miércoles, 31 de octubre de 2001

El Ministerio de Ciencia y Tecnología apoya la campaña de seguridad en la Red

El pasado 15 de octubre se iniciaba, de manos de la Asociación de
Internautas y con la participación activa de Hispasec la Campaña
Nacional de Seguridad en la Red. Ayer en una rueda de prensa el
Ministerio de Ciencia y Tecnología anunciaba su apoyo a esta campaña.
El Director General para el Desarrollo de la Sociedad de la Información,
Borja Adsuara, anunció en el día de ayer el apoyo del Ministerio de
Ciencia y Tecnología a la Campaña de Seguridad en la Red iniciada hace
15 días por la Asociación de Internautas, con la colaboración de
diversos medios, entre los que Hispasec participa de forma activa.

La campaña estará operativa hasta el próximo 15 de diciembre y pretende
formar e informar a los ciudadanos de las herramientas disponibles para
garantizar la seguridad en Internet. Entre los objetivos de la campaña
se cuentan limpiar los ordenadores de virus, navegar con seguridad,
preservar la intimidad de las comunicaciones electrónicas, evitar las
intrusiones en los ordenadores así como favorecer el uso protegido,
responsable y no intrusivo de las nuevas tecnologías de la información.

Para paliar la demanda sobre información en torno al mundo de la
seguridad informática la Asociación de Internautas ha desarrollado un
espacio dentro de su sitio web http://seguridad.internautas.org, que
estará accesible desde hasta el 15 de Diciembre. En este espacio se
proponen intrusiones, recomendaciones y descarga de herramientas para
facilitar los procedimientos de seguridad indispensables para un uso de
Internet de forma segura.

En este espacio se enseña a los usuarios mediante un lenguaje fácil y
accesible los problemas de seguridad existentes así como las
herramientas y medidas necesarias para solucionarlos o evitarlos. Además
desde la puesta en marcha de la campaña se han creado nuevas secciones
sobre Internet en el trabajo y la protección de menores en Internet.

Cuando sólo se llevan 15 días de campaña se puede afirmar que la campaña
está siendo todo un éxito. Datos como los más de 41.000 antivirus
descargados, 60.000 cortafiegos Zone-Alarm, una media de 125.000 páginas
vistas diariamente y más de 6.700 programas de cifrado así lo revelan.
Otro dato preocupante de esta campaña es el que se desvela del uso del
escaneo de puertos on-line, en el que más de un 70% de usuarios tenían
el puerto 139 abierto.



Antonio Ropero
antonior@hispasec.com


Más información:

Hispasec una-al-dia (14/10/2001) Campaña Nacional de Seguridad en la
Red:
http://www.hispasec.com/unaaldia.asp?id=1085

Campaña Nacional de Seguridad en la Red:
http://seguridad.internautas.org/index.php


martes, 30 de octubre de 2001

DoS sobre funciones de administración en FireWall-1 4.1

Se ha reportado una vulnerabilidad de denegación de servicio en
VPN-1/FireWall-1 4.1 de forma que los usuarios remotos puede provocar
la interrupción o caída total de determinadas funciones de
administración.
El fallo proviene de que determinados paquetes Check Point Reliable
Data Protocol (RDP) pueden provocar la inestabilidad de determinadas
funciones administrativas. En módulos de la versión 4.1, algunas
funciones, como el log o las comunicaciones del administrador
pueden colgarse.

Check Point confirma el problema aunque asegura que no llega a
comprometer la seguridad, ya que el firewall continua funcionando
y filtrando el tráfico según las políticas de seguridad ajustadas.

Existe un parche para VPN-1/ FireWall-1 4.1 en todas las plataformas
disponible en: http://www.checkpoint.com/techsupport/index.html



Antonio Ropero
antonior@hispasec.com


Más información:

SecuriTeam:
http://www.securiteam.com/securitynews/6S00M202UA.html



lunes, 29 de octubre de 2001

Vulnerabilidad en Oracle9iAs Web Cache

Oracle9iAS Web Cache/2.0.0.1.0 en todas sus plataformas se ve afectado
por un problema de desbordamiento de búfer que puede provocar desde una
denegación de servicio a la ejecución de código en el servidor afectado.
Existe una condición de desbordamiento de búfer de forma sencilla
mediante la construcción y envío al servicio web de una URL con una
cadena de texto demasiado larga. Esto ocurre en cada uno de los cuatro
servicios web proporcionados por el software Oracle9iAS Web Cache. Los
cuatro servicios que se ejecutan por defecto son:

En el puerto 1100 = Proxy cache de web entrante.
En el puerto 4000 = Interfaz administrativa.
En el puerto 4001 = Puerto de cancelación Web XML.
En el puerto 4002 = Puerto de estadísticas.

La vulnerabilidad reside en el ratamiento de las peticiones HTTP GET,
con lo que un atacante podrá tener la oportunidad de crear una petición
de gran tamaño y conseguir una denegación de servicio. Dependiendo de la
plataforma el intruso podrá llegar a ejecutar código sobre el sistema
atacado. Este problema abre a los atacantes la posibilidad de realizar
tres ataques diferentes que provocarán un consumo del 100% de los
recursos de la CPU lo que obligará a reiniciar el sistema para recuperar
su funcionamiento habitual.

Oracle ha publicado las actualizaciones necesarias para paliar los
efectos de esta vulnerabilidad. Estas pueden descargarse del sitio web
de soporte http://metalink.oracle.com bajo las siguientes numeraciones:

Para NT/WIN2K actualización número 2044682
Para SUN Sparc Solaris actualización número 2042106
Para HP-UX actualización número 2043908
Para Linux actualización número 2043924
Para Compaq Tru64 Unix actualización número 2043921
Para IBM AIX actualización número 2043917



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Oracle9iAS Web Cache Buffer Overflow Vulnerability
http://otn.oracle.com/deploy/security/pdf/webcache.pdf



domingo, 28 de octubre de 2001

Publicación "online" y gratuita del libro "Handbook of Information Security Management"

El libro, publicado en papel en 1993 y 1997, cuenta ahora con una
edición digital compleya y actualizada, libre y gratuita. Esta cuarta
edición dispone también de la versión clásica en papel, naturalmente.
El libro consta de diez secciones:

1. Control de acceso
2. Seguridad en las comunicaciones
3. Gestión y planificación de riesgos
4. Políticas de seguridad, estándars y organización
5. Arquitectura de ordenadores y seguridad de sistemas
6. Legislación, investigación y ética
7. Seguridad en programación de aplicaciones
8. Critografía
9. Seguridad operativa
10. Seguridad física

El libro es extenso, muy completo y recomendable, y su disponibilidad
"online" supone un regalo para todos los profesionales de la seguridad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Handbook of Information Security Management
http://secinf.net/info/misc/handbook/



sábado, 27 de octubre de 2001

Metodología para la programación segura

El proyecto Ideahamster ha publicado un manual con una metodología
para la programación segura de aplicaciones para Internet. Además,
anuncia la celebración de un workshop en Barcelona sobre la
metodología de seguridad OSSTMM.
La metodología para la programación segura es un suplemento de
la metodología de seguridad OSSTMM (Open Source Security Testing
Methodology Manual) que facilita una serie de estándares en
vistas al desarrollo de código que deberá encontrarse accesible
en Internet. Por tanto se parte desde un principio con la idea
de que este código debe estar preparado para sobrevivir en un
entorno altamente hostil.

A lo largo del manual se desarrollan las ideas que los diversos
programadores y diseñadores de aplicaciones deberán considerar
durante las fases de diseño y desarrollo de las aplicaciones.

Estos conceptos se plantean de forma universal para que puedan
ser aplicados a los diversos procesos de desarrollo, ya sean
manuales o automáticos y el objetivo es poder alcanzar unos
requisitos de seguridad que permitan conjugar la máxima
productividad del código evitando cualquier posible mal uso
que pueda provocar agujeros en la seguridad de los sistemas o
aplicaciones.

Los aspectos sobre los que se hace énfasis dentro de este
manual son:

* Comprobación de los datos entrantes
* Protección del proceso
* Control de los datos de salida

Por otra parte se realiza un análisis de los diversos errores
de programación que pueden provocar agujeros en la seguridad:
desbordamiento de memoria intermedia ("buffer overflow"),
ausencia de control en las cadenas de caracteres, el compromiso
remoto y la retención de recursos.

Este manual ha sido publicado en inglés y castellano.

Workshop sobre la metodología OSSTMM


El próximo 22 de noviembre se celebrará en Barcelona un workshop
sobre la metodología de seguridad OSSTMM. Este workshop será
presentado por Pete Herzog (creador de la metodología OSSTMM)
e impartido en castellano por tres de los principales en el
desarrollo de la metodología: Ángel Uruñuela, Jordi Martínez
y Miguel Ángel Domínguez.

El objetivo de este workshop consiste en facilitar información
sobre la metodología OSSTMM, su estructura y su utilización en
la realización de verificaciones en profundidad de la seguridad,
no sólo de los sistemas informáticos sino de otros elementos
clave como son las áreas de marketing, los recursos humanos y
la dirección.

En este sentido, el workshop ofrecerá una visión práctica de
la metodología OSSTMM y su utilización en las valoraciones de
seguridad corporativa. Gracias a la participación del creador
de la metodología y de destacados participantes en su
desarrollo, los participantes recibirán una gran cantidad de
información sobre la utilización real de la metodología.

La asistencia al workshop es gratuita y es de especial interés
no únicamente para aquellos involucrados en la realización de
pruebas o auditorías de seguridad sino también para aquellos
que tienen interés en los aspectos organizativos y están
preocupados por la implicación de la seguridad. La duración
prevista es de medio día.

Los interesados en asistir al workshop deben enviar un mensaje
a workshop@ideahamster.org para realizar la reserva. Más
adelante se facilitaran los detalles del lugar de celebración
del mismo.



