IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII o 04. RUMORES I o IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII Hola y bienvenidos. Este texto NO es una guia de como ser hacker ni un articulo de opinion (aunque este relacionado con ambas cosas) sino que pretende ser una aclaracion y una guias fundamental sobre diversos temas que aqui en Espa€a han levantado rumores falsos y/o equivocados. šQuien deberia leerlo? Cualquiera que este desconcertado o confuso por la avalancha de rumores, textos prehistoricos "recocinados" como actuales o pretendidos intentos de investigacion que no son mas que traducciones chapuceras, sobre algunos de los siguientes temas: # Introduccion # PGP + šTiene backdoors el PGP? + šEs ilegal utilizar el PGP? (aka šPueden enchironarme los yankis?) + šEs seguro el PGP? (aka špuedes romper la seguridad del PGP? ­­Yo si!!) # E-mail + šPuedo contagiarme de un virus por e-mail? (aka Good Times panik) + šQue son los sniffers? + šEs verdad que hay un monton de tipos que husmean todos los ficheros transmitidos por e-mail? (aka La pesadilla de los Warez) En el siguiente capitulo trataremos del Irc, la Paranoia..etc. (ver lista al final de este fichero) ----------------------------------------------------------------------------- INTRODUCCION Esto es Espa€a... y Espa€a es diferente (aunque no se que nacionalidad tiene quien lee esto), vamos a rebufo de los americanos que aportan todas las innovaciones tecnologicas, tratamos de ponernos a su nivel pero no sabemos como empezar ni donde, asi que recurrimos a textos de los a€os 80, listas de telefonos ya desconectados, trucos que funcionaban hace 10 a€os.... No todo es culpa nuestra... Ellos tienen ATT, Sprint, MaBell y nosotros Telefonica Ellos tienen a Marylin Monroe y nosotros a Marta Sanchez Ellos tienen a Al Capone y nosotros al Dioni Ellos tienen $ y nosotros P*ta. La verdad es que partimos con demasiada desventaja...;> Lo unico en lo que destacamos es en nuestra credulidad e histerismo, fulano coloca un mensaje con la mayor idiotez y nos lo tragamos o nos da un ataque de nervios, nos reimos de los que abrigan el ordenador en invierno "para que no coja virus" y nos tragamos que por leer un mensaje podemos ser contagiados. Asi que este documento pretende acallar rumores, dejar las cosas claras y que la gente sepa a que atenerse. ----------------------------------------------------------------------------- # PGP El PGP (Pretty Good Privacy by Phil Zimmerman) es como ya sabreis un sistema de encriptacion que se ha convertido en el mas popular entre los usuarios de todo el mundo, para saber como funciona te remito a su documentacion que es muy completa. šPorque lo debo usar? Hay paises (China, Iran, USA...) en los que los ciudadanos no tienen privacidad y deben procurarse los medios para conseguirla, en otros (los llamados paises libres) el Estado siempre quiere entrometerse en nuestros asuntos y debemos impedirselo. Deberias usar siempre PGP ya que representa el espiritu de Internet porque... - Si solo encriptan pocas personas se fijan en ellas y las vigilan - Si encriptan muchas personas algunos de los mensajes se preguntan: "šPorque ha encriptado ESTE?" y siguen ese mensaje. - Si TODAS las personas **encriptan** TODOS los mensajes, entonces..... Jaque Mate (hasta que sean capaces de romper el PGP rapidamente) Encriptar te beneficia a ti y beneficia a los demas. Es el espiritu de Internet. + šTiene backdoors el PGP? Mucho se ha escrito de este tema, principalmente debido a un texto _humoristico_ que la ignorancia y el histerismo hispano transformaron en un dogma. Phil Zimmerman no fue obligado por la NSA a poner una backdoor en el PGP Phil Zimmerman no fue obligado por la NSA a poner una backdoor en el PGP šEsta ya claro? Tenemos que saber que el codigo fuente de las distintas versiones del PGP esta disponible, esto no es garantia puesto que no todos somos expertos pero es que los usarios internacionales NO utilizan el PGP de Zimmerman sino un PGPxxui siendo xx el n§ de version y ui las siglas de Unofficial International, es decir una version desarrollada por otra persona y NO aprobada directamente por Zimmerman (principalmente por motivos legales) Que quede claro que *no es imposible* que tengamos una version del PGP con backdoor pero eso depende de