[LUG.ro] Nota de seguridad en clarin...

Federico Wiecko lugro@lugro.org.ar
02 Oct 2003 01:46:29 -0300 

What?

Que no sea al estilo PGP ?
Que queres hacer?   crear certificados ?

PGP, GPG y cualquiera de esos bichos permiten encritar/desencriptar,
firmar digitalmente y verificar la firma.   

Para un conocimiento mas amplio te aconsejo indagar en 
www.pgpi.com y www.pgpfreeware.com

tienen algunos documentos interesantes sobre manejo de certificados y
demas yerbas.

El jue, 02-10-2003 a las 00:19, Andrés D'Elia escribió:
> Algunos comentarios:
> 
> La ley de firma digital está vigente, tiene decreto reglamentario pero
> todavía no sirve en Argentina porque al momento no existe ningún
> "certificador licenciado",es decir el que es efectivamente autorizado a
> generar y firmar certificados digitales, que es el elemento básico en una
> estructura jerárquica de firma digital (PKI). En esa lucha andan el colegio
> de escribanos de Capital Federal, aunque como biene se comenta en otro mail,
> tampoco tienen muy en claro el tema de criptografía y firma digital.
> 
> Personalmente, el Ethical Hacking no me parece del todo "Ethical", si
> consideramos que en principio, cuando no se usa como parte de un proceso de
> auditoría, es una invación de la privacidad de otros individuos, aunque el
> jsutificativo sea "si alguien deja la puerta abierta (tecnologicamente
> hablando), no es mi problema".
> 
> Pregunta: Alguien sabe donde puedo sacar información sobre manejo de
> certificados digitales, que no sea al estilo PGP, en Linux?
> 
> Saludos,
> 
> Andrés
> 
> 
> 
> 
> ----- Original Message -----
> From: "Alejandro Gomez Fernandez" <agomez@micropack.com.ar>
> To: <lugro@lugro.org.ar>
> Sent: Tuesday, September 30, 2003 5:12 PM
> Subject: [LUG.ro] Nota de seguridad en clarin...
> 
> 
> > Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad
> > de la información
> >
> > La gestión de las políticas de seguridad de la información obsesiona a
> > miles de empresas de todo el mundo. Ahora, ya no se conforman con
> > controlar los datos circulantes; también quieren ahorrar millones.
> >
> >
> >
> >
> >
> > En la actualidad, la gestión de las políticas de seguridad de la
> > información es un área estratégica para gran parte de las empresas del
> > mundo. La razón es simple: concentra buena parte de las pérdidas
> > económicas que, en ocasiones, hasta pueden llevar a una empresa a la
> > bancarrota en apenas unas horas. ¿Por qué la seguridad de la información
> > se ha cristalizado en una obsesión tan común? Porque la
> > confidencialidad, la integridad y la disponibilidad de la información se
> > convirtieron en cualidades esenciales para mantener y asegurar la
> > ventaja competitiva, el flujo de fondos, la rentabilidad, el
> > cumplimiento de las leyes y la imagen comercial. Es decir, aplicar
> > políticas de seguridad de la información sobre equipos y personas es
> > cuidar la propia existencia de la compañía.
> >
> > “Las organizaciones, sus redes y sistemas de información enfrentan
> > crecientes amenazas a su seguridad que incluye el fraude asistido por
> > computadora, actos de espionaje, sabotaje, vandalismo y hasta incendio e
> > inundación. Otros daños, como los ataques de virus, el “hacking” y la
> > negación de servicio se están volviendo cada vez más habituales,
> > ambiciosos y sofisticados”, explica Emilio Borré, experto en seguridad
> > informática y profesor de Seguridad informática en el Instituto de
> > Tecnología ORT, de Buenos Aires. A su juicio, como los sistemas no han
> > sido diseñados para ser seguros, la seguridad sólo puede lograrse por
> > medios técnicos y, por lo tanto, es limitada y debe ser respaldada por
> > una gestión y unos procedimientos adecuados.
> >
> > Para empezar, la administración de la seguridad de la información exige
> > la participación de todos los empleados y, según el caso, puede requerir
> > la de los proveedores, clientes y accionistas. En la Argentina existe un
> > código de gestión de la seguridad: la norma IRAM ISO 17799
> > (www.iram.com.ar), basada en los estándares europeos y considerada “el
> > manual blanco” de la información segura. Según la norma, desde el punto
> > de vista legal, los controles que se consideran esenciales para proteger
> > la seguridad informática comprenden la protección de datos, la
> > confidencialidad de la información, la protección de los registros y
> > documentos de la organización y los derechos de propiedad intelectual.
> >
> > Los custodios de la seguridad informática corporativa suelen lidiar a
