para ello ahora se esta utilizando el protocolo SSL que
garantiza
la creacin de un canal seguro entre Cliente y Vendedor. Por este
canal
el Cliente enva su Numero de Tarjeta de Crdito. EL Vendedor hace
pasar
este numero por un Interface a un TPV (Terminal Punto de Venta) como
los
que se utilizan en todas las tiendas para cobrar con tarjeta y as se
realiza la transferencia. Aunque se garantiza la confidencialidad de
las
transmisiones, aun hay varios puntos muy importantes que SSL no
garantiza:

- - No hay recibos, una reclamacin por parte del cliente quedara a la
buena voluntad del Vendedor.

- - No hay autentificaron de tarjetas, cualquier persona que tenga
acceso
a un numero de una tarjeta de crdito podra realizar una transaccin.
El
cliente puede realizar fraudes fcilmente.

- - El Vendedor obtiene toda la informacin del cliente (numero de
tarjeta
de crdito) y podra utilizarla fraudulentamente.


Tienen solucin? Qu se est haciendo para solucionarlos?

En un sistema de comercio electrnico se deberan garantizar las
siguientes
caractersticas:

1. Confidencialidad: Ninguna persona ajena a la transaccin debe tener

acceso a los datos financieros. Mas aun, seria importante que el
vendedor
tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a
los
datos de la venta.

2. Integridad: El sistema debe garantizar que la integridad de los
datos
enviados, de no ser as el Vendedor podra aumentar el importe de la
compra
posteriormente, por ejemplo.

3. Autenticacin: Todos los participantes deben estar perfectamente
identificados para evitar el principal tipo de fraude: la utilizacin
de
tarjetas de crdito robadas.

4. No repudio: El sistema debe generar Recibos que impidan que alguno
de los
participantes en la transaccin niegue haber participado en ella.


SSL no garantiza la mayora de estas propiedades. Por este motivo VISA
y
MASTERCARD decidieron dar un impulso a la utilizacin de Tarjetas de
Crdito
en la compra por Internet creando un nuevo protocolo que tuviese en
cuenta
todos estos condicionantes. El protocolo resultante se llama SET
(Secure
Electronic Transactions). Este proyecto cuenta con el apoyo de
empresas
como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone (HP).


SET - Secure Electronic Transactions

En este protocolo se establecen tres entidades independientes:
El Cliente, el Vendedor y la Pasarela de Pago. Todas las
comunicaciones
entre ambos se realizan por Internet y se cifran. Antes de realizar
cualquier transaccin, todas las partes deben obtener un Certificado
Electrnico que garantice su Identidad.

El protocolo comienza cuando el Cliente abre su software de Billetera
Electrnica y decide hacer una compra. El Vendedor enva un mensaje
que especifica la descripcin del producto y el importe del mismo, as
como un certificado con su clave publica.
El Cliente cifra su numero de tarjeta de crdito y estos datos y los
enva al Vendedor. El Vendedor, una vez recibido este mensaje lo
descifra
y lo vuelve a cifrar con la clave pblica de la Pasarela de Pago. La
pasarela recibe el mensaje y lo enva al Banco correspondiente
utilizando
las redes bancarias. Se realiza la transaccin y la Pasarela enva la
respuesta al Vendedor y este la manda al Cliente finalizando as la
compra.
Todos los mensajes se firman digitalmente de tal manera que existan
comprobantes de compra.

Los datos bancarios se firman con un sistema denominado firma dual que

posibilita que el banco no tenga acceso a los datos de la compra y que
el Vendedor no pueda acceder a los datos financieros de la tarjeta de
crdito.

Los algoritmos criptogrficos utilizados son RSA y DES.


El comercio electrnico ser una realidad o es una quimera futurista?

SET ha sido aceptado por todos los implicados, incluidos los bancos
que han
apostado fuertemente por este sistema. Para que SET funcione es
necesario
que se den los siguientes pasos:

- - Incorporar software de Billetera Electrnica SET en los navegadores.

