SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Rumores I

      4007

Autor: Paseante
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
o 04. RUMORES I                                                             o
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
 

 Hola y bienvenidos.

 Este texto NO es una guia de como ser hacker ni un articulo de opinion
 (aunque este relacionado con ambas cosas) sino que pretende ser una
 aclaracion y una guias fundamental sobre diversos temas que aqui en
 Espa€a han levantado rumores falsos y/o equivocados.

 šQuien deberia leerlo?

 Cualquiera que este desconcertado o confuso por la avalancha de rumores,
 textos prehistoricos "recocinados" como actuales o pretendidos intentos de
 investigacion que no son mas que traducciones chapuceras, sobre algunos de
 los siguientes temas:

 # Introduccion

 # PGP
  + šTiene backdoors el PGP?
  + šEs ilegal utilizar el PGP?
  (aka šPueden enchironarme los yankis?)
  + šEs seguro el PGP?
  (aka špuedes romper la seguridad del PGP? ­­Yo si!!)

 # E-mail
  + šPuedo contagiarme de un virus por e-mail?
  (aka Good Times panik)
  + šQue son los sniffers?
  + šEs verdad que hay un monton de tipos que husmean todos los ficheros
  transmitidos por e-mail?
  (aka La pesadilla de los Warez)

  En el siguiente capitulo trataremos del Irc, la Paranoia..etc.
  (ver lista al final de este fichero)

-----------------------------------------------------------------------------

  INTRODUCCION

  Esto es Espa€a... y Espa€a es diferente (aunque no se que nacionalidad tiene
  quien lee esto), vamos a rebufo de los americanos que aportan todas las
  innovaciones tecnologicas, tratamos de ponernos a su nivel pero no sabemos
  como empezar ni donde, asi que recurrimos a textos de los a€os 80, listas
  de telefonos ya desconectados, trucos que funcionaban hace 10 a€os....
  No todo es culpa nuestra...

  Ellos tienen ATT, Sprint, MaBell y nosotros Telefonica
  Ellos tienen a Marylin Monroe y nosotros a Marta Sanchez
  Ellos tienen a Al Capone y nosotros al Dioni
  Ellos tienen $ y nosotros P*ta.

  La verdad es que partimos con demasiada desventaja...;>

  Lo unico en lo que destacamos es en nuestra credulidad e histerismo, fulano
  coloca un mensaje con la mayor idiotez y nos lo tragamos o nos da un ataque
  de nervios, nos reimos de los que abrigan el ordenador en invierno "para
  que no coja virus" y nos tragamos que por leer un mensaje podemos ser
  contagiados.

  Asi que este documento pretende acallar rumores, dejar las cosas claras y
  que la gente sepa a que atenerse.

-----------------------------------------------------------------------------

  # PGP

  El PGP (Pretty Good Privacy by Phil Zimmerman) es como ya sabreis un sistema
  de encriptacion que se ha convertido en el mas popular entre los usuarios
  de todo el mundo, para saber como funciona te remito a su documentacion que
  es muy completa.

  šPorque lo debo usar?
  Hay paises (China, Iran, USA...) en los que los ciudadanos no tienen
  privacidad y deben procurarse los medios para conseguirla, en otros
  (los llamados paises libres) el Estado siempre quiere entrometerse en
  nuestros asuntos y debemos impedirselo. Deberias usar siempre PGP ya que
  representa el espiritu de Internet porque...

  - Si solo encriptan pocas personas se fijan en ellas y las vigilan
  - Si encriptan muchas personas algunos de los mensajes se preguntan:
  "šPorque ha encriptado ESTE?" y siguen ese mensaje.
  - Si TODAS las personas **encriptan** TODOS los mensajes, entonces.....
    Jaque Mate (hasta que sean capaces de romper el PGP rapidamente)

  Encriptar te beneficia a ti y beneficia a los demas. Es el espiritu de
  Internet.


  + šTiene backdoors el PGP?

  Mucho se ha escrito de este tema, principalmente debido a un texto
  _humoristico_ que la ignorancia y el histerismo hispano transformaron en
  un dogma.
  Phil Zimmerman no fue obligado por la NSA a poner una backdoor en el PGP
  Phil Zimmerman no fue obligado por la NSA a poner una backdoor en el PGP

  šEsta ya claro?

  Tenemos que saber que el codigo fuente de las distintas versiones del PGP
  esta disponible, esto no es garantia puesto que no todos somos expertos
  pero es que los usarios internacionales NO utilizan el PGP de Zimmerman
  sino un PGPxxui siendo xx el n§ de version y ui las siglas de Unofficial
  International, es decir una version desarrollada por otra persona y NO
  aprobada directamente por Zimmerman (principalmente por motivos legales)

  Que quede claro que *no es imposible* que tengamos una version del PGP
  con backdoor pero eso depende de que fuente obtengamos el PGP, lo
  preferible es conseguirlo de lugares fiables y no de terceras fuentes que
  pueden haber decidido 'alterar' el PGP por algun motivo.