que fuente obtengamos el PGP, lo preferible es conseguirlo de lugares fiables y no de terceras fuentes que pueden haber decidido 'alterar' el PGP por algun motivo. + šEs ilegal utilizar el PGP? Con nuestra habitual falta de sentido comun se ha llegado a correr el rumor de que "te pueden meter en la trena si mandas un mensaje encriptado a USA". Los hechos: - La exportacion de criptografia (pese a una reciente liberalizacion) ha estado sujeta siempre a leyes restrictivas. - El soft de encriptacion desarrollado en USA NO puede ser exportado sin permiso - Usarlo FUERA DE USA NO ES DELITO, recuerda, el delito es la EXPORTACION - Para remediar esto se han desarrollado las versiones Ui (Unofficial International) del PGP, que al ser creadas fueras de USA no estan sujetas a las fascistas leyes yankis. - El problema de las patentes. El MIT PGP (El PGP que se utiliza en USA actualmente) utiliza la libreria RSAREF que tiene un monopolio en USA sobre los sistemas de encriptacion basados en clave publica, las versiones Ui mas recientes incorporan otra libreria que es compatible con RSAREF pero no esta sujeta a licencia, recuerda, en USA cualquier sistema de llave peblica *debe* usar la libreria RSAREF (por algo tiene un monopolio) Supongo que con esto te habra quedado claro que los delitos pueden ser: - Exportar material criptografico _desde_ USA - Usar la RSAREF en USA sin tener licencia para ello (uso comercial) - Usar en USA un sistema de llave publica no basado en la libreria RSAREF NOTA: Hay paises en los que la encriptacion en si es un DELITO (como Francia) cada pais tiene una legislacion respecto a permitir a sus ciudadanos cifrar las comunicaciones. Y ya esta, nada de mandar o recibir mensajes (excepto Francia) o crear llaves, nada de eso es delito ni siquiera en USA (y menos aqui donde los legisladores piensan que el PGP es algun partido politico) + šEs seguro el PGP? Si no quieres que alguien se entere de algo NO LO DIGAS, (puede que pensarlo sea comprometido tambien), el PGP es un sistema *muy fiable* pero no es invulnerable, basicamente el problema no es el criptoanalisis sino la alteracion de llaves publicas (o del mismo PGP) y la perdida de tu llave secreta y su passphrase. Descifrar un mensaje de PGP consiste en resolver un problema de factorizacion de nemeros primos, eso lleva mucho tiempo utilizando computadoras muy potentes (si los n§s son grandes), a menos que alguien descubra un sistema nuevo no es rentable intentar descifrar el PGP. (šDe que te sirve descubrir el dia 15 algo que iba a pasar el dia 10?) (šO gastarte millones en descifrar un mensaje en el que pone:" Esto es solo una PGP prueba"?) Por lo tanto no te preocupes, a no ser que todas las Agencias de Seguridad vayan a por ti nadie se va a molestar en intentar descifrar tus mensajes, presta mas atencion a la seguridad de tu llave secreta, a tener una copia del PGP fiable y a que nadie sustituya tu clave publica por otra con la cual pueda interceptar los mensajes que te envian. Esos temas vienen explicados en la documentacion del PGP. šEntonces que pasa con el PGP? Pasa que algun IDIOTA (si, con mayusculas) se dedico a poner mensajes en newsgroups, Fido.. (otros idiotas ponen solo uno y escarmientan) alardeando de **poder romper el Pgp** , hay que ser muy deficiente para creer que un individuo sin preparacion ni conocimientos ninguno va a conseguir lo que los mas brillantes criptoanalistas no han podido hacer (ni los miles de usuarios del PGP) pero al parecer este tipo era lo suficientemente cretino como para creerselo (encima era espa€ol, que cruz) No me acuerdo muy bien de la idiotez que decia pero estaba relacionado con las firmas, al parecer cambiaba la id de usuario en un editor de texto abriendo el fichero de firmas y decia ­voila! ya esta, ahora parece que lo ha firmado quien yo he puesto y no el firmante original. Una payasada que le parecia genial y que supuestamente habia pasado desapercibida a todo el planeta menos a el. La realidad es que si chequeamos la firma un BAD SIGNATURE asin de grande nos informa de que la firma modificada es FALSA y es que hay que distinguir entre poder cambiar algo y que ese cambio sea aceptado como legitimo. Que quede claro, el PGP no es invencible pero esta a prueba de ataques de paletos, si el paleto lo usa mal entonces es cuando