[LACNIC/Seguridad] Comentarios

Anatoly Alexei Pedemonte Ku apedemonte en gmail.com
Mar Mayo 30 00:16:52 BRT 2006 

De nada  hugo Pablo.

Pero algo para terminar como comentario:

Sabias que tus mensajes  de correo gmail pueden estar en peligro, bueno ne
realidad por el momento estará, hasta que google tome la iniciativa  de
diferenciar  correos que contengan puntos.

Pues existe una problema con respecto a esto, han habido casos de usuarios
que les llegan correo de otras personas, el problema  se debe a las cuentas
que contienen puntos, por ejemplo mariapalma en gmail.com y
maria.palma en gmail.com, ambos correos son distintos... Al momento de
registrarlo, pero en realidad caen en una especie de espejo, al momento que
algun remitente envie un correo a cualquiera  de esos correos, el mensaje
les llegara a ambos... Ya que  google no reconoce los (.) en los nombre de
usuarios...

Este comentario lo hice hace anterirmente en algunas listas, pero no he
recibido respuesta alguna sobre que si google, ha solucionado esto, pero si
existe aclaracion alguna de la empresa google en sus paginas del servicio.

Si desean saber as sobre el tema hay mucha informacion con respecto a esto e
inclusive en las paginas de  mismo gmail...

Ahora que impacto puede tener esto en la seguridad quizas es minima, segun
el uso de la cuenta  de gmail, un usuario malintencionado puede crearse la
cuenta análoga y vacilarse leyendo los correos que te llegan a esa cuenta.
No tengo claro el panorama de por que google no se menciona sobre este
pequeño detalle que a la larga  pueda ser un problema general, ahora  quizas
por lo que el servicio es beta no dan imporancia a esto. Bueno esperemos
algo mejor...

Espero comentarios, correcciones  sobre este comentario....

-----------------------------------------------------------
 Anatoly Alexei Pedemonte Ku
 RAGE SYSTEMS S.A.C.
 http://www.ragesys.net
 Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
 LIMA - PERU
 Teléfono: 511.7962262
 Móvil: 511.97167435
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su
destinatario. Si usted recibe este mensaje por error o no es el destinatario
del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así
mismo, todas las ideas y reflexiones expresadas en esta comunicación
corresponden al originador del correo y NO representa la posición oficial de
su empleador.
----------------------------------------------------------------------------
----------------------------------------------------------
This email is intended only for the addressee(s) and contains information
which may be confidential, legally privileged. If you are not intended
recipient please do not save, forward, disclose or copy the content of this
email. Please delete it completely from your system and notify
originator.Finally, all ideas expressed in this communication are personal
comments and NOT represent official position of his employer.
----------------------------------------------------------------------------
----------------------------------------------------------

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)
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=e5cb
-----END PGP PUBLIC KEY BLOCK-----



-----Mensaje original-----
De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] En
nombre de Hugo Pablo
Enviado el: Lunes, 29 de Mayo de 2006 09:49 p.m.
Para: seguridad en lacnic.net
Asunto: Re: [LACNIC/Seguridad]Resumen de Seguridad, Vol 5, Envío 6

¡ Hola Lista !