  + šEs ilegal utilizar el PGP?

  Con nuestra habitual falta de sentido comun se ha llegado a correr el
  rumor de que "te pueden meter en la trena si mandas un mensaje encriptado
  a USA". Los hechos:

  - La exportacion de criptografia (pese a una reciente liberalizacion) ha
  estado sujeta siempre a leyes restrictivas.
  - El soft de encriptacion desarrollado en USA NO puede ser exportado sin
  permiso
  - Usarlo FUERA DE USA NO ES DELITO, recuerda, el delito es la EXPORTACION
  - Para remediar esto se han desarrollado las versiones Ui (Unofficial
  International) del PGP, que al ser creadas fueras de USA no estan sujetas
  a las fascistas leyes yankis.
  - El problema de las patentes.
  El MIT PGP (El PGP que se utiliza en USA actualmente) utiliza la libreria
  RSAREF que tiene un monopolio en USA sobre los sistemas de encriptacion
  basados en clave publica, las versiones Ui mas recientes incorporan otra
  libreria que es compatible con RSAREF pero no esta sujeta a licencia,
  recuerda, en USA cualquier sistema de llave peblica *debe* usar la libreria
  RSAREF (por algo tiene un monopolio)

  Supongo que con esto te habra quedado claro que los delitos pueden ser:
  - Exportar material criptografico _desde_ USA
  - Usar la RSAREF en USA sin tener licencia para ello (uso comercial)
  - Usar en USA un sistema de llave publica no basado en la libreria RSAREF

  NOTA: Hay paises en los que la encriptacion en si es un DELITO (como
  Francia) cada pais tiene una legislacion respecto a permitir a sus
  ciudadanos cifrar las comunicaciones.

  Y ya esta, nada de mandar o recibir mensajes (excepto Francia) o crear
  llaves, nada de eso es delito ni siquiera en USA (y menos aqui donde los
  legisladores piensan que el PGP es algun partido politico)

  + šEs seguro el PGP?

  Si no quieres que alguien se entere de algo NO LO DIGAS, (puede que
  pensarlo sea comprometido tambien), el PGP es un sistema *muy fiable* pero
  no es invulnerable, basicamente el problema no es el criptoanalisis sino la
  alteracion de llaves publicas (o del mismo PGP) y la perdida de tu llave
  secreta y su passphrase.
  Descifrar un mensaje de PGP consiste en resolver un problema de
  factorizacion de nemeros primos, eso lleva mucho tiempo utilizando
  computadoras muy potentes (si los n§s son grandes), a menos que
  alguien descubra un sistema nuevo no es rentable intentar descifrar el PGP.
  (šDe que te sirve descubrir el dia 15 algo que iba a pasar el dia 10?)
  (šO gastarte millones en descifrar un mensaje en el que pone:" Esto es solo
   una PGP prueba"?)

  Por lo tanto no te preocupes, a no ser que todas las Agencias de Seguridad
  vayan a por ti nadie se va a molestar en intentar descifrar tus mensajes,
  presta mas atencion a la seguridad de tu llave secreta, a tener una copia
  del PGP fiable y a que nadie sustituya tu clave publica por otra con la
  cual pueda interceptar los mensajes que te envian. Esos temas vienen
  explicados en la documentacion del PGP.

  šEntonces que pasa con el PGP?

  Pasa que algun IDIOTA (si, con mayusculas) se dedico a poner mensajes en
  newsgroups, Fido.. (otros idiotas ponen solo uno y escarmientan)
  alardeando de **poder romper el Pgp** , hay que ser muy deficiente para
  creer que un individuo sin preparacion ni conocimientos ninguno va a
  conseguir lo que los mas brillantes criptoanalistas no han podido hacer
  (ni los miles de usuarios del PGP) pero al parecer este tipo era lo
  suficientemente cretino como para creerselo (encima era espa€ol, que cruz)
  No me acuerdo muy bien de la idiotez que decia pero estaba relacionado
  con las firmas, al parecer cambiaba la id de usuario en un editor de texto
  abriendo el fichero de firmas y decia ­voila! ya esta, ahora parece que lo
  ha firmado quien yo he puesto y no el firmante original.

  Una payasada que le parecia genial y que supuestamente habia pasado
  desapercibida a todo el planeta menos a el.
  La realidad es que si chequeamos la firma un BAD SIGNATURE asin de grande
  nos informa de que la firma modificada es FALSA y es que hay que
  distinguir entre poder cambiar algo y que ese cambio sea aceptado como
  legitimo.