> > diario con errores e irregularidades. Según Borré, “los errores de
> > diseño de las estructuras informáticas son hechos accidentales y tienen
> > un impacto económico más importante a largo plazo. En cambio, las
> > irregularidades son hechos intencionales y su impacto económico es más
> > inmediato”. Lideran el ranking de los “desestabilizadores informáticos”
> > las llamadas “bombas lógicas“, que se activan al producirse un
> > acontecimiento determinado. La condición suele ser una fecha, una
> > combinación de teclas o un estilo técnico. También están los “hoax” (o
> > “camelos”), término utilizado para denominar a rumores falsos sobre
> > virus inexistentes.
> >
> > El caso es que, a menudo, estos “globos” se difunden por la red con gran
> > éxito, causando casi tanto daño como si fueran virus reales. Evocando la
> > épica del famoso caballo de Troya, la tecnología informática bautizó
> > como “troyanos” a los programas maliciosos que ocultan sus intenciones
> > reales bajo la apariencia de un juego o animación. Lo curioso es que,
> > para quienes trabajan en políticas de seguridad informática, los
> > “hackers” o piratas informáticos (hasta ahora, emblema del espionaje
> > tecnológico) ya no son “chicos malos”. Todo lo contrario: a partir de la
> > profesionalización de la tecnología de la información, los hackers
> > empezaron a ser considerados “intelectuales informáticos”.
> >
> > Las mismas normas IRAM ISO 17799 definen a los hackers como “personas
> > que gozan alcanzando un conocimiento profundo sobre el funcionamiento
> > interno de un sistema, de un ordenador o de una red de computadoras”.
> > Según el manual, el término “hacker” suele utilizarse en forma indebida,
> > con sentido peyorativo, cuando, para eso, sería más correcto utilizar el
> > termino “cracker” (alguien que “rompe”), ya que los hackers proclaman
> > defender un sentido ético y una serie de principios contestatarios e
> > inconformistas pero nunca delictivos. Por su parte, la Justicia
> > argentina, aunque lenta, también avanza en el marco legal de temas de
> > tecnología de la información.
> >
> > Dos leyes, la 25.326, conocida como Ley de habeas data, y la número
> > 25.506, o Ley de firma digital, empiezan a dar cierto marco a la
> > vorágine tecnológica. La Ley de habeas data o de protección de datos
> > personales entró en vigencia en 200, para proteger el derecho de las
> > personas a saber lo que se publica sobre ellas Tiene el propósito de
> > evitar eventuales abusos en la manipulación de información personal y
> > comercial, regulando el tratamiento, uso y contenido de los archivos y
> > registros públicos o privados. En síntesis: nadie puede acceder a los
> > datos de nadie sin su consentimiento. El espíritu de la ley es proteger
> > y mantener el derecho a la intimidad, jaqueada por el manejo abusivo de
> > los sistemas informáticos.
> >
> > La Ley de firma digital está vigente desde 2001 y, por su alcance y
> > trascendencia, promete generar más revuelo “Pronto, la firma digital
> > será un elemento común en Internet. En poco tiempo más, habrá sido
> > incorporada a toda transacción comercial que genere derechos y
> > obligaciones entre las partes. Y las empresas deberán adaptarse a la
> > nueva forma de identificación, autenticación y codificación en el
> > ciberespacio”, explica Borré. Probablemente, la firma digital se
> > implemente utilizando la técnica conocida como criptográfica (basada en
> > la combinación de dos claves relacionadas), que pauta la utilización de
> > una clave (la clave privada) para crear una firma y otra, (la clave
> > pública), para confirmarla.
> >
> > Una firma digital tiene un valor único, superior aún a la firma de puño
> > y letra, más falsificadle que su homónima electrónica. No sólo confirma
> > la identidad del remitente sino, también, que nadie ha modificado el
> > contenido del e-mail durante la transmisión, antes de su llegada a
> > destino. Esto es, seguramente, lo más trascendente de la ley, ya que,
> > entre otras cosas, facilitará la implementación del sistema de voto
> > electrónico, permitirá a los legisladores votar antes de que cierre la
> > sesión desde cualquier lugar en el que se encuentren y hará posible que
> > los ciudadanos puedan sufragar desde su casa, a través de sus propias
> > computadoras personales.
> >
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> 
> 
> ---
> Outgoing mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.521 / Virus Database: 319 - Release Date: 24/09/2003
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>