Xavier Caballé
xavi@hispasec.com


Más información:

Hispasec 27/04/01: Publicada una metodología para la
verificación de la seguridad
http://www.hispasec.com/unaaldia.asp?id=915

Estándar de programación segura
Versión en castellano
http://www.ideahamster.org/spsmmall-es.htm

Versión en inglés
http://www.ideahamster.org/spsmm.htm

Metodología OSSTMM (Open Source Security Testing Methodology
Manual)
http://www.ideahamster.org/osstmm-description.htm

Información sobre el workshop
http://www.ideahamster.org/workshop.htm



viernes, 26 de octubre de 2001

Nueva edición de "Linux Administrator's Security Guide"

Se acaba de publicar una versión actualizada del libro digital "Linux
Administrator's Security Guide", disponible "online" de forma libre y
gratuita.
El índice del documento es el siguiente:

* Introducción a la seguridad informática
* Instalación Linux
* Seguridad física y de consola
* Administración
* Copias de seguridad
* Ficheros y sistema de ficheros
* Autentificación
* Logs
* Detección de ataques
* Pruebas de intrusión
* Cortafuegos
* Red
* Servidores de red
* Software
* Cifrado
* Control y monitorización de usuarios
* Virus
* Redes privadas virtuales
* Kernel
* Técnicas de seguridad
* "Checklists" (protocolos) de seguridad
* Distribuciones Linux

Aunque fragmentario, el documento constituye una lectura recomendable
para administradores Linux y Unix en general.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux Administrator's Security Guide
http://www.seifried.org/lasg/



jueves, 25 de octubre de 2001

El CERT publica un informe sobre la evolución actual de los ataques DoS

El documento empieza explicando someramente qué es un ataque DoS y los
tipos principales que hay, con sus características. Seguidamente se
detalla los puntos evolutivos más significativos de la tecnología DoS
desde mediados de 1999 hasta nuestros días. 1999 es una fecha especial
porque marca el inicio de la distribución de sistemas de ataque DoS
automatizados y, en muchos casos, distribuídos.
Por último, se pasa al análisis de las tendencias previsibles de estas
herramientas, entre las que podemos observar:

* Despliegue automatizado.

* Escaneo sistemático y automatizado.

* Crecimiento de agentes DoS desplegados utilizando vulnerabilidades
Windows.

* Intrusiones en routers.

* Uso más rápido de las vulnerabilidades descubiertas.

* Diversificación de los canales de control, especialmente sobre IRC.

Se trata de un análisis histórico que se lee fácilmente. Recomendable.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Trends in Denial of Service Attack Technology
http://www.cert.org/archive/pdf/DoS_trends.pdf

CERT
http://www.cert.org/



miércoles, 24 de octubre de 2001

Publicación de un interesante "CheckList" de seguridad para Unix

El CERT ha publicado un documento que proporciona un interesante
"CheckList" de seguridad para administradores de sistemas Unix.
Un "CheckList" es un conjunto de pasos y actuaciones que se deben seguir
para lograr un objetivo y asegurarnos que no nos hemos saltado ningún
paso (por ejemplo, la lista de preparación de vuelo de un avión).

El CERT y el AusCERT han publicado un "CheckList" centrado en seguridad
Unix, que será de gran utilidad para los administradores de sistemas,
especialmente en el caso de instalación de sistemas nuevos.

La lista, en inglés, proporciona una larga serie de pasos que deberían
evaluarse y seguirse uno a uno para asegurarnos de configurar y proteger
adecuadamente los sistemas informáticos Unix.

Los puntos fundamentales, explicados detalladamente en el documento, se
pueden resumir en:

* Aplicación de parches del sistema operativo.

* Evaluación de los servicios de red, desactivación de servicios no
utilizados y criterios de seguridad de red.

* Instalación y despliegue de cortafuegos, protección contra ataques de
Denegación de Servicio (DoS), criptografía y autentificación.

* Seguridad general del sistema de ficheros, tanto a nivel de permisos y
niveles de acceso como control de integridad y detección de
modificaciones maliciosas.

* Correcta configuración de cuentas y bases de datos de usuarios,
incluyendo claves, permisos y cuentas especiales.

* Monitorización del sistema, cuentas y ficheros de logs.

* Análisis de servicios más habituales: servidor de nombres, correo
electrónico, servidor web (incluyendo CGIs, páginas activas y
similares), FTP, NFS, X-Window...

* Herramientas, software y URLs de interés.

Además de detallar los pasos con ejemplos, consejos y sugerencias, se
indica también software para instalar, URLs para ampliar información,
etc. Se trata, en resumen, de un texto muy completo y recomendable.



Jesús Cea Avión
jcea@hispasec.com


Más información:

UNIX Security Checklist v2.0
http://www.cert.org/tech_tips/AUSCERT_checklist2.0.html



martes, 23 de octubre de 2001

Vulnerabilidad en diferentes versiones de WebCart

Una vulnerabilidad existente en el popular software de tiendas
virtuales WebCart permite a un atacante la ejecución de comandos en
el servidor.
WebCart se ve afectado por una vulnerabilidad en sus versiones 7.3,
8.4 y 9.0. Este problema, permitirá a un atacante remoto la ejecución
de comandos dentro del servidor atacado mediante la introducción de
una dirección URL modificada. El problema concretamente nos lo
encontramos en la falta de filtrado de los datos de los usuarios de
un script del mencionado software.

Con el siguiente ejemplo podremos comprobar si nos vemos afectados por
esta vulnerabilidad.

http://www.servidor_afectado.com/cgi-bin/webcart/webcart.cgi?CONFIG=mountain&CHANGE=YES&NEXTPAGE=;ls¦&Code=PHOLD

Otra posibilidad es la utilización del servicio que ofrece la empresa
desarrolladora de este software, Mountain Network Systems, Inc., que
previo pago realiza una prueba de seguridad a los clientes de su
software en la dirección:
https://www.online-merchants.com/securehost/mountain/workorder.htm



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Mountain Network Systems, Inc.

http://www.mountain-net.com/ecom.htm

Mountain Network Systems WebCart Command Execution Vulnerability

http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=credit&id=3453

Mountain Network System WebCart Vulnerability Leads to Arbitrary
Command Execution

http://www.securiteam.com/securitynews/6M00R0A2US.html



lunes, 22 de octubre de 2001

Fallo en Servicios de Terminal en Windows NT y 2000

Un problema en la implementación del Remote Data Protocol (RDP) en
el servicio de terminales de Windows NT 4.0 y Windows 2000 puede
permitir a un atacante la realización de un ataque de denegación
de servicios sobre este tipo de sistemas.
La implementación del Remote Data Protocol (RDP) en el servicio de
terminales de Windows NT 4.0 y Windows 2000 no maneja de forma
adecuada determinadas series de paquetes de datos. Si un servidor
afectado recibe tales series de paquetes, podrá provocar una
denegación de servicio en el servidor. Será necesario reiniciar
el servidor para restaurar el servicio de forma habitual

Para que un atacante pueda llevar a cabo este ataque no es necesario
que pueda iniciar una sesión, basta con que disponga de la posibilidad
de enviar la serie de paquetes específicamente construida al puerto
RDP en el servidor.

Se ven afectados pos este problema los sistemas Windows NT Server 4.0,
Terminal Server Edition, Windows 2000 Server, Windows 2000 Advanced
Server y Windows 2000 Datacenter Server.

Microsoft se vio obligada a retirar los parches apenas transcurridas
dos horas de su primera publicación debido a un error que provocaba
inestabilidades en los sistemas tras la instalación de dichos parches.
Una vez corregidos y eliminados los problemas Microsoft ofrece las
actualizaciones definitivas y necesarias para paliar los efectos de
esta vulnerabilidad

El parche para Windows NT 4.0, Terminal Server, puede descargarse de
la dirección:
http://download.microsoft.com/download/winntsp/Patch/q307454/NT4/EN-US/Q307454i.exe

El parche para Windows 2000 Server y Advanced Server puede descargarse
de la dirección (también disponible para sistemas en español):
http://www.microsoft.com/downloads/release.asp?ReleaseID=33389



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-052):
Invalid RDP Data can Cause Terminal Service Failure:
http://www.microsoft.com/technet/security/bulletin/ms01-052.asp



domingo, 21 de octubre de 2001

Falsificación de pantalla en Internet Explorer

Georgi Guninski vuelve a publicar un aviso en relación al popular
navegador de Internet de Microsoft, el Internet Explorer en sus
versiones 5.5 y 6.0. El problema hace relación a la posibilidad de que
una página web con javascript falsee el contenido de la pantalla
modificando sus contenidos.
Aunque como el mismo aclara no se trata de una vulnerabilidad por si
misma, este problema tiene unas implicaciones en relación a la seguridad
bastante importantes. Es posible que una página web con javascript tome
el control del contenido de la propia pantalla, esto incluye menús,
cuadros de diálogo modales, barra de tareas, reloj, etc.

Esto puede permitir falsear los contenidos de la pantalla, incluso los
mensajes modales de Internet Explorer. Un ejemplo en el que se
demuestran las connotaciones de seguridad que puede tener es que un
diálogo típico de Internet Explorer, como "Va a descargar el archivo
virus.exe de la dirección www.notefies.com - Abrir - Cancelar - Más
información.", puede aparecer bajo el control del script como
"Bienvenido al nuevo sitio web - Abrir." (y ni siquiera mostrar el botón
de cancelar, que permanecerá invisible y no se podrá pulsar). Si
engañado por el mensaje el usuario llega a pulsar sobre el botón Abrir
podrá provocar la ejecución de código malicioso.

Aunque Guninski advierte de la posibilidad de reproducir en problema en
versiones anteriores a Internet Explorer 5.5, en las pruebas realizadas
por Hispasec no hemos podido contrastar dicha posibilidad.

Para confirmar el problema Guninski ofrece dos ejemplos de las
posibilidades del problema, el movimiento de una imagen sobre un cuadro
de descarga y una emulación de pantalla azul (BSOD). Estos ejemplos
pueden comprobarse en las direcciones http://www.guninski.com/opf2.html
y http://www.guninski.com/bsod1.html.

En caso de desear evitar este tipo de problemas, la única contramedida
posible pasa por desactivar javascript ("active scripting").



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Guninski:
http://www.guninski.com/popspoof.html



sábado, 20 de octubre de 2001

¿Anarquía informativa?