  Que quede claro, el PGP no es invencible pero esta a prueba de ataques de
  paletos, si el paleto lo usa mal entonces es cuando se la pueden liar A EL.
-----------------------------------------------------------------------------

  # E-mail

  + šPuedo contagiarme de un virus por e-mail?

  Otro de los "timo-rumores" que han corrido por ahi, decia que si alguien
  recibia un mensaje con el Subject: Good Times que no lo abriese porque se
  instalaba un virus en el ordenador, como de costumbre el analfabetismo
  informatico y la falta de sentido comun hicieron el resto y hubo
  desaprensivos que se "jartaron" de enviar mensajes con dicho subject para
  partirse de risa ante el temor de las victimas.

  Habra que recordar que un "virus" no tiene poderes magicos, que es un
  programa como cualquier otro y que un programa tiene que *ejecutarse*
  para que haga algun efecto (bueno o malo), leer un mensaje es *inofensivo*
  (lo maximo es que nos metieran una bomba ANSI pero ya es traerlo de los
  pelos). Por supuesto si que hay que tener cuidado con los "attach" puesto
  que son ficheros que pueden estar infectados (o ser un virus en si) asi
  como con cualquier download pero si tenemos unos buenos y actualizados
  antivirus (mejor 2 o 3 que no uno solo) no hay problema. Ni Internet ni las
  BBS destacan por tener archivos infectados, los sites con material virico
  son minoria y destacan claramente que contienen sus archivos.

  Por lo tanto. Do not panic!


  + šQue son los sniffers?

  Son programas que "monitorizan" la red, por ejemplo buscan palabras
  previamente definidas en los mensajes que rutan, como aqui todo se saca
  de quicio ya hay quien piensa que todos los proveedores montan sniffers.
  El sentido comun indica que:
  - Usar un sniffer (salvo consentimiento del implicado de manera expresa)
   es ILEGAL porque viola el derecho a la privacidad en las comunicaciones.
  - Si un proveedor tiene un sniffer es MAS que probable que lo haya montado
  algun "loco" de la informatica que trabaja para el y lo haya hecho por su
  cuenta y riesgo (porque le guste cotillear)
  - Con MILLONES de mensajes circulando diariamente los routers y proveedores
  tienen mas cosas que hacer que chequear tus mensajes.

  Quien si puedes imaginarte que lo hace a gran escala es nuestra ""amiga""
  la NSA pero ni podemos evitarlo (puedes desarrollar un "codigo" o encriptar
  tus mensajes con PGP pero no evitar que lo monitorizen) ni la NSA tiene por
  mision buscar palabras como "warez", "soft pirata" o "imagenes de guarras",
  su guerra es otra.
  Por supuesto es ilegal. Denuncialos si quieres (y si puedes).


  + šEs verdad que hay un monton de tipos que husmean todos los ficheros
  transmitidos por e-mail?

  Siguiendo con los sniffers y abonado por la detencion de una red de piratas
  en Barcelona y Tenerife a los que interceptaban el e-mail, los alborotadores
  de siempre empezaron a decir que se interceptaban todos los "attach" y que
  luego alguien los descodificaba y que se guardaban logs y......

  Y los membrillos de siempre entre el: ­Ay, no me digas! y el ­Hala, que
  dices, eso no puede ser!

  Como de costumbre ni si ni no sino todo lo contrario.

  No hay costumbre de interceptar mensajes con attach, ni de guardar logs de
  los mensajes con attach, lo cual no quiere decir que alguien en alguna
  parte no lo haga pero SI NO SE SOSPECHA no es mas que un gasto inutil de
  tiempo y recursos.
  Puedes tener alguna posibilidad si estas en relacion con organizaciones
  terroristas, racistas... a los cuales la policia vigile (hablamos de los
  yanquis y de las agencias de inteligencia como el Mossad o el M15, la
  Guardia Civil esta para otras cosas) pero desde luego ningun organismo se
  encarga de seguir tu "attach" de la playmate del mes a tu amigo Manolo y
  tomar nota de ello.

  NOTA: El CESID no se considera una agencia de inteligencia aunque recibe
  informes.

  *Tip*: Los unicos que tienen recursos son los yanquis, no te metas en tratos
  con las organizaciones a los que ellos vigilan porque te pillaran a ti.

  ­Eso es todo amigos!.
-----------------------------------------------------------------------------

  El resto es:

  # IRC
  + šSi utilizo un script pueden machacarme el HD?
  + Extra šQue hacer cuando te piden que pulses Alt+F4? :D
   
  # Paranoia
  + šQue grado de paranoia es bueno?
  + šQue es eso del daemon de 1Mb?
   
  # El Documento y el Autor
  # Rollo legal
  # Ultima hora

  Todo en el siguiente capitulo
-----------------------------------------------------------------------------

  By Paseante. Febrero 1.997