Cibermaneras
Arriba Último Nro. Índice Nros. Anteriores Índices Históricos

ISSN: 1575-2844

Revista Vivat Academia

 Histórico Año III

linea.gif (922 bytes)

Junio 2001. Nº 26

En esta página:

¡No a la LSSI!
RECORTES
Dos fallos de Windows Media Player dejan el PC del usuario a merced de los hackers
Vulnerabilidad: Internet Explorer 5.x EML
Una juez interroga a cuatro directivos por abrir el ‘e-mail’ de un empleado
Una comisión europea aconseja codificar los ‘e-mail’ ante el espionaje de la red Echelon

¡NO A LA LSSI!

Reynaldo Cordero

Qué es la LSSI

LSSI: Ley de Servicios de la Sociedad de Información, actualmente en fase de anteproyecto. Desde el Ministerio de Ciencia y Tecnología se ha reconocido que se enviará al Parlamento en Septiembre, pese a la oposición de internautas y editores de contenidos que advierten de graves defectos, incluida la posible inconstitucionalidad de artículos esenciales de la misma.

Qué es la campaña anti-LSSI

Es la respuesta de medios libres e independientes de Internet -iniciada por la publicación Kriptópolis-, que exigen la retirada del anteproyecto de ley, ya que entienden que el enfoque que justifica dicha ley obligaría a tratar la información como mercancía, y no sería respetuosa con la libertad de expresión, amén de sentar las bases para imponer una tutela administrativa de tipo "censura previa" a cualquier contenido publicado en Internet.

El origen del problema -y parte central de la ley- consiste en identificar como "prestador de servicios de la Sociedad de la Información" a todo sujeto que pretenda mantener una página web, obligando a mercantilizar todo intercambio de información.

Las trabas burocráticas y económicas, y el desproporcionado interés controlador -que invade el derecho a la intimidad-, impediría a las publicaciones independientes y a la denominada "Internet Libre", seguir ofreciendo un intercambio gratuito y universal de la información. Esto traería como consecuencia la desaparición de medios muy populares y apreciados por todos los internautas, o su transformación en "otra cosa".

El mero hecho de plantearse "legislar Internet" mediante una normativa ad hoc, es sumamente discutible y hay fundadas opiniones que muestran que de llevarse esta ley adelante, situaría a Internet como un ghetto donde se daría lugar a un indeseable control ideológico e informativo.

Un aspecto muy polémico de la LSSI es que prevé que sea la propia Administración la facultada para ejercer controles de tipo "censura previa", al margen de la tutela judicial. Para mayor abundamiento, los encargados de aplicar las multas serían los mismos que han redactado la Ley.

La "Campaña Anti-LSSI"  tiene su referente en la página web http://www.kriptopolis.com/lssi/ y dispone de un foro de discusión independiente en la dirección http://www.elistas.net/lista/lssi/.

Esta campaña está teniendo un importante eco en los distintos medios informativos, incluso internacionalmente.

La Asociación de Inernautas (AI), sin embargo, se ha desmarcado de la iniciativa de Kriptópolis y ha apostado por negociar el propio articulado de la LSSI junto al Ministerio. Muchos internautas entienden que es una actitud arriesgada, ya que existe un abrumador consenso sobre lo "inaceptable" de la actual redacción del anteproyecto, en concreto de la "particular definición" de sobre qué se va a desarrollar el articulado, y por tanto, hay serias dudas de que esta definición pueda "mejorarse" sin dañar la lógica con la que se redactó la ley misma, con lo que la supuesta mejora no tendría ninguna oportunidad de salir adelante.

El diario El País ha colocado recientemente la artillería pesada detrás de algunos de los aspectos políticos más oscuros relacionados con la LSSI. Forges publicó un chiste bastante ácido sobre la "Caspa Digital" y aparecieron dos artículos muy exahustivos y minuciosamente hilados -La forja del aznarismo y La chistera de Aznar- que atacaban sin piedad el entorno más cercano del presidente Aznar desde su relación con la Fundación para el Análisis y los Estudios Sociales (FAES) y donde significativamente aparecen los nombres de los actuales impulsores de la LSSI (Baudilio Tomé, hoy  secretario de Estado de Telecomunicaciones y Borja Adsuara, hoy director para la Sociedad de la Información). La FAES se la asocia en dichos artículos al think tank o creadores de ideología del aznarismo, por lo que el asunto LSSI puede convertir en una inmejorable diana sobre la que disparar al Gobierno.