Microsoft ha publicado un llamamiento a la comunidad
profesional dedicada a la seguridad para que no se divulguen
los errores detectados en sus productos. El objetivo de la
compañía de Redmon es "no proporcionar información gratuita a
los hackers para explotar las debilidades del sistema".
En un comunicado firmado por Scott Culp, responsable del
Microsoft Security Response Center se atribuye a la "anarquía
informativa" existente en la actualidad el éxito alcanzado por
los últimos gusanos: Code Red, Lion, Sadmin, Nimda. Estos
gusanos han conseguido paralizar redes de ordenadores,
destruir datos y, en algunos casos, infectar los ordenadores
para que sean vulnerables a futuros ataques.

Microsoft empieza su nota reconociendo dos hechos obvios y
evidentes: "Todos los gusanos se aprovechan de
vulnerabilidades en los sistemas atacados. Si no existen
vulnerabilidades de seguridad en Windows, Linux y Solaris
ninguno de estos [gusanos] podría haber sido escrito". De la
misma forma "Si bien la industria debe esforzarse en producir
productos más seguros, no es realista esperar que seamos
capaces nunca de alcanzar la perfección. Todos los programas
no triviales contienen bugs y los sistemas operativos modernos
son cosa cualquier excepto triviales. De hecho, se pueden
incluir entre las cosas más complejas que nunca haya realizado
la humanidad. Las vulnerabilidades de seguridad están aquí
para quedarse".

Por tanto, sino puede eliminarse el problema de fondo "se hace
más crítico que lo manejemos de la forma más cuidadosa y
responsable". Esto contrasta, según la opinión de Microsoft,
con la práctica habitual de la comunidad profesional dedicada
a la seguridad que es descrita como "anarquía informativa".
Esta "anarquía" consiste en publicar todos los problemas
descubiertos con instrucciones paso a paso para aprovecharse
de la vulnerabilidad.

Microsoft afirma que "informar de la existencia de una
vulnerabilidad no ayuda a los administradores que deben
proteger las redes. En muchas ocasiones es necesario instalar
un parche que cambia el comportamiento del sistema y protege
de la vulnerabilidad" mientras que "en otras ocasiones la
vulnerabilidad puede eliminarse si el administrador hace una
serie de cambios". Por otra parte "a un administrador en
verdad poco le interesa saber como funciona una vulnerabilidad
en vistas a protegerse de la misma".

En lo referente al sistema actual de aplicación de parches,
Microsoft reconoce que "debemos facilitar el método de
instalación de parches; es algo que hemos reconocido en uno de
los últimos anuncios. Pero si los métodos actuales no son
eficientes, hace que todavía sea más importante como tratar la
información que puede potencialmente destruir información".

Microsoft solicita de la comunidad un "consenso silencioso de
la industria" y para conseguirlo durante los próximos meses
trabajará con los líderes del sector.

¿Por qué Microsoft hace este llamamiento?

En mi opinión personal, la posición de Microsoft utiliza unos
planteamientos con una lógica casi infantil: si nadie conoce
los problemas, nadie puede utilizarlos. Y para ello solicita
de la industria que no haga publicidad de las vulnerabilidades
en sus productos.

Esto podría funcionar si todos, sin excepción, siguieran esta
regla. ¿Pero acaso existe alguna forma de garantizar este
"silencio universal"? Sencillamente, plantear en la actualidad
que la forma de solucionar un problema es esconder la cabeza
bajo tierra es una gran hipocresía.

Microsoft parece estar harta de tener que trabajar en
solucionar los problemas de seguridad de sus productos, que
cada semana deba publicar uno o más parches para solucionar
problemas más o menos importantes y que su nombre aparezca
asociado a los diversos gusanos que últimamente nos están
inundando.

Una vez más, Microsoft quiere aparecer ante la opinión pública
como "una empresa que no tiene problemas, pero si tiene
soluciones".



Xavier Caballé
xavi@hispasec.com



viernes, 19 de octubre de 2001

Problema en los adaptadores de los enrutadores ADSL de Cisco

Al igual que informamos hace algunos días con los adaptadores de
corriente de Compaq, la Consumer Product Safety Commission
(Agencia Reguladora de Seguridad Estadounidense), en colaboración
con Cisco System, ordenó la retirada de cerca de 95.000 adaptadores
que acompañan a sus enrutadores ADSL.
Los enrutadores afectados son los Cisco 826, 827, 827-4V y SO HO 77
que vienen acompañados por los adaptadores cuyo número de serie
coincide con "34-0949-02". Estos adaptadores se ven afectados por la
posibilidad de recalentamiento hasta el punto de llegar a incendiarse.
El problema en concreto está localizado en el cable que acompaña al
adaptador de corriente que es susceptible de arder.

Si usted desea realizar una comprobación para ver si se ve afectado
por este problema, deberá mirar al dorso del adaptador en la parte
superior izquierda donde se encontrará el logotipo de Cisco Systems.
Es debajo del logotipo donde se encuentra el número de serie de la
forma P/N:34-0949-02, si este es su número usted está afectado.

En caso de cualquier duda sobre este problema, Cisco recomienda a
los usuarios contactar con los centros de asistencia técnica o con
el distribuidor Cisco autorizado habitual. En cualquier caso se
puede solicitar el cambio de adaptador de forma online mediante
el formulario que se encuentra en la dirección:
https://mware7.mwareinc.com/CiscoRecall/Order.asp



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Información de cambio de adaptadores de corriente:
http://www.cisco.com/warp/public/779/smbiz/programs/exchange/index.shtml



jueves, 18 de octubre de 2001

Denegación de servicio en la autentificacion de PIX Firewall

La característica de autentificación AAA en los Cisco Secure PIX
Firewall, introducida en la versión, es vulnerable a un ataque de
denegación de servicio (DoS). Este problema afecta a configuraciones
específicas.
Las configuraciones afectadas son aquellas que tienen líneas de
configuración que comienzan por:

pixfirewall# aaa authentication ...

Las configuraciones que no incluyen autentificación aaa no se ven
afectadas, al igual que las versiones de software 6.0(1) y posteriores.

El problema ocurre cuando los servicios de autentificación AAA están
configurados en el Cisco Secure PIX Firewall, debido a que es posible
para una única dirección origen consumir todos los recursos de
autentificación. Esto impide que otros usuarios se autentifiquen
adecuadamente.

La vulnerabilidad se ha resuelto en las últimas versiones de PIX
Firewall mediante la creación de un límite máximo de tres peticiones
de autentificación abiertas por usuario.

Se recomienda a todos los usuarios con versiones de software 4.0 hasta
4.4(8), 5.0(3), 5.1(3), 5.2(2) y actualizar a la versión 5.2(6). Para
dispositivos con versión de software 5.3.x hasta 5.3(1) se recomienda
actualizar a la versión 5.3(2).



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Cisco:
http://www.cisco.com/warp/public/707/pixfirewall-authen-flood-pub.shtml



miércoles, 17 de octubre de 2001

Estadísticas del CERT para los tres primeros trimestres de 2001

El CERT (Computer Emergency Response Team) acaba de publicar las
estadísticas de incidentes de seguridad de los tres primeros trimestres
del presente año. Estas estadísticas son confeccionadas a partir del
número de incidentes recibidos en el CERT (que se consideran una parte
muy pequeña del número total de incidentes).
Cuando sólo se han completado nueve meses, el número total de incidentes
registrados por el CERT ya supera en cerca de un 60% el número total de
incidentes contabilizados durante todo el año 2000.

Así, si durante los doce meses del 2000 se registraron un total de
21.756 incidentes, sólo en los nueve primeros meses del 2001 la cifra ya
asciende a 34.754.

De continuar con la misma tendencia en estos tres últimos meses, podemos
predecir que el número total de incidentes de 2001 puede acercarse a los
46.000, lo que representaría más del doble respecto al año pasado.

Según la definición del CERT, un incidente es "cualquier intento,
exitoso o no, de obtener acceso no autorizado a datos o a un sistema".

En el informe publicado no se hace ninguna referencia a cuales son las
causas que han originado este notable incremento. Por tanto, una posible
explicación podría ser un incremento en el número de centros que
informan de sus incidentes al CERT.

No obstante, podemos recordar que en lo que llevamos de año han habido
una serie de gusanos con una notable incidencia y propagación: sadmind,
las diversas versiones de Code Red y Nimda, por citar únicamente a tres.

Otro dato de interés en estas estadísticas es el incremento de
vulnerabilidades de seguridad registradas por el CERT. Si durante el año
2000 se registraron 1.090 vulnerabilidades, en lo que llevamos de año ya
se han registrado 1.820 vulnerabilidades, lo que representa un aumento
del 66%.



Xavier Caballé
xavi@hispasec.com


Más información:

CERT/CC Statistics 1988-2001
http://www.cert.org/stats/cert_stats.html

Versión en catalán de esta noticia
http://www.quands.com/misc/html/cert01q3.html



martes, 16 de octubre de 2001

Grave problema en algunos adaptadores de Compaq

Cerca de un millón cuatrocientos mil adaptadores de ordenadores
portátiles de la compañía Compaq Computer Corporation tienen un
defecto que les hace sobrecalentarse.
Compaq a dado la voz de alarma a sus distribuidores de todo el mundo
para que retiren los adaptadores que son utilizados por sus
ordenadores portátiles Prosignia modelos 170 y 190, Notebook 100 y
Armada modelos 100S, 110, V300, M300, E500, M700, 3500 y E500S,
vendidos entre septiembre de 1998 y julio de 2001, y que sus números
de serie sean "PPP003SD","PPP003" y "PP2012". Se prevé que las
unidades afectadas ronden las 594.000 en Norte América, 620.000 en
Europa y las 85.000 unidades de Sudamérica

El calentamiento de los adaptadores pueden llegar a causar su incendio,
en la actualidad se han registrado cinco incidentes de este tipo.
Compaq aconseja a sus clientes que dejen de utilizarlos de inmediato y
proceden a su intercambio por otros libres de este problema, el
intercambio será gratuito, informa Compaq.

El número de serie para realizar la pertinente comprobación se
encuentra en la etiqueta del producto al lado de las palabras "Compaq
Computer Corporation".

