Seguridad en Internet ()
                           () ^^^^^^^^^^^^^^^^^^^^^ ()
                           @=@=@=@=@=@=@=@=@=@=@=@=@=@

  Tipico Escenario:

  El se�or JOHN DOE se comunica con un proveedor de  servicio  de  Internet
  (ISP-Internet Service Provider)  y  solicita  una  cuenta  en el servidor
  de la compa�ia para poder acceder a Internet.   Horas despues  recibe  un
  fax (o llamada telefonica) solicitandole un LOGIN (nombre  de  usuario) y
  un PASSWORD (contrase�a) JOHN DOE  escoge como Login JOHN y como PASSWORD
  DOE. Ahora JOHN DOE  ya tiene su cuenta en Internet.
  Llega la primera cuenta y todo aparece en orden, el reporte dice:

  Numeros de Acceso: 8
  Tiempo Total: 200 minutos
  JOHN DOE  se siente satisfecho y se alegra de haberse unido a la red.
                                     --- 0 ---
  Segundo Reporte:
  Numeros de Acceso: 99999999
  Tiempo Total: 89787945 minutos
  JOHN DOE  se pone furioso, el no habia usado todo ese tiempo su cuenta,
  se confunde. QUE HABRA SALIDO MAL?

En el ejemplo anterior lo mas probable es que alguien haya obtenido  su
nombre de usuario y contrase�a del servidor en el que se registro.

La Culpa?
   Podemos culpar inmediatamente a la persona que obtuvo (hack) el  nombre
de  usuario  asumiendo que lo que hizo no es Etico y ademas probablemente
sea un delito.
   Pero  analizando  a  fondo  la situacion existen mas culpables y surgen
algunas interrogantes como las siguientes:
1- �Por que el operador del servidor no protegio debidamente la contrase�a?
2- �Por que el usuario escogio una clave relativamente 'debil'?
3- �Como le hizo el Hacker para obtener la contrase�a?

   Es necesario aclarar que un operador de redes hara todo lo que este  en
su alcance para proteger las contrase�as de los usuarios solo que algunas
cosas  no  las puede cambiar ya que el sistema operativo (UNIX,LINUX,ETC)
necesita para funcionar ciertos archivos con informacion de cada usuario.
De esta  forma  se  llevan inventarios de cada usuario y control sobre el
grupo al que pertenece cada uno de ellos.
   En el servidor  se  encuentra  la  siguiente  informacion en un archivo
llamado passwd localizado en el directorio /etc

          john:L6opk0w1DW31w:195:100:John Doe:/usuarios/john:/bin/csh

     Los puntos(:) separan los campos con la informacion, separados dirian

Nombre de Usuario: john
Contrase�a: L6opk0w1DW31w
Numero de usuario: 195
Grupo de usuarios al que pertenece: 100
Descripcion: John Doe
Directorio de usuario: /usuarios/john
Shell: /bin/csh

  La  contrase�a  en  Unix  se  guarda encriptada de una forma que no puede
  des-encriptarse  (one way  encription);  cuando  el  usuario  escribe  su
  contrase�a  es  comparada  con  la  que esta guardada en el servidor y si
  coinciden se permite al usuario la entrada.

  En algunos casos el archivo PASSWD no contiene la contrase�a encriptada y
  solo aparecen los otros campos. En este tipo de servidores se dice que la
  contrase�a esta sombreada. Una definicion de sombrear contrase�as  valida
  dice que sombrear es "guardar la contrase�a (encriptada) en un archivo al
  que  el usuario comun no tiene acceso".  Generalmente el archivo con  las
  contrase�as se llama SHADOW y se encuentra en el directorio /etc
  Aun asi el archivo PASSWD contiene una descripcion de la cuenta,  si esta
  menciona  el nombre de el usuario, y la contrase�a es parte del nombre  o
  el apellido de la persona esta cuenta se vuelve vulnerable a un ataque de
  un Hacker.

                                COMO PROTEGERSE

  Una forma de evitar que otra persona obtenga nuestra contrase�a es  tener
  una contrase�a  fuerte para resistirse a ser descubierta. Lo que necesita
  es utilizar una contrase�a de 8 digitos como minimo y utilizar todos  los
  caracteres que pueda usar en su contrase�a.
  En algunos sistemas no se permite ningun otro caracter fuera  del  codigo
  alfabetico y numerico,  si  este  es  el caso escoga 4 numeros y 4 letras
  y  ordenelos completamente al azar. De esta forma tendra usted una  clave
  segura.  Para  descubrirla  se  necesitaria  una  lista de palabras de  8
  digitos  incluyendo letras  y  numeros,  solo asi  podria  su  clave  ser
  descubierta; el problema recae en que para crear una lista de palabras de
  8 digitos se necesitarian aprox.  300  megas  o  quizas  aun  mas,  ahora
  incluyendo  numeros  el  espacio  requerido  se dispara a 800 o mas megas
  requeridos! Y para que el programa pueda repasar todas las listas enteras
  necesitaria un tiempo promedio de un mes y 3 meses respectivamente en una
  IBM 586 segun mis pruebas ;-)

  Otra  manera  de protegerse es escribir su contrase�a cada vez que accese
  a su servidor  para que no  quede guardada en ningun archivo  en su disco
  duro.  Para  hacer  esto solo  quita  la  equis  al  cuadro  "[X] Guardar
  Contrase�a" en la mayoria de los programas.
______________________________________________________________________________
Hosted by www.Geocities.ws

1