Volver al principio del artículo             Volver al principio

RECORTES

Dos fallos de Windows Media Player dejan el PC del usuario a merced de los hackers

Arantxa G. Aguilera. PCWORLD

Microsoft ha desarrollado un parche para solucionar dos fallos de seguridad en Windows Media Player 6.4 y 7. Los agujeros podrían permitir a un atacante ejecutar programas y leer, modificar o borrar archivos del PC del usuario.

El bug de Windows Media Player podría permitir a un intruso realizar cambios en el PC del usuario, tanto borrar archivos como ejecutar programas. Para acceder al sistema, el hacker puede invocar una secuencia especial de código enviada a través de un mensaje de correo electrónico HTML o ejecutar el código en cuanto el usuario visitase determinada página web.

El problema se deriva de la forma en que el reproductor multimedia gestiona los archivos Active Stream Redirector, utilizados para encontrar y reproducir streaming y usar las listas de reproducción, según Microsoft. Debido a un fallo en el buffer de memoria referido a los archivos .asx, el usuario del reproductor queda a merced del código del atacante.

El segundo fallo tiene su origen en la forma en que Windows Media Player gestiona los atajos de Internet. Permite a un atacante ver los archivos del PC del usuario, pero no modificarlos ni borrarlos. En este caso, el intruso también podría ejecutar código HTML para acceder al ordenador del usuario. Este fallo se debe a que se supone que los atajos de Internet deben crearse en la carpeta caché de Internet Explorer. Sin embargo, Windows Media Player los crea en la carpeta de archivos temporales. De todas maneras, aprovecharse de este agujero es más complicado, según Microsoft, porque el hacker debe conocer el nombre exacto y la ubicación del archivo para acceder a él.

El parche, que se puede encontrar en la dirección: www.microsoft.com/technet/security/bulletin/MS01-029.asp.
Sirve para Windows Media Player 6.4. Los usuarios de la versión 7 deberán actualizarse a la versión 7.1 para resolver el problema, según Microsoft. Este parche también resuelve un fallo que permite obtener datos del usuario que, aunque no permitirían identificarle por su nombre, sí contendrían información sobre su perfil.

Volver al principio de la noticia             Volver al principio de Recortes             Volver al principio

Vulnerabilidad: Internet Explorer 5.x EML

Número: 176. Sección: Seguridad.

Daniel Avila Rubio (davila@idg.es)

Un nuevo fallo en el navegador de Internet de Microsoft pone a los usuarios al descubierto haciendo de este programa uno de los más inseguros en la historia de la informática.

El fallo en particular reside en el contenido de las páginas web con emails que contienen un tipo de archivo binario adjunto (attached) con una determinada cabecera MIME (Multipurpose Internet Mail Extensions) que IE procesa incorrectamente y permite ejecutar comandos automáticamente sin pedir confirmación al usuario. Para llevar a cabo este error, el atacante simplemente debe cambiar la cabecera del fichero adjunto por una del tipo EML que el navegador procesará de forma incorrecta y ejecutará como si se tratase de un mensaje de correo de Microsoft Outlook.

Un atacante puede usar esta vulnerabilidad en dos tipos de situaciones, bien publicando un email afectado en un servidor web y persuadiendo al usuario a visitar esta página, o bien enviando el email directamente al buzón del usuario con el archivo adjunto.

 

Solución

Microsoft ha puesto en circulación un parche para las versiones 5.01 y 5.5 de su navegador que todo usuario debería descargar debido a la importancia del problema. Esta es la dirección: www.microsoft.com/windows/ie/download/critical/ q290108/default.asp. Nótese que el parche simplemente evita que el archivo se ejecute automáticamente, por lo que si el usuario elige la opción Abrir este archivo desde su ubicación habitual ejecutará el temido archivo de la misma manera que si no dispone del parche. Como último consejo, nunca abra un archivo de Internet directamente sin antes guardarlo a su disco duro y analizarlo.

Volver al principio de la noticia             Volver al principio de Recortes             Volver al principio

Una juez interroga a cuatro directivos por abrir el ‘e-mail’ de un empleado

P. R. Diario "El País", Barcelona, Martes, 15 de mayo de 2001

Cuatro directivos del Deutsche Bank en España declararon ayer en calidad de imputados ante el Juzgado de Instrucción número 2 de Barcelona, acusados de un delito de revelación de secretos supuestamente cometido al interceptar y reproducir el contenido de los mensajes electrónicos que envió desde su puesto de trabajo el empleado Gregorio Giménez, que se querelló contra ellos por este motivo. Fuentes judiciales explicaron ayer que dos de los cuatro directivos admitieron que interceptaron los mensajes de ese empleado acogiéndose a una normativa interna de la empresa que impide el uso del correo electrónico para fines particulares de los trabajadores.

En concreto, José Antonio Soler León, jefe de recursos humanos del banco, reconoció ante la juez que dio la orden para que se interceptara el contenido del correo del empleado, siguiendo la orden de otro superior que identificó, pero que todavía no está imputado en el caso. Esa orden fue ejecutada por Albert Faulín, responsable de informática de banco, quien explicó también que todos los correos que reciben o envían los empleados pasan por un servidor central de la empresa. Los otros dos imputados en el caso -Juan Carlos Garay, director general del Deutsche Bank en España, y Juan Cruz, subdirector general de la entidad-declinaron ante la juez cualquier responsabilidad en la decisión de interceptar el correo electrónico del empleado.

Ordenadores y personas

Carlos Sánchez Almeida, abogado de la acusación, afirmó ayer que ‘los ordenadores son propiedad de las empresas, pero no las personas ni sus derechos fundamentales, especialmente el derecho a la intimidad’. La querella de Gregorio Giménez se fundamenta en el artículo 197 del Código Penal, que castiga con penas de uno a cuatro años de prisión a quienes intercepten las comunicaciones de otras personas sin su consentimiento, sea el correo ordinario, las conversaciones telefónicas o el correo electrónico.

Giménez fue despedido del Deutsche Bank por enviar 140 mensajes electrónicos en dos meses. Él asegura que fueron reenvío de otros mensajes y que numerosos compañeros suyos enviaron tantos o más mensajes que él y únicamente fueron sancionados con dos o tres días de empleo y sueldo. En su caso, asegura, se trató de una represalia porque era el impulsor de un sindicato entre los trabajadores del banco. El juzgado de lo social de Barcelona declaró nulo el despido y no entró a evaluar la utilización del correo, pero el Tribunal Superior de Justicia de Cataluña avaló el despido y lo justificó, entre otros motivos, por el tiempo que empleó el trabajador en realizar los envíos de los mensajes.

Giménez fue despedido y ahora vive de los ingresos de la floristería que tiene su mujer, pero recurrió contra el despido ante el Tribunal Supremo y decidió querellarse contra los directivos del banco por abrirle sus e-mail.

Volver al principio de la noticia             Volver al principio de Recortes             Volver al principio

Una comisión europea aconseja codificar los ‘e-mail’ ante el espionaje de la red Echelon

Bruselas reconoce su debilidad para garantizar la confidencialidad de sus comunicaciones

GABRIELA CAÑAS. Diario "El País", Bruselas, Miércoles, 30 de mayo de 2001

Ni la legislación ni las encriptaciones han sido desarrolladas lo suficiente en Europa como para evitar el espionaje al que la sometió EE UU, entre otros países, mediante el sistema Echelon, la red de escuchas global puesta en marcha para interceptar comunicaciones vía satélite y correos electrónicos de particulares y empresas. Éstas son las primeras conclusiones del informe elaborado por el eurodiputado socialista alemán Gerhard Schmid. La comisión parlamentaria que investiga el espionaje de Echelon recomienda a los ciudadanos de la UE el uso de sistemas de codificado.