Para realizar el cambio del adaptador lo puede realizar desde la
siguiente dirección:
http://adapterrecall.compaqordercenter.com/spanish_eu/



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

CPSC, Compaq Announce Recall of Notebook Computer AC Adapters
http://www.cpsc.gov/cpscpub/prerel/prhtml02/02002.html

Programa de repuesto de adaptadores AC
http://www.compaq.com/products/notebooks/adapterrecall/spanish_eu/

Compaq recalls 1.4 million power adapters
http://news.cnet.com/news/0-1006-200-7410618.html?tag=mn_hd



lunes, 15 de octubre de 2001

Problema de seguridad en las macros de Excel y PowerPoint

Microsoft ha publicado un boletín de seguridad en el que informa
de un problema de seguridad con las macros de Excel y PowerPoint,
que puede permitir la ejecución de las macros sin solicitar la
autorización del usuario.
Excel y PowerPoint poseen un entorno de seguridad que controla la
ejecución de macros e impiden la ejecución de macros de forma
automática. Bajo este entorno, cuando un usuario abre un documento,
este es escaneado para buscar la existencia de macros. Si se detecta
alguna macro en el documento, se le pregunta al usuario si desea
ejecutarlas o desactivarlas completamente.

Existe un fallo en la forma en que se detectan las macros dentro
de un documento que puede permitir a un usuario malicioso evitar
esta comprobación. Esto puede permitir a un atacante crear un
documento de PowerPoint o Excel con macros que se ejecuten sin
avisar al usuario cuando el documento se ejecute. El ataque puede
llevarse a cabo desde una página web, un archivo compartido o
enviándolo a través de e-mail.

Los parches pueden descargarse de las siguientes direcciones:

Microsoft Excel 2000 para Windows:
http://download.microsoft.com/download/excel2000/e2kmac/1/w98nt42kme/en-us/e2kmac.exe

Microsoft Excel 2002 para Windows:
http://download.microsoft.com/download/excel2002/exc1001/1/w98nt42kme/en-us/exc1001.exe

Microsoft Excel 98 para Macintosh:
http://www.microsoft.com/mac/download/office98/pptxlmacro.asp

Microsoft Excel 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp

Microsoft PowerPoint 2000 para Windows:
http://download.microsoft.com/download/powerpoint2000/p2kmac/1/w98nt42kme/en-us/p2kmac.exe

Microsoft PowerPoint 2002 para Windows:
http://download.microsoft.com/download/powerpoint2002/ppt1001/1/w98nt42kme/en-us/ppt1001.exe

Microsoft PowerPoint 98 para Macintosh:
http://www.microsoft.com/mac/download/office98/pptxlmacro.asp


Microsoft PowerPoint 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS01-050
Malformed Excel or PowerPoint Document Can Bypass Macro Security
http://www.microsoft.com/technet/security/bulletin/MS01-050.asp



domingo, 14 de octubre de 2001

Campaña Nacional de Seguridad en la Red

Bajo el lema "Por un Internet más seguro", la Asociación de Internautas,
con la colaboración de diversos medios, entre los que Hispasec participa
de forma activa, inicia una Campaña Nacional de Seguridad en la Red.
A continuación reproducimos la nota de presentación de esta campaña:

Por un Internet más seguro

La Asociación de Internautas inicia una Campaña Nacional de Seguridad en
la Red

Objetivos:

* Limpiar los Pcs de vírus.
* Navegar con seguridad.
* Preservar la Intimidad de las comunicaciones electrónicas.
* Evitar las intrusiones en los Pcs.
* Formar e informar a los internautas sobre el uso de herramientas de
seguridad gratuitas.

En los últimos meses, hemos constatado la necesidad que tienen muchos
internautas de información especifica sobre seguridad, debido a la
proliferación de virus informáticos, intrusiones en Pcs ajenos, y un
debate en pro de la violación de las comunicaciones electrónicas así
como la incorporación de miles de nuevos internautas en el último año
con muy escasa cultura telemática, propician una opinión social muy
generalizada de un Internet inseguro.

De hecho un reciente informe de la consultora Forrester ,
http://www.baquia.com/com/20011004/not00006.html. concluía que la
posibilidad de que los clientes pierdan su privacidad al ir de compras
por la Red puede hacer caer las expectativas del sector nada menos que
un 27% para el 2001, o lo que es lo mismo, unos 15.000 millones de
dólares. Y el caso es que según el estudio, un 37% de los compradores,
dijo que incrementarían el volumen de sus compras online si estuvieran
completamente seguros de que no tendrían problemas sobre la protección
de sus datos. Otro 34% de los internautas que aún no compran en
Internet, asimismo aseguró que empezarían a hacer compras si los
comerciantes les aseguran que no han de temer por la pérdida de su
intimidad.

La Asociación de Internautas para paliar esa demanda sobre información
de utilización de herramientas que garanticen seguridad en todos los
aspectos necesarios, ha desarrollado un espacio dentro de su sitio web
http://seguridad.internautas.org/index.php, que estará accesible desde
el lunes 15 de octubre hasta el 15 de Diciembre, bajo el título de
"CAMPAÑA NACIONAL DE SEGURIDAD EN LA RED".

Este nuevo espacio web de indudable interés formativo, esta coordinado
por José Ramón Esteban Martín, especialista en seguridad informática y
Vicepresidente de la Asociación, que propondrá en un tono coloquial a
internautas nuevos y experimentados, instrucciones, recomendaciones y
descarga de herramientas freeware -software gratuito- que faciliten el
conocimiento teórico necesario y el uso y manejo prácticos de todos los
procedimientos de seguridad indispensables para una navegación segura.

Campaña dinámica y participativa abierta a tod@s los agentes del sector.

A pesar del silencio del Ministerio de Ciencia y Tecnología ante esta
demanda por parte de la Comunidad Internet, la Asociación de
Internautas, una vez más, ha dado un paso adelante con la puesta en
funcionamiento de esta iniciativa y pide la colaboración y apoyo de
todos los agentes implicados en el sector para su desarrollo y difusión.

Por ese motivo; a lo largo de estos dos meses, los contenidos de esta
campaña se irán incrementando a medida que colaboradores y expertos nos
vayan enviando nuevas propuestas formativas y dentro del campo de la
seguridad.

Se ofrece una línea de contacto permanente mediante correo electrónico,
para solucionar dudas, recibir sugerencias, aportaciones y
colaboraciones, y de esta manera recoger de forma inmediata la
participación y la respuesta que la Comunidad Internet preste a esta
iniciativa.

Primeras opciones disponibles:

Se presentan con especificaciones en castellano una docena de programas
de gratuitos y de libre uso para su instalación y manejo entre los que
cabe destacar el Zone Alarm, el antivirus personalizado para esta acción
del Antiviral ToolKIt Proo, Test de scanneo en linea de puertos, y los
programas de encriptación de correo electrónico PGP y GNUPG.

* Introducción.


http://seguridad.internautas.org/index.php

* Recomendaciones: Para navegar con seguridad.


http://seguridad.internautas.org/recomendaciones.php

1. ¿Qué es un virus informático?


http://seguridad.internautas.org/virus.php

1.1 Alerta Antivirus. Centro de Alerta Temprana.
http://seguridad.internautas.org/alertav.php

1.2 Descargar Antivirus: Limpia Tu PC
http://seguridad.internautas.org/antivirus.php

2. ¿Qué son los puertos?
http://seguridad.internautas.org/puertos.php

2.1 Escanear tus puertos desde tu PC
http://seguridad.internautas.org/scan-puertos.php

2.2.- Test. Escaneo de tus puertos en linea.
http://seguridad.internautas.org/scanonline.php

2.3. Bloqueo de Puertos
http://seguridad.internautas.org/bloqueo.php

2.4 Cerrar Puerto 139
http://seguridad.internautas.org/seguridad1.php

3 .-Cortafuegos-Firewall:. Para que nadie entre en Tu PC
http://seguridad.internautas.org/firewall.php

4.-Navegación: Decide cómo quieres navegar por la Red.
http://seguridad.internautas.org/navegacion.php

5.-El Correo Electrónico.
http://seguridad.internautas.org/correoe.php

6.-Criptografía; Para que tus mensajes lleven sello y nadie los pueda
abrir.
http://seguridad.internautas.org/criptografia.php

6.1 PGP
http://seguridad.internautas.org/pgp.php

6.2. GNUPG
http://seguridad.internautas.org/pgp.php

7.Seguridad en Unix
http://seguridad.internautas.org/unix.php

8. Uso de Internet en el trabajo.
http://seguridad.internautas.org/trabajo.php

Duración de la campaña:
Desde el 15 de octubre hasta el15 de diciembre.

NUESTRO AGRADECIMIENTO A:

Cadena100, Telefónica, Yahoo España, AVP, PC Actual, PC World,
NoMeFio.com, Hispasec, El Mundo.es, Abc.es, La Vanguardia Digital,
Atlas News, Europa Press Internet, Comfia.net-CCOO



Antonio Ropero

antonior@hispasec.com


Más información:

Campaña Nacional de Seguridad en la Red:
http://seguridad.internautas.org/index.php



sábado, 13 de octubre de 2001

Criptografía y democracia en la era digital

La intimidad es un derecho constitucional del individuo (art. 18,
apartados 3 y 4), que como consecuencia de la progresiva implantación
de los sistemas de telecomunicación electrónicos, resulta
crecientemente amenazada. Todos los internautas poseen e intercambian
información confidencial que desean permanezca como tal. Desde los
números de tarjeta de crédito utilizados en las transacciones
comerciales, hasta los mensajes enviados a un amigo que no se quiere
sean leídos por nadie más. Cada individuo cuenta con sus propias
razones para desear conservar en privado la información almacenada en
su ordenador.
Ahora bien, ¿de qué herramientas puede valerse el internauta para
proteger sus datos de ojos indiscretos? Precisamente, la criptografía
viene en ayuda del internauta y del ciudadano en general para ofrecer
los mecanismos de protección de la información necesarios. La
criptografía se presenta así como esa delgada barrera que vela por la
conservación de la privacidad en las comunicaciones, sean éstas para
transmitir datos bancarios o simplemente felicitaciones a la abuela
por su cumpleaños. En la nueva Sociedad de la Información, no puede
entenderse una democracia sin garantía de privacidad.