se la pueden liar A EL. ----------------------------------------------------------------------------- # E-mail + šPuedo contagiarme de un virus por e-mail? Otro de los "timo-rumores" que han corrido por ahi, decia que si alguien recibia un mensaje con el Subject: Good Times que no lo abriese porque se instalaba un virus en el ordenador, como de costumbre el analfabetismo informatico y la falta de sentido comun hicieron el resto y hubo desaprensivos que se "jartaron" de enviar mensajes con dicho subject para partirse de risa ante el temor de las victimas. Habra que recordar que un "virus" no tiene poderes magicos, que es un programa como cualquier otro y que un programa tiene que *ejecutarse* para que haga algun efecto (bueno o malo), leer un mensaje es *inofensivo* (lo maximo es que nos metieran una bomba ANSI pero ya es traerlo de los pelos). Por supuesto si que hay que tener cuidado con los "attach" puesto que son ficheros que pueden estar infectados (o ser un virus en si) asi como con cualquier download pero si tenemos unos buenos y actualizados antivirus (mejor 2 o 3 que no uno solo) no hay problema. Ni Internet ni las BBS destacan por tener archivos infectados, los sites con material virico son minoria y destacan claramente que contienen sus archivos. Por lo tanto. Do not panic! + šQue son los sniffers? Son programas que "monitorizan" la red, por ejemplo buscan palabras previamente definidas en los mensajes que rutan, como aqui todo se saca de quicio ya hay quien piensa que todos los proveedores montan sniffers. El sentido comun indica que: - Usar un sniffer (salvo consentimiento del implicado de manera expresa) es ILEGAL porque viola el derecho a la privacidad en las comunicaciones. - Si un proveedor tiene un sniffer es MAS que probable que lo haya montado algun "loco" de la informatica que trabaja para el y lo haya hecho por su cuenta y riesgo (porque le guste cotillear) - Con MILLONES de mensajes circulando diariamente los routers y proveedores tienen mas cosas que hacer que chequear tus mensajes. Quien si puedes imaginarte que lo hace a gran escala es nuestra ""amiga"" la NSA pero ni podemos evitarlo (puedes desarrollar un "codigo" o encriptar tus mensajes con PGP pero no evitar que lo monitorizen) ni la NSA tiene por mision buscar palabras como "warez", "soft pirata" o "imagenes de guarras", su guerra es otra. Por supuesto es ilegal. Denuncialos si quieres (y si puedes). + šEs verdad que hay un monton de tipos que husmean todos los ficheros transmitidos por e-mail? Siguiendo con los sniffers y abonado por la detencion de una red de piratas en Barcelona y Tenerife a los que interceptaban el e-mail, los alborotadores de siempre empezaron a decir que se interceptaban todos los "attach" y que luego alguien los descodificaba y que se guardaban logs y...... Y los membrillos de siempre entre el: ­Ay, no me digas! y el ­Hala, que dices, eso no puede ser! Como de costumbre ni si ni no sino todo lo contrario. No hay costumbre de interceptar mensajes con attach, ni de guardar logs de los mensajes con attach, lo cual no quiere decir que alguien en alguna parte no lo haga pero SI NO SE SOSPECHA no es mas que un gasto inutil de tiempo y recursos. Puedes tener alguna posibilidad si estas en relacion con organizaciones terroristas, racistas... a los cuales la policia vigile (hablamos de los yanquis y de las agencias de inteligencia como el Mossad o el M15, la Guardia Civil esta para otras cosas) pero desde luego ningun organismo se encarga de seguir tu "attach" de la playmate del mes a tu amigo Manolo y tomar nota de ello. NOTA: El CESID no se considera una agencia de inteligencia aunque recibe informes. *Tip*: Los unicos que tienen recursos son los yanquis, no te metas en tratos con las organizaciones a los que ellos vigilan porque te pillaran a ti. ­Eso es todo amigos!. ----------------------------------------------------------------------------- El resto es: # IRC + šSi utilizo un script pueden machacarme el HD? + Extra šQue hacer cuando te piden que pulses Alt+F4? :D # Paranoia + šQue grado de paranoia es bueno? + šQue es eso del daemon de 1Mb? # El Documento y el Autor # Rollo legal # Ultima hora Todo en el siguiente capitulo ----------------------------------------------------------------------------- By Paseante. Febrero 1.997