El informe de Schmid subraya la debilidad de Europa para proteger la confidencialidad de sus comunicaciones -ya sean privadas o empresariales- ante un sistema de escuchas como el puesto en marcha con la red Echelon. Además, aporta una novedad significativa al afirmar que otros países, entre los que hay algunos Estados miembros de la UE, también pudieron interceptar telecomunicaciones internacionales. ‘Francia y Rusia son, técnica y geográficamente, capaces de mantener un sistema de interceptación similar al Echelon’, afirma Schmid.

En la red de espionaje mundial colaboraban con Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda en el marco del acuerdo AKUSA. El borrador del informe presentado ayer a la Eurocámara asegura que ‘al menos por un tiempo, el sistema fue denominado Echelon’ y que, aunque hasta ahora ha habido más rumores que pruebas, ‘no se puede poner en duda su existencia por más tiempo’.

Las primeras noticias sobre la red Echelon se obtuvieron en 1999, cuando la National Security Agency (NSA) estadounidense desclasificó documentos en los que se mencionaba dicha red. Aunque no hubo pruebas de su funcionamiento, una ex trabajadora de la NSA, Margaret Newsham, confirmó su existencia. Desde entonces, el Parlamento Europeo se ha interesado en diversas ocasiones por este alarmante asunto. Además del trabajo de Schmid, hay una comisión parlamentaria especial, llamada Comisión Echelon dedicada a este tema. Su presidente es el parlamentario portugués Carlos Coelho.

Tales investigaciones han enturbiado aún más las malas relaciones que mantiene Europa con Estados Unidos. A comienzos de este mes de mayo, Coelho y otros diez parlamentarios viajaron a Estados Unidos a entrevistarse con altos cargos de los departamentos de Estado y de Comercio, con las agencias de espionaje CIA y NSA y con el FBI. A última hora, fueron suspendidas las cinco entrevistas negociadas con la Administración norteamericana. El propio Coelho lo describe con claridad: ‘Nos dieron con la puerta en las narices; nos quedamos consternados y decepcionados’.

La difusión de este nuevo informe sobre Echelon se produce sólo unas semanas después de que un alto funcionario de la Comisión Europea reconociera que los sistemas de encriptación del Ejecutivo comunitario fueron puestos a prueba, deliberadamente, por los servicios secretos estadounidenses, lo que pudo facilitar que EE UU averiguara la puerta a través de la cual acceder a informaciones sensibles de Bruselas.

Una de las conclusiones a la que ha llegado el parlamentario alemán entierra, sin embargo, esa poder mítico que atribuía a la red Echelon posibilidades a menudo exageradas. ‘Las limitaciones técnicas (el sistema está diseñado para interceptar telecomunicaciones internacionales vía satélite con un sistema de búsqueda a través de palabras clave) y las limitaciones de personal para analizar la enorme cantidad de comunicaciones’, dice Schmid, ‘sólo permite interceptar una relativamente pequeña parte del total de las telecomunicaciones’.

Sin embargo, la comisión que investiga el espionaje de Echelon recomienda a los ciudadanos de la UE el uso de sistemas de encriptado para proteger la confidencialidad de sus comunicaciones privadas y, sobre todo, de sus empresas, informa France Press. ‘En el mercado europeo abundan los sistemas de encriptamiento seguros a precios asequibles’, afirma un proyecto de resolución que subraya que ‘un correo electrónico sin encriptar es como una carta sin sobre’.

Volver al principio de la noticia             Volver al principio de Recortes             Volver al principio
linea.gif (922 bytes)
Vivat Academia, revista del "Grupo de Reflexión de la Universidad de Alcalá" (GRUA).
Tus preguntas y comentarios sobre este Web dirígelos a vivatacademia@uah.es
Copyright © 1999 Vivat Academia. ISSN: 1575-2844.  Números anteriores. Año III
Última modificación: 12-10-2001