Sin embargo, esta lógica aspiración de los ciudadanos a comunicarse
libremente con quien quieran sin que nadie interponga sus hocicos
husmeadores, parece chocar de frente con los planes de seguridad
nacional de los Estados, que contemplan la criptografía más como
amenaza terrible en manos de terroristas y narcotraficantes que como
instrumento garante de la intimidad de los ciudadanos. Surge aquí una
situación en la que entran en conflicto los intereses del ciudadano y
del Estado.

Un guante sirve para proteger las manos del frío o de arañazos cuando
se trabaja en el jardín o para proteger a un paciente de gérmenes y
bacterias cuando se le está operando. Existen guantes de todas las
formas, materiales y tamaños. Pero todos poseen un rasgo en común:
proteger las manos. Precisamente esta característica impulsa a los
ladrones y criminales a ponérselos cuando realizan sus fechorías, con
el fin de no dejar sus huellas dactilares como evidencia. ¿Y si el
Estado decidiera prohibir los guantes por temor a que un criminal los
utilice? Cualquier persona con un guante en su poder sería
encarcelado. Si la aprobación de esta medida se antojase inaceptable
a la opinión pública, imagine entonces que en su lugar, en vez de
prohibir los guantes, se obligase a pegar en todos ellos una copia de
plástico de la huella dactilar del propietario. De esa forma, si un
individuo los utilizara al perpetrar sus crímenes, estaría dejando
sus huellas.

Así presenta Ron Rivest, uno de los criptógrafos más sobresalientes
de nuestros días, el dilema que agita la conciencia de muchos
gobiernos, especialmente tras el terrible atentado del pasado 11 de
septiembre. Se ha reabierto la polémica de si prohibir por completo
la criptografía, cuya misión es proteger la información, o recurrir a
mecanismos tan estúpidos como el equivalente a imprimir huellas
dactilares sobre los guantes.

¿Es el cifrado de la información un bien para los ciudadanos, en la
medida en que les proporciona privacidad en sus comunicaciones
digitales, o una amenaza para la sociedad, al permitir también a
terroristas y mafiosos comunicarse en secreto y burlar las líneas
pinchadas por la policía? La libertad de cifrar facilitaría que
todos, incluidos los criminales, enviasen correos seguros y
utilizasen Internet de forma confidencial. Prohibir o restringir el
uso de la criptografía impediría, en principio, que los criminales
burlasen las escuchas policiales, pero también permitiría que la
policía, y en realidad cualquiera, espiase las comunicaciones de los
ciudadanos.

Mientras una facción aboga por la libertad de cifrado y otra, por las
restricciones criptográficas, un tercer grupo propone soluciones de
compromiso, como el almacenamiento centralizado de una copia de las
claves de los usuarios. ¿Se imagina al Ministerio de Interior
guardando una copia de la llave de su casa? ¿Qué ocurre si alguien
roba esas llaves? ¿O si un empleado corrupto las copia a su vez y las
vende al mejor postor?

Evidentemente, los criminales seguirán haciendo uso de la
criptografía, pero sin entregar las claves al Gobierno, mientras que
el ciudadano de a pie, pobre de él, las depositará sin rechistar,
exponiendo su privacidad a todo tipo de ataques. Mientras los
políticos polemizan, no dude en utilizar la criptografía. Quién sabe.
Mañana puede ser un criminal por llevar un guante en la mano.

Opina sobre este tema. Envía tus comentarios a
criptonomicon@iec.csic.es.

Información adicional:
http://www.hispasec.com/unaaldia.asp?id=1080




Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es



viernes, 12 de octubre de 2001

Actualización de eventos y contenidos en CriptoRed

Tesis doctorales, artículos, congresos y otros eventos, son algunos de
los nuevos contenidos que se han sumado a la Red Iberoamericana de
Criptografía.
Congresos, Seminarios, Cursos y Jornadas con fechas vigentes:

1er Congreso Iberoamericano de Seguridad Informática. Morelia (México)
http://www.congresoseg.itmorelia.edu.mx/

VI Seminario Iberoamericano de Seguridad en Tecnologías de Información
y Comunicaciones. La Habana (Cuba)
Contacto: i2002@seg.inf.cu

I Congreso Internacional de la Sociedad de la Información. Gran
Canaria (España)
http://www.cisic.org/

Information Security Conference. Málaga (España)
http://www.isconference.org

I Simposio Español de Negocio Electrónico SNE01. Málaga (España)
http://polaris.lcc.uma.es/SNE/

Primer Evento Internacional de Matemática para Ingeniería. Santiago de
Cuba (Cuba)
Contacto: mat@fie.uo.edu.cu

Jornadas Chilenas de Computación 2001. Punta Arenas (Chile)
http://www.sccc.cl/jcc2001/

Congreso Latin America CACS 2001 de auditoría. Acapulco (México)
http://www.isaca.org/latin2001.htm

Segunda Feria de Seguridad SEQoS 2001. Madrid (España)
http://www.allasso.es/

2. Tesis Doctorales:

Tesis sobre aplicaciones de curvas elípticas en criptografía
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

3. Artículos:

Tutorial del algoritmo Rijndael en archivo ejecutable
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

4. Otros:

Celebrado el 1er Congreso Nacional de Seguridad. Buenos Aires
(Argentina)
http://www.consecri.com.ar

Presentada CriptoRed en universidades mexicanas:

Instituto Politénico Nacional. Centro de Investigaciones y Estudios
Avanzados
http://delta.cs.cinvestav.mx

Universidad Nacional Autónoma de México. Centro Tecnológico de Aragón
http://www.aragon.unam.mx/enep.htm



Dr. Jorge Ramió Aguirre
jramio@eui.upm.es



jueves, 11 de octubre de 2001

Nueva actualización para Internet Explorer

Se han detectado tres nuevas vulnerabilidades en los navegadores de
Microsoft, que afecta a las versiones Microsoft Internet Explorer 5.01,
Internet Explorer 5.5 e Internet Explorer 6.
La primera de las vulnerabilidades hace relación a direcciones IP
construidas sin los puntos, por ejemplo http://031713501415 en vez
de http://207.46.131.13. Este tipo de direcciones recibe el nombre
de direcciones de 32 bits. La fórmula para pasar una dirección IP
x,y,z,w es calcular la dirección correspondiente a partir de
x*256^3+y*256^2+z*256+w. El problema viene dado, porque Explorer
no reconoce que la dirección es un sitio de Internet y trata de
abrirlo con la configuración de seguridad de la Zona Intranet. Es
decir, con menores restricciones de seguridad. Un problema similar
ya se reproducía en Explorer 4 y fue parcheado en octubre del 98.

La segunda vulnerabilidad afecta a la forma en que IE maneja las
URLs que especifican otros sitios web. Mediante una codificación
especial de la URL un atacante podrá incluir peticiones HTTP que
serán enviadas al sitio tan pronto se establezca la conexión. Estas
peticiones aparecerán como realizadas por el usuario original, y si
se explotan contra un servicio basado en web (como correo web)
posibilitará al atacante la realización de acciones como si del
usuario se tratara.

La última vulnerabilidad es una nueva variante de la vulnerabilidad
en relación a las sesiones Telnet en Explorer. Las sesiones telnet
pueden lanzarse desde Explorer, pero la vulnerabilidad se reproduce
debido a la posibilidad de que el Telnet se inicie con las opciones
de línea de comando especificadas por el sitio web. Esto sólo se
puede reproducir cuando la versión del cliente Telnet forma parte
de Services for Unix (SFU) 2.0 en sistemas Windows NT(r) 4.0 o
Windows(r) 2000.

Microsoft publica un parche para cubrir estas vulnerabilidades que
puede descargarse de la siguiente dirección:
http://www.microsoft.com/windows/ie/downloads/critical/q306121/default.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-051)
Malformed Dotless IP Address Can Cause Web Page to be Handled in
Intranet Zone:
http://www.microsoft.com/technet/security/bulletin/MS01-051.asp

una-al-dia (13/3/1999) Problemas con las Zonas de Seguridad del IE4:
http://www.hispasec.com/unaaldia.asp?id=137



miércoles, 10 de octubre de 2001

¿Libertades a cambio de seguridad? (II)

En el boletín anterior alertamos sobre los movimientos legislativos
en EE.UU. que, a cambio de una pretendida mayor seguridad ciudadana,
comprometen principios que damos por hecho como naturales y que,
podríamos decir, definen el modo de vida democrático.
Los vientos de cambio no sólo se ven con preocupación desde el resto
del mundo occidental, sino que empiezan a surgir voces divergentes
dentro de EE.UU., sobre todo a tenor de numerosos actos de censura,
contramanisfestaciones ante manifestaciones pacifistas y cobertura
informativa sesgada por parte de numerosos medios de comunicación
de masas.

La rama española del CPSR hace público el siguiente comunicado, el
pasado 25 de Septiembre. Se trata de la traducción al castellano
el comunicado original en inglés:



-----BEGIN PGP SIGNED MESSAGE-----

Distribuimos este comunicado de CPSR escrito tras los terribles hechos del
11 de septiembre.
=====================================================================

CPSR comparte el horror y el shock mundiales en respuesta a los atentados
terroristas del 11 de septiembre. En tanto que profesionales del mundo de
la computación, nos entristece ver el uso de la tecnología con fines tan
destructivos. Esperamos que ahora los expertos en tecnología ayuden, quizás
en roles menores pero importantes a restablecer las infraestructuras y
evitar futuros ataques.

Los eventos de la pasada semana han dejado a los estadounidenses -desde los
niños de preescolar a los políticos- confundidos, asustados y buscando
respuestas apropiadas. Aunque el deseo de una acción rápida es
comprensible, las decisiones que se tomen en este momento podrían afectar
al mundo en los próximos años. A medida que formulamos reacciones a estos
ataques, deberíamos considerar las razones tras esas decisiones, y trabajar
para evitar las respuestas simplistas.

Vivimos en un mundo de comunicaciones avanzadas y tecnologías informáticas
que podemos encontrar amenazador. Sólo han pasado unos días desde los
secuestros, pero el Senado ya ha aprobado una legislación para aumentar las
capacidades federales a la hora de intervenir las comunicaciones, y
actualmente se está debatiendo nuevas leyes para limitar el uso de la
criptografía.