  A Anatoly Alexei Pedemonte Ku, Guillermo Pereyra Irujo,  Reinaldo Mayol
Arnao

   Gracias por los comentarios

  Hugo Pablo
> Message: 1
> Date: Mon, 15 May 2006 13:04:03 -0500
> From: "Anatoly Alexei Pedemonte Ku" <apedemonte en gmail.com>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: <seguridad en lacnic.net>
> Message-ID: <012601c67849$f5aded80$ea01a8c0 en honeyinsider>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Estimado Hugo Pablo:
>
> Squirrelmail es un cliente webbbb, y como veras tu lees tu correo,
> utilizando el protocolo http y te autentificas localmente al servidor
> ya sea con imap4 o pop3,(lamentablemente estos protocolos no manejan
> encriptacion de datos, y puedes averiguarlo tu mismo ejecutando
> tcpwarpers o ethereal o cualquier otro sniffer, en tu maquina
> localmente, y veras que la información u autentificación es totalmente
> en texto plano lo mismo sucede con el pop3 e imap4), pero si pones mas
> atención en el tema, y me disculparas si soy un paranoico en la
> seguridad, para tu caso es mejor encriptar la información en el
> protocolo http y luego el imap4 o pop3, ahora  estos 2 ultimos
> protocolos corren localmente en el servidor de correo, no significa
> que asi tal como son, debieran estar seguros por que corren
> localmente, pero sinceramente, la verdad es que estan totalmente
> abiertos al husmeo por que la informacion es clear text, creo que al menos
en la informatica no se puede subestimar los escenarios.
>
> Bueno solucion al problema es que deberias aplicar los estandares mas
> conocidos en el medio, aplicar el SSL, todo depende del servidor que
> corres en el http y en imap4 y pop3. Para todo esto aplicar http-ssl,
> imap4-ssl o pop3-ssl, ya que puedes utilizar el mismo CA y certificado
> raiz en todos estos protocolos.... Solo basta saber como generarlo con
> open-ssl, googlea como implementar ssl para http, imap4 o pop3
>
> Es cierto Squirrelmail, maneja el protocolo imap, pero tambien pop3 y
> otros mas,  pero si te das cuentas estos protocolos se les puede dar
> un grado de seguridad gracias a que se puede complementar con SSL,
> como te explico lineas arriba y squirrelmail es abierto a aceptar
> autenticación bajo protocolo imap4-SSL con el puerto 993  y pop3-SSL
> con el puerto 995, para que no envias  las contraseñas en texto plano,
> tambien debes de asegurarar el SMTP (para envio), aplicando muchas
estándares como SMTP-AUTH+SSL/TSL.
>
> la configuracion en el squirrelmail para  estos protocolos, puedes
> configurarlo con el script en Perl, en esta  ruta default con RedHat
>
>  /usr/share/squirrelmail/config/conf.pl
>
>
> Si tienes entendido de como funciona el SSH, es casi análogo a como
> debe trabajar  el IMAP4-SSL, siempre hay un certificado de por medio.
> Asi que te recominedo utilices  SSL en cuaquiera de estos protocolos,
> tambien puedes hacer tu husmeo aplicando imap4-SSL o pop3-SSL, veras
> que la autentificacion es totalmente  cifrada y no muestra nada 
> entendible... Esto si lo trabajas desde un cliente tipo outlook.
>
>
>
> Espero te haya al menos orientado en el tema....
>
> -----------------------------------------------------------
>  Anatoly Alexei Pedemonte Ku
>  RAGE SYSTEMS S.A.C.
>   <http://www.ragesys.net> http://www.ragesys.net  Av. Juan Pascal
> Pringles 1225 (ex- La Fontana) - LA MOLINA  LIMA - PERU
>  Teléfono: 511.7962262
>  Móvil: 511.97167435
>
> Message: 2
> Date: Mon, 15 May 2006 18:13:21 -0300
> From: Guillermo Pereyra Irujo <gpirujo en comtron.com.ar>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: seguridad en lacnic.net
> Message-ID: <4468EEF1.5090407 en comtron.com.ar>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Anatoly Alexei Pedemonte Ku escribió:
> > ... para tu caso es mejor encriptar la información en el protocolo
> > http y luego el imap4 o pop3, ahora  estos 2 ultimos protocolos
> > corren localmente en el servidor de correo, no significa que asi tal
> > como son, debieran estar seguros por que corren localmente, pero
> > sinceramente, la verdad es que estan totalmente abiertos al husmeo
> > por que la informacion es clear text, creo que al menos en la
> > informatica no se puede subestimar los escenarios.
>
> Estoy de acuerdo en que no hay que subestimar los escