Inicio > Mis eListas > infohackers > Mensajes

 Índice de Mensajes 
 Mensajes 61 al 80 
AsuntoAutor
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Luis M.
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
 << 20 ant. | 20 sig. >>
 
Infohackers.org
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 156     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[boletín_informativos] informativos.info #144
Fecha:Domingo, 26 de Septiembre, 2004  21:00:09 (+0200)
Autor:infohackers <infohackers @...........org>

Mensaje

 

Editado por AIH: www.infohackers.org

Boletín informativos.info

4.721 subscriptores

Boletín número 144

Hacktivismo y seguridad

26 de Septiembre de 2004


Sumario
 

Opinión: Ética hacker
 


Es en lo ético en donde radica la mayor riqueza que pudiera atribuírsele a la justicia. Y la ética atañe a la moral y las obligaciones del hombre. 

Esta entrada viene que ni pintada al hilo de lo de lo que voy a hablar hoy. Para formar parte de la comunidad hacker, no basta con ser alguien explorando e investigando, o sencillamente ser muy técnico o un buen programador. Para entrar en la comunidad se debe ser el que teoriza sobre las cosas. Es necesario tener una motivación profunda por resolver problemas. Así se obtiene entretenimiento, se comparte y se disfruta de estar haciendo algo útil.

Debo de remitirme a que el hacking es un verdadero arte, aunque no se incluya entre las siete clásicas bellas artes (es cuestión de tiempo ). Es un juego donde te paras a pensar “necesito explorar más”. Así progresas, así enseñas, así compartes, ese es el premio, la satisfacción, y es lícito, cobrando o  sin animo de lucro. Cada uno lo toma como quiere, sin imposiciones. El resultado es el mismo: disfrutar con lo que haces, llegando un poco más allá de donde llega la gente. Resumiendo, reflexionar sobre los hackers y su actitud ante el dinero (soft libre y desarrollo). Es divertido adquirir fama y reconocimiento haciendo lo que te apasiona. De hecho, nadie es hacker hasta que la comunidad te reconoce como tal, por lo que lo de la fama debe estar bien visto.

Los hackers son verdaderos donantes de conocimientos. Creo que a mi, particularmente, es lo que más me apasiona: ayudar a los que saben menos que yo. Y, como no, ayudando en a la comunidad a través de los foros, listas de opinión, desde cualquier lugar que se pueda difundir la cultura hacker.

En definitiva, para ser aceptado en la comunidad hacker no basta con mostrar interés, o incluso pasión por una tarea común, sino que es necesario dedicar tiempo y esfuerzo.
 

Dark Warrior.
Miembro de la AIH.

   

Seguridad en capas: El cliente (III)
 


Uso de almacenamiento extraíble

En los ordenadores modernos contamos con diversos dispositivos destinados a introducir y extraer información en formato digital. Desde los clásicos lectores de diskette a lectores de tarjeta de memoria, pasando por los lectores/grabadores de CD y DVD, los dispositivos magneto-ópticos o las "llaves" de memoria flash. Todo esto, como puerta de entrada a nuestro sistema, debe de ser controlado de cara a la seguridad.

El problema más obvio que presentan estos dispositivos es la entrada de código malicioso a través de ellos. Un usuario, de forma maliciosa o inocente, puede colocar dentro de la red software perjudicial, como un virus, un troyano o simplemente una aplicación que oculte spyware. Parece que quedan lejanos los días en que la única forma de transmisión de los virus era a través de discos flexibles compartidos entre los usuarios, pero sigue siendo una puerta posible para su difusión. A esta amenaza se le suma la que representa cierto software que, bajo una apariencia útil y gratuita, alberga troyanos o spyware. Un usuario podría, con la mejor intención, instalarse una aplicación que le resultase a primera vista útil, y de esta forma abrir la puerta a un asaltante que hubiese escondido su código en ella.