Sin duda, es verdad que la criptografía e Internet pueden usarse como
herramientas para planear el terror. Sin embargo, estas herramientas
también sirven para propósitos útiles y válidos, que deberían protegerse.
El 11 de septiembre descubrimos el increíble potencial destructivo de la
aviación comercial usada como arma, pero ningún comentarista serio ha
sugerido prohibir los aviones de pasajeros. La criptografía y el correo
electrónico han sido salvavidas para pueblos y personas oprimidas que
temían represalias ante una comunicación pública.

Usadas correctamente, las tecnologías de cifrado pueden incluso llegar a
ser armas poderosas en la lucha contra el terrorismo, pues individuos
preocupados en áreas ocupadas por terroristas podrían proveer información
valiosa a través de canales cifrados.

Aumentos en el uso de tecnologías para vigilar Internet como Carnivore y
los nuevos límites al cifrado son acciones de corto alcance que podrán parecen
acciones valientes, pero su valor es limitado y los daños pueden ser reales.

Se están discutiendo nuevas leyes que permitan el aumento de la vigilancia
para así localizar a los terroristas.La protección de las libertades
civiles requiere que cualquier ley de este tipo esté limitada, tanto en su
uso como en su duración.

Estos secuestros también demuestran la falta de viabilidad de las
propuestas de la Defensa Nacional Anti Misiles. Sistemas anti misiles en
el espacio no podrían haber evitado que los secuestradores asaltaran los
aviones. Incluso aunque estuviera actualmente en marcha un sistema NMD, y
se hubiera podido localizar a los aviones, no está nada claro que se les
pudiera haber destruido sin haber causado muerte y destrucción comparable
-quizás incluso superior- a lo que sucedió tras los choques.

Ello no quiere decir que la tecnología no tenga un papel a la hora de
evitar futuras acciones terroristas. Mejoras en los escáneres de seguridad,
botones de "aviso de pánico" para pasajeros en los aviones, comprobaciones
de las listas de pasajeros con las del FBI, son solo unas pocas
herramientas que se podrían implementar para aumentar la seguridad en las
líneas aéreas y reducir la importancia de ataques futuros.

Hacer trueques con la libertad y la seguridad no es una acción apropiada si
la pérdida de libertad es real y la seguridad obtenida ilusoria. Los
líderes políticos, militares y económicos deberían trabajar conjuntamente
hacia soluciones que produzcan seguridad significativa respetando a la vez
las libertades civiles.





-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>

iQEVAwUBO7Dc7KRvQ8j+S/y/AQGiTwgAmrVFRhHG4SLu//+yYK0IQuKXLXj34fok
ItZZp03zwuKQAwVmt14ObdsSC85su6VNi0DaNietMyvUCfNyqM3hKTuJw/dIZY+F
Colg2154yTRsXpm9+ZUNp328y51kRUHreaJZhiH95EgzpDlb4ovGs/SNNLpn+Dap
z+1RXN7dOLgZoSJgJJDadJ29GqxtcDTeBPUFWPqx25DxWs6+wuNsjXSucCU4ByZk
3vy7jhhxrv/yAZ2QIl89USDeEbMyWALVjzWHw/CoKSRKsm41Zj4/MMZHl/4mZZm/
xOCrYBdb8Kdy1wXQvYAXggBTI3mEjQ21EbDTzzMcw1YX1YNuspU++A==
=TedX
-----END PGP SIGNATURE-----



El 28 de Diciembre, una de las mayores organizaciones norteamericanas
de derechos civiles en el mundo digital hizo pública una alerta muy
bien documentada y de lectura más que recomendable sobre los riesgos de
"sobrereaccionar" para lograr una seguridad ilusoria a cambio de
libertades y privacidad de muy difícil recuperación.

Empieza a crecer la conciencia de que ciertos derechos y libertades
(y determinados niveles de privacidad) sencillamente no son negociables
"como si se tratasen de helados o coches deportivos, de los que podemos
prescindir en tiempos de austeridad. El hecho es que los países
democráticos necesitan seguir siendo democráticos en tiempos de guerra
y crisis." (cita de un boletín RRE).

Asimismo, bajo el paraguas de la lucha antiterrorista se inician
movimientos para equiparar los crímenes informáticos, por ejemplo, con
el terrorismo y poder aplicar así rigurosas leyes antiterroristas
a chicos de 15 años cuyo único delito es no pensar las cosas dos veces
antes de llevarlas a cabo. Tampoco hay que olvidar los intentos de
criminalizar el estudio (ingeniería inversa) de, por ejemplo,
algoritmos que pretenden proteger copyrights pero cuya calidad técnica
es ridícula. Éste será un tema a tratar en un boletín próximo, donde
se detallará como la legislación norteamericada penaliza como un crimen
el estudio teórico de la tecnología (que puede tener aplicaciones
positivas y negativas), en vez de su uso práctico de forma ilegal. Con
ello solo se logra ocultar los estudios independientes (muchos
provenientes del mundo académico) sobre la calidad de la tecnología,
lo que solo logra ocultar sus problemas y no contribuye en nada a
garantizar su buen uso y su correcta aplicación, además de prohibir de
forma tácita los usos beneficiosos que la difusión pública pudiera
acarrear.

Para finalizar, el último (30 de Septiembre) boletín "Crypto-gram",
popular y prestigioso "hijo" del criptólogo Bruce Schneier, pone los
puntos sobre las íes sobre los compromisos entre seguridad y
privacidad, la falsa sensación de seguridad lograda y las prioridades
económicas puestas en juego. Por ejemplo, preferencia a la hora de
utilizar seguridad "visible" y "aparente" para los usuarios, en vez de
métodos más seguros pero no visibles o detectables para los clientes
y, por lo tanto, menos rentables desde el punto de vista del marketing.

Nuevamente, muchos de los enlaces han sido recopilados y obtenidos
a través de la lista RRE. Nuestro agradecimiento.

Las conclusiones que algunos obtenemos son:

a) Se puede incrementar la seguridad, en muchos casos, de forma no
intrusiva y transparente para el usuario, sin comprometer sus
derechos a la privacidad o seguridad personal.

b) Aunque no sea rentable desde el punto de vista de imagen, resulta
conveniente invertir en seguridad efectiva, y no solo en seguridad
que venda como marketing.

c) Las libertades y derechos que se han alcanzado tras decenios de
luchas sociales no necesitan ni deben abolirse de un plumazo en tiempo
de crisis.

d) Las decisiones apresuradas y bajo presión no suelen considerar todas
las implicaciones.

e) El eslabón débil es el hombre. Toda la inversión del mundo en
tecnología no pueden evitar que un terrorista atraviese una puerta que
no se ha cerrado con llave.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CPSR Home Page
http://www.cpsr.org/

Sección española de CPSR
http://www.cpsr.org/chapters/spain/

Lawmaker: More encryption needed
http://www.zdnet.com/filters/printerfriendly/0,6061,5097301-2,00.html

EPIC - Electronic Privacy Information Center
http://www.epic.org/

EPIC Alert
http://www.epic.org/alert/EPIC_Alert_8.18.html

RRE home page
http://dlis.gseis.ucla.edu/people/pagre/rre.html

Civil Liberties Emergency
http://commons.somewhere.com/rre/2001/RRE.civil.liberties.emer.html

Your Face Is Not a Bar Code:
Arguments Against Automatic Face Recognition in Public Places
http://dlis.gseis.ucla.edu/people/pagre/bar-code.html

Facial ID Systems Raising Concerns About Privacy
http://washingtonpost.com/wp-dyn/articles/A12629-2001Jul31.html

Click. BEEP! Face Captured
http://www.sptimes.com/News/071901/Floridian/Click_BEEP_Face_captu.shtml

Super Bowl Surveillance: Facing Up to Biometrics
http://www.rand.org/publications/IP/IP209/IP209.pdf

the two dominant face recognition companies
http://www.visionics.com/faceit/
http://www.viisage.com/

Protecting Civilization from the Faces of Terror
http://www.visionics.com/newsroom/downloads/whitepapers/counterterrorism.pdf

Facing the Truth: A New Tool to Analyze Our Expressions
http://www.hhmi.org/bulletin/may2001/faces/

directory of face recognition research
http://www.cs.rug.nl/~peterkr/FACE/face.html

Electronic Privacy Information Center Face Recognition Page
http://www.epic.org/privacy/facerecognition/

more responses to bad arguments against privacy
http://dlis.gseis.ucla.edu/people/pagre/arguments.html

http://www.visionics.com/newsroom/biometrics/privacy.html

Face Recognition Useless for Crowd Surveillance
http://www.theregister.co.uk/content/4/21916.html
http://www.dodcounterdrug.com/facialrecognition/FRVT2000/documents.htm

Biometrics in Airports
http://www.extremetech.com/article/0,3396,s%253D1024%2526a%253D15070,00.asp

Hackers "Branded as Terrorists"
http://news.bbc.co.uk/hi/english/sci/tech/newsid_1568000/1568302.stm
http://www.osopinion.com/perl/story/13792.html

Bush Law-Enforcement Plan Troubles Both Right and Left
http://www.nytimes.com/2001/09/28/national/28RIGH.html

National Security Needs More Humans, Not More Data
http://www0.mercurycenter.com/premium/opinion/columns/security27.htm

September Attacks Prompt Sharp Debate on Scope of Surveillance Law
http://www.law.com/cgi-bin/nwlink.cgi?ACG=ZZZ1NUCI6SC

"it is not just the airports; it is the airplanes"
http://www.tnr.com/100101/easterbrook100101_print.html

Experts Ridicule Bush Airliner Shoot-Down Order
http://news.findlaw.com/politics/s/20010928/attackplanespolicydc.html

Safety First, Part One: The Law Governing Our Borders and Skies
http://writ.news.findlaw.com/aronson/20010927.html

The Vital ID Almost Anyone Can Get
(this problem has been well-known for fifteen years)
http://www.latimes.com/news/printedition/asection/la-000077712sep28.story

"United We Stand" -- Or Else
http://www.wired.com/news/conflict/0,2100,47117,00.html

curious pattern of deletions from online press stories
http://www.bushnews.com/censored.htm

Why the Hague Convention to Strangle E-Commerce and Internet Free Speech
http://writ.news.findlaw.com/commentary/20010927_sprigman.html

Can Facial Recognition Help?
("many skeptical of much ballyhooed technology")
http://www.msnbc.com/news/634892.asp

"The List" a Focal Point of FBI Manhunt
http://www.latimes.com/news/printedition/asection/la-000078207sep30.story

1984 + 17: Crisis Monitoring
http://www.nytimes.com/2001/09/30/weekinreview/30SCHW.html

"the White House has ruled out creating a national identity card system"
(but its the Washington Times, so who knows)
http://www.washtimes.com/national/20010927-90529994.htm

Compulsory ID Cards to Access British Schools, Hospitals
http://www.observer.co.uk/politics/story/0,6903,560736,00.html

Hill Puts Brakes on Expanding Police Powers
http://www.washingtonpost.com/wp-dyn/articles/A46633-2001Sep29.html

Commentary: Security vs. Civil Liberties
http://www.businessweek.com/magazine/content/01_40/b3751724.htm

For Sale: New Jersey Driver Licenses
http://www.bergenrecord.com/news/dmvll200109301.htm

The Secret Court That Wields the Wiretap
(they ve denied only one wiretap or warrant request in twenty-plus years)
http://www.latimes.com/news/printedition/asection/la-000078200sep30.story

resources on wiretapping
http://www.epic.org/privacy/wiretap/

The Center for Democracy and Technology:
http://www.cdt.org/

The American Civil Liberties Union:
http://www.aclu.org/

Hackers face life imprisonment under Anti-Terrorism Act
http://www.securityfocus.com/news/257

Counterpane: Crypto-Gram
http://www.counterpane.com/crypto-gram.html

Crypto-Gram Newsletter: September 30, 2.001
http://www.counterpane.com/crypto-gram-0109a.html



martes, 9 de octubre de 2001

¿Libertades a cambio de seguridad? (I)

Los atentados recientes en EE.UU. abonan el campo para nuevas leyes que
pretenden proporcionar más seguridad a los ciudadanos a costa de un
mayor control gubernamental.
A continuación se adjunta un mensaje que escribí hace unas semanas para
un foro del que formo parte pero que plantea una evolución previsible en
el uso y reconocimiento de libertades civiles, sobre todo en lo que se
refiere al binomio libertad/seguridad. El mensaje se incluye tal y como
fue enviado, sin ningún tipo de edición.



Subject: [Nosotros] Debate: ¿libertades a cambio de seguridad?
Date: Tue, 25 Sep 2001 12:32:29 +0200
From: Jesus Cea Avion

Me gustaría proponer un debate a los contertulios, relativo a los
movimientos que se empiezan a oler en EE.UU. tendentes a limitar "algo"
las libertades a cambio de una "presunta" mejora en la seguridad.

Elaboraré más mi postura si es necesario a lo largo del debate, si lo
hay, pero mi posición personal es que no se puede comercial con las
libertades, y menos para obtener una seguridad adicional más que dudosa.
Las libertades que se pierden tardan mucho en recuperarse, o no se
recuperan nunca.

Lo peor de todo es que, encima, no veo ninguna razón incontestable para
que esa pérdida de libertad incremente la seguridad.

Un ejemplo:

Desde hace años existe un debate en EE.UU. sobre el uso privado de la
criptografía para asegurar la confidencialidad de las comunicaciones
entre particulares. El argumento de los que están en contra es que si
una comunicación está cifrada, las fuerzas del orden no pueden espiarlas
para detectar actividades criminales. Proponen o bien prohibir la
criptografía por ley, o dotar a los programas criptográficos de "puertas
traseras".

Para cualquier persona "normal y corriente", este argumento tiene su
lógica y parece razonable.

Pero no lo es.

No lo es por tres razones:

* La gente que usa la criptografía con fines delictivos son delincuentes
y, por definición, no seguirán las leyes. Si no existen programas
criptográficos, crearán los suyos propios (es muy fácil y existen
infinidad de algoritmos de alta calidad documentados en cualquier libro
o revista sobre la materia), sin puertas traseras.

* Si el usuario doméstico no puede usar la criptografía, mientras que el
delincuente lo hará de todas formas, la seguridad de sus comunicaciones
decrecerá. El que nada tiene que ocultar estará a merced del "gran
hermano", de organizaciones mafiosas, de terroristas o del trabajador
malicioso de su ISP. Esa gente, que no tiene nada que ocultar, estará
completamente desprotegida.

Yo no tengo nada que ocultar, pero las cartas que envío a mi madre las
mando en un sobre cerrado. ¿Mañana se me obligará a enviar todo en forma
de postal, abierto, para que la policía pueda comprobar que no envío los
planos de una bomba atómica?. Por cierto, cualquiera que sepa algo de
física puede construirse una... si cuenta con los materiales apropiados;
no hace falta que nadie le mande los planos.

* Si un programa tiene puertas traseras, ¿Quien controla su uso
correcto?. ¿Quien controla que mañana, por ejemplo, un grupo mafioso o
terrorista consiga el acceso a dicha puerta?. Sería peor que no tener
criptografía, porque piensas que estás seguro cuando no es así.

La criptografía es una tecnología y, como algunos estamos cansados de
repetir, la tecnología es neutral. Se puede usar tanto para lo bueno
como para lo malo. La gasolina puede provocar explosiones, incendios y
contamina cosa mala, pero no la vamos a prohibir a corto plazo. Los
cuchillos provocan numerosos accidentes y son armas utilizadas en la
mayoría de los delitos de sangre, y tampoco los vamos a prohibir. ¿Con
qué cortaría yo el jamón si no?.

Otro ejemplo evidente es el de la biometría. Se quiere, por ejemplo,
desplegar sistemas de reconocimiento facial, escáneres de retina o de
huella dactilar a la entrada de un estadio de fútbol, por ejemplo. El
objetivo es detectar al momento elementos terroristas y criminales
buscados por la policía.

Todo muy bueno y muy bonito.

Por supuesto, en cuanto los criminales sepan que tendrán que pasar por
un sistema de ese tipo, sencillamente verán el fútbol desde su casa. El
terrorista que quiere poner una bomba se colará por la salida de
incendios o sobornará a un guardia... o no estará fichado.

Pero, ¿y el usuario "particular"?.

Un día te encontrarás que cuando llevas a tu hijo al partido la
seguridad del estadio te retiene por tener una multa pendiente o por no
haber devuelto tu último libro a la biblioteca. Asimismo, un día te
empezará a llegar publicidad sobre botas de futbol, porque "alguien" ha
filtrado que eres un habitual del estadio.

Peor aún, pasado mañana tu compañía aseguradora te subirá las cuotas de
tu seguro de vida porque se ha demostrado que asistir a un partido de
fútbol incrementa las probabilidades de sufrir un infarto.

La semana que viene te encontrarás tu coche destrozado porque "alguien"
lo ha golpeado con un bate de beisbol. Tu nunca sabrás la razón, pero un
hincha del equipo rival del pasado domingo, que perdió en tu campo, vive
en tu misma calle y "sabe mucho de internet".

Un tercer punto: se está abogando por incrementar la monitorización de
Internet, meter el famoso "carnívoro" para escanear mensajes buscando
"cosas inconvenientes", etc. El argumento es que los terroristas usan
internet para coordinarse.

Dios, ¡menudo sinsentido!.

Cuando ETA envía un paquete bomba a un periodista, en España, nadie se
plantea denunciar a correos y obligarle a analizar todos y cada uno de
los paquetes que gestiona. La mayoría de los crímenes se planean por
teléfono (no por Internet), y nadie se ha planteado el pinchar
absolutamente todas las llamadas sin orden judicial.

¿Por qué Internet es tan diferente?. ¿Por qué ese agravio comparativo?.



En EE.UU., por una vez, ya no son solo las asociaciones pro derechos
civiles las que están preocupadas, sino que muchos ciudadanos (y,
afortunadamente, medios de comunicación), se están dando cuenta de que
las propuestas de ley que se están debatiendo en la actualidad en
EE.UU. son lobos en piel de cordero, y que sus implicaciones a medio y
largo plazo son aterradoras.

Las leyes antiterroristas que se plantean, de aprobarse su borrador
actual, convertirán EE.UU. en el mayor estado policial que la humanidad
haya conocido nunca.

Recomiendo a todos los lectores de "Una Al Día" que lean con atención
los documentos que siguen. Considerando el colonialismo cultural de
EE.UU. sobre el mundo occidental, habrá que seguir muy de cerca la
evolución legislativa en EE.UU., en previsión de una posible exportación
a Europa en un futuro más o menos inmediato.

La mayoría de los enlaces han sido recopilados y difundidos por RRE (Red
Rock Eater News Service). Nuestro agradecimiento.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Red Rock Eater News Service
http://dlis.gseis.ucla.edu/people/pagre/rre.html

House Bill Would Expand Federal Detention Powers
http://www.washingtonpost.com/wp-dyn/articles/A55410-2001Oct1.html

Defining Terrorism Stirs Words of Dispute
http://www.latimes.com/templates/misc/printstory.jsp?slug=la%2D100101legal

Statement on Terrorism, Civil Liberties, and the Internet
http://www.pfir.org/statements/liberties

Don't Blame the Internet
http://www.washingtonpost.com/wp-dyn/articles/A43828-2001Sep29.html

analysis of the anti-hacking provisions of the proposed anti-terrorism
act
http://www.politechbot.com/p-02597.html

British ID Cards Backlash Begins
http://www.guardian.co.uk/humanrights/story/0,7369,561043,00.html

"Amazing" Lapse in Security Cited at Logan
http://www.boston.com/dailyglobe2/274/metro/_Amazing_lapse_in_security_cited_at_Logan+.shtml

Will Other Voices Be Heard?
http://chicagotribune.com/features/lifestyle/chi-0110010037oct01.story

the very dangerous attacks on Bill Maher
http://www.dailyhowler.com/h100101_1.shtml

Censorship and the War on Terrorism
http://www.mediachannel.org/views/interviews/macarthur.shtml

We Must Dismantle Our Democracy in Order to Save It
http://www.salon.com/comics/tomo/2001/10/01/tomo/

Muslim Leaders Struggle With Mixed Messages
http://www.washingtonpost.com/wp-dyn/articles/A55677-2001Oct1.html

the followers of John Adams are bringing back the Alien and Sedition
Acts
http://www.salon.com/politics/feature/2001/10/03/ashcroft/print.html

conservative dupes learn what they really voted for
http://www.nytimes.com/2001/10/03/national/03WEST.html

Anti-Terrorism Bill Hits Snag on the Hill
http://www.washingtonpost.com/wp-dyn/articles/A61023-2001Oct2.html

Florida Task Force's Recommendation: Give State Police Added Power
http://www.gopbi.com/partners/pbpost/epaper/editions/tuesday/news_4.html

USACM letter regarding encryption controls
http://www.acm.org/usacm/crypto/gregg-crypto-letter.html

pro-Carnivore column employing several jargon techniques
http://writ.news.findlaw.com/commentary/20011001_hodes.html

Net Freedom Fears "Hurt Terror Fight"
http://news.bbc.co.uk/hi/english/uk_politics/newsid_1568000/1568254.stm

Detecting Steganographic Content on the Internet
http://www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf

Bill Introduced to Encourage Public-Private Information Sharing
http://www.gcn.com/vol1_no1/daily-updates/17197-1.html

documents relevant to Homeland Defense
http://stinet.dtic.mil/dticrev/vol5-number4.html

radio story and background article about new high-tech spy planes
(when they fly over Afghanistan, it's a war story; here, it's civil
liberties)
http://www.npr.org/ramfiles/me/20011002.me.10.ram
http://www.fas.org/irp/program/collect/global_hawk.htm

Challenges for the Supreme Court in the Wake of Terrorism
http://writ.news.findlaw.com/lazarus/20011002.html

House Panel Approves Bill Expanding Surveillance
http://www.nytimes.com/2001/10/04/national/04RIGH.html

the anti-terrorism bill
http://www.house.gov/judiciary/hr2975terrorismbill.pdf

analysis of the bill
http://www.eff.org/Privacy/Surveillance/20011001_house_patriot_analysis.html
http://www.epic.org/privacy/terrorism/cong_ltr_10_02_01.html

argument against racial profiling in the investigation
http://www.law.com/cgi-bin/nwlink.cgi?ACG=ZZZWEVL1BSC

Senator Feinstein Urges Major Changes in US Student Visa Program
http://www.senate.gov/~feinstein/releases01/stvisas1.htm

Democracy in Wartime
http://www.nytimes.com/2001/10/03/opinion/03SCHL.html

Can the New York Times Count -- or Quote -- Peace Activists?
http://www.fair.org/activism/nyt-peace-activists.html

A Battle-Ready Net?
http://www.businessweek.com/technology/content/oct2001/tc2001101_7845.htm

What Went Wrong (with the CIA)
http://newyorker.com/FACT/

Unscreened Ground Crews Add to Flying Jitters
http://www.latimes.com/news/printedition/california/la-000078980oct03.column

White House, Senate Reach Agreement on Anti-Terrorism Bill
http://www.latimes.com/news/printedition/asection/la-000079336oct04.story

Terror Laws Near Votes in House and Senate
http://www.nytimes.com/2001/10/05/national/05RIGH.html?pagewanted=print

Ashcroft Pushes Stronger Antiterrorism Bill
http://www.cnn.com/2001/US/10/04/inv.ashcroft.terrorism/

Toward a Balanced Terrorism Bill
http://www.nytimes.com/2001/10/04/opinion/04THU3.html

Proposed Legislation Significantly Affecting the Computer Profession
http://www.usenix.org/whatsnew/legislation.html

Consortium Responds to More Restrictive Access to Visas by
Non-Immigrants
http://www.uciep.org/press1.htm

Report Warns of Rights Abuse Risk
http://www.latimes.com/news/printedition/asection/la-000079340oct04.story

Viisage Selected to Deploy the First Face-Recognition System in a US
Airport
http://biz.yahoo.com/bw/011004/42302_1.html

Nixed "Holy War" Web Site Offered PGP Encryption Key
http://www.newsbytes.com/news/01/170828.html

Massive Search Reveals No Secret Code in Web Images
http://www.newscientist.com/news/news.jsp?id=ns99991340

Twenty Most Critical Internet Security Vulnerabilities
http://66.129.1.101/top20.htm

Securing the Lines of a Wired Nation
http://www.nytimes.com/2001/10/04/technology/circuits/04SECU.html

Immigrants' Driver's License Bill a Victim of Terrible Timing
http://www.latimes.com/news/printedition/california/la-000079422oct04.column

Muslim Leaders Condemn Thatcher Attack
http://www.guardian.co.uk/wtccrash/story/0,1300,563247,00.html

"in America, history shows, war does not override the calculus of
politics"
http://www.theatlantic.com/unbound/polipro/pp2001-10-03.htm

Bill to Boost Defendants' Rights in Italy Hinders Terrorism War
(Berlusconi and his cronies are changing criminal law to protect
themselves)
http://www.latimes.com/news/printedition/asection/la-000079343oct04.story

Senate Favors Federal Airport Screeners
http://www.latimes.com/news/printedition/asection/la-000079338oct04.story

Three Political Websites Downed After Government "Homeland Security"
Threat
http://slash.autonomedia.org/article.pl?sid=01/09/30/1859212

Activists and Companies Confront Face Recognition Software
http://www.notbored.org/ciberpais2.html

Carnivore Substitute Keeps Feds Honest
http://www.theregister.co.uk/content/6/21992.html

New FTC Head Wants "Pause" in Push for Privacy Laws
http://www.computerworld.com/storyba/0,4125,NAV47_STO64453,00.html
http://www.nytimes.com/2001/10/03/technology/03PRIV.html

Zero-Knowledge Shelves Anonymity Tool
(that sort of thing probably can't work unless it is built in)
http://news.cnet.com/news/0-1005-200-7412015.html

Seeking Sunlight for a Prisoner in the Chinese Gulag
http://www.latimes.com/news/opinion/commentary/la-000078572oct01.story

argument for a sunset clause in the anti-terrorism bill
http://www.theatlantic.com/politics/nj/taylor2001-10-02.htm

Do New Anti-Terrorism Proposals Pass Constitutional Muster?
http://www.law.com/cgi-bin/nwlink.cgi?ACG=ZZZKRW2IGSC

argument against Bush's proposals to restrict civil liberties
http://prospect.org/print/V12/18/cole-d.html

The Terrorism Bill Does Too Much and Not Enough
http://www.tnr.com/101501/rosen101501.html

Leahy on "Protecting Constitutional Freedoms in the Face of Terrorism"
http://www.senate.gov/~leahy/press/200110/100301.html

text of the Senate's anti-terrorism bill
http://www.senate.gov/~leahy/press/200110/USA.pdf
http://www.senate.gov/~leahy/press/200110/100401a.html

Indefinite Detention Based Upon Suspicion Under the New Anti-Terrorism
Act
http://writ.news.findlaw.com/commentary/20011005_ramasastry.html

Surveillance Warrants Keep Secret Court Busy
http://www.usatoday.com/usatonline/20011004/3508205s.htm

concerns about efforts to revise government controls on strong
encryption
http://www.acm.org/usacm/crypto/crypto-controls-memo.html

overly-broad definition of "terrorism" in the Administration's proposal
http://www.acm.org/usacm/terrorist-memo.html

ACLU Calls New Senate Terrorism Bill Significantly Worse
http://www.aclu.org/safeandfree/

"Sunset Clause" Could Trip Up Anti-Terror Bill
http://www.latimes.com/news/printedition/asection/la-000079529oct05.story

Judge Strikes Down Parts of 1996 Terrorism Law
http://www.latimes.com/news/printedition/asection/la-000079527oct05.story

Paul Wolfowitz wants to replace Posse Comitatus
(add up their proposals and you're well on the way to martial law)
http://www.newsday.com/news/nationworld/nation/wire/sns-ap-attacks-defense-strategy1004oct04.story

Britain as a Cautionary Tale for a New Age of Surveillance
http://www.nytimes.com/2001/10/07/magazine/07SURVEILLANCE.html?pagewanted=all

Florida's Continued Alert Status Criticized
http://www.miami.com/herald/content/news/local/dade/digdocs/112393.htm

recommendations to help secure computing infrastructure against attacks
http://www.acm.org/usacm/crypto/comp-sec-memo.html

hard-to-evaluate claim that the hijackers used steganography
http://abcnews.go.com/sections/primetime/DailyNews/PRIMETIME_011004_steganography.html

The Supreme Court Returns to a Changed Legal Landscape
http://writ.news.findlaw.com/dorf/20011003.html

Censorship After 9/11: The Bill Maher "Coward" Comment
http://www.holtuncensored.com/members/column269.html

FBI testimony to the Senate about terrorist groups
http://www.fbi.gov/congress/congress01/freeh051001.htm

Senator Rethinks Stance on Students
http://www.latimes.com/news/printedition/asection/la-000079922oct06.story

FAA, Airlines Stalled Major Security Plans
http://www.latimes.com/news/nationworld/nation/la-100601air.story

Watchdog Sites Shut Down in Interest of National Security
http://newsfactor.com/perl/story/13990.html

Security Breaches Vary Widely at US Airports
http://www.cnn.com/2001/US/10/05/inv.airport.security/

Tighter Airport Security Is Just a Flight of Fancy
http://www.latimes.com/news/printedition/california/la-000079574oct05.column

criticism of UK's anti-terrorism legislation
http://www.magnacartaplus.org/bills/terrorism/index.htm

House Votes for More Spy Aid and to Pull in Reins on Inquiry
http://www.nytimes.com/2001/10/06/national/06INTE.html

conservative support for the extreme provisions of the anti-terrorism
bill
http://www.opinionjournal.com/extra/?id=95001279
http://www.latimes.com/news/printedition/suncommentary/la-000080099oct07.story

A High-Tech Home Front (including criticism of face recognition systems)
(may not work under Netscape, or Explorer either for that matter)
http://www.msnbc.com/news/635417.asp

National ID Cards: One Size Fits All
http://www.nytimes.com/2001/10/07/weekinreview/07WAKI.html

New Slogan in Washington: Watch What You Say
("a suspension of freedom unlike anything since World War II")
http://www.nytimes.com/2001/10/07/national/07PRES.html

Demonizing Dissent
http://www.workingforchange.com/article.cfm?ItemID=12064

Now We Really Need Rights
http://www.observer.co.uk/comment/story/0,6903,564633,00.html