- - Creacin de Software de Vendedor, Pasarela de Pago y Autoridad
Certificadora compatibles con SET.

- - Crear los certificados SET tanto para Clientes como para Vendedores
y
Bancos.


Situacin de Espaa en el panorama del comercio electrnico

En Espaa se ha apostado muy fuerte por el protocolo SET, tanto es as
que se ha creado una Autoridad Certificadora especialmente para este
propsito llamada ACE (Agencia de Certificacin Electrnica).
ACE fue creada por Telefnica (40%), sistema 4B (20%), Visa Espaa
(20%) y
la Confederacin Espaola de Cajas de Ahorro (CECA-20%). Lo que
significa
que toda la banca espaola esta incluida en este proyecto. ACE ha
comenzado
a emitir certificados SET pero de modo experimental.
De momento se ha creado una pasarela de pago en Sistemas 4B.


Futuro de SET

Aunque se ha apostado muy fuerte por SET, este sistema no acaba de
arrancar
por diferentes motivos. Segn mi opinin este sistema no llegara a
funcionar
en su versin actual sino que se esperara a la versin SET 2.0.

El defecto de SET 1.0 es el modo de almacenar los certificados
electrnicos,
que convierten a estos archivos en un punto muy vulnerable del sistema
de seguridad, sobre todo teniendo en cuenta que sern utilizados por
el
publico en general.

SET 2.0 es la nueva versin de SET que integrara el uso de Tarjetas
Inteligentes. El principal problema es la necesidad de incorporar un
lector
de tarjetas en cada PC. Si se superase este problema tendramos un
sistema
realmente robusto de pagos electrnicos.

******************************************
Sobre el boletn del Criptonomicn

******************************************
11. Informacin sobre suscripcin y cmo borrarse

Para borrarse de este servicio basta con enviar un correo a la
direccin cripto-request@iec.csic.es con el siguiente mensaje (sin
asunto o "subject"):

leave

desde la misma cuenta de correo en la que recibs el boletn.

Tenis ms informacin y nmeros atrasados en la pgina

http://www.iec.csic.es/criptonomicon/suscripcion.html

******************************************
12. Nmeros atrasados

Podis encontrar los nmeros atrasados del boletn en:

http://www.iec.csic.es/criptonomicon/suscripcion.html

Se pueden recuperar todos en formato ZIP o de uno en uno.

******************************************
13. Firma PGP

Se puede obtener la clave pblica PGP del Criptonomicn en:

http://www.iec.csic.es/criptonomicon/criptonomicon.txt

Para ms informacin sobre qu es el correo seguro y cmo funciona
PGP, se puede visitar:

http://www.iec.csic.es/criptonomicon/correo.html

******************************************
(C) Copyright 1999 Criptonomicn
http://www.iec.csic.es/criptonomicon

Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada
del CSIC por Gonzalo lvarez Maran
email: criptonomicon@iec.csic.es

Todos los trabajos, artculos, comentarios u opiniones de los
colaboradores de Criptonomicn son de su exclusiva responsabilidad,
siendo ellos los que responden de la veracidad y exactitud de sus
aportaciones. Criptonomicn agradece las mencionadas colaboraciones,
pero no comparte necesariamente las opiniones manifestadas. Asimismo,
es responsabilidad del lector descargar, instalar y ejecutar en su
propio sistema los programas que se mencionen en el Criptonomicn.

-----BEGIN PGP SIGNATURE-----
Version: PGP 5.5.5
Comment: Clave http://www.iec.csic.es/criptonomicon/criptonomicon.txt

iQA/AwUBNuaUGIUNKyrTCJjtEQKxoACfYQT3YjO48dGgrg+iQioIVveVpucAnRTN
KG4eqqAP0jRVM8V+c4KaB4qz
=TNIR
-----END PGP SIGNATURE-----