Otro problema, no tan obvio, pero existente, es el de fuga de información. Está claro que hay departamentos de la empresa que son apetecibles desde el punto de vista del espionaje industrial, como pueden ser los de desarrollo, contabilidad o comercial, y que, por tanto, deben de ser especialmente protegidos. Pero una estricta política de seguridad de la información se puede venir abajo si una de las personas con acceso se lleva la lista de clientes o el diseño del último proyecto en una llave USB, para vendérsela a nuestra competencia. Sin llegar a esos departamentos críticos, es posible que un usuario saque información aparentemente no demasiado secreta, pero si útil para los posibles atacantes, como puede ser organigramas de la empresa, o planos de la red.

En todo caso, en esto como en la mayoría de las cosas deberemos guiarnos por el principio del mínimo acceso. Si una persona no tiene necesidad por su trabajo de acceder a dispositivos removibles, no deberemos facilitarle el uso de los mismos. Los distintos sistemas operativos proveen de diversos mecanismos para eliminar estos dispositivos lógicamente, si no es posible eliminarlos físicamente.

Políticas y restricciones

Aparte de todos estos mecanismos, deberemos fijar unas políticas claras a nivel empresa del software que se puede usar en el sistema. Es preciso una delimitación nítida por puesto y necesidad, para evitar confusiones. Si un usuario de contabilidad necesita acceso a la base de datos del programa contable, se le dará únicamente acceso a este. No tiene porque tener acceso al directorio donde están los planos de diseño, así como los usuarios de diseño tendrán acceso a este directorio, pero no al programa contable.

Además, debe de preverse una instalación básica del puesto de trabajo de cada departamento. Que programas son necesarios, que versiones y que sistema operativo. Una vez definido, deberá configurarse así cada puesto y establecer controles, bien mediante las herramientas de los sistemas, como las Group Policies de Windows, bien mediante inspecciones (y sanciones correspondientes). De esta forma evitaremos encontrarnos con la desagradable sorpresa de que en el programa de contabilidad aparezcan datos corruptos enviados por un usuario juguetón del departamento comercial. O descubrir un cuello de botella en la salida a Internet porque un administrativo instaló un programa P2P.

Todas estas medidas deben de ser apoyadas desde la dirección y departamento de recursos humanos, para que la efectividad en la empresa sea máxima.

Luisma
Miembro de la AIH


Resumen de noticias de la semana
 

 

SpamAssassin pasa al proyecto Apache

SpamAssassin, el considerado como uno de los mejores filtros anti-spam de código abierto, ha pasado a ser llevado bajo el paraguas de la fundación Apache, que se encarga, entre otras cosas, del más difundido servidor http del mundo.

Ya circula código para explotar el fallo del JPEG de Microsoft

La semana pasada Microsoft publicó un boletín en el que daba cuenta de un fallo en el módulo encargado de visualizar JPEG en varios de sus programas. Pues ya está corriendo por la Red código que aprovecha esta vulnerabilidad.

Actualización de Apache

Apache.org ha publicado una actualización para el servidor de http Apache, la 2.0.51, que corrige varios bugs y cinco vulnerabilidades.

Se detecta un desbordamiento de buffer en Linux

iDEFENSE a descubierto un desbordamiento en la libreria wv usada en Linux. Esta librería se usa para convertir y previsualizar un documento de Microsoft Word.

 


El correo del lector
 


Esta semana no hemos recibido nada en el correo del lector. Os animamos a seguir participando.



Don
Miembro de la AIH

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados. .

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net

Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.
 






[Adjunto no mostrado: 6/ (application/octet-stream) ]
[Adjunto no mostrado: 5/ (application/octet-stream) ]
[Adjunto no mostrado: 3/ (application/octet-stream) ]
[Adjunto no mostrado: 4/ (application/octet-stream) ]
[Adjunto no mostrado: 2/ (application/octet-stream) ]
[Adjunto no mostrado: 1/ (application/octet-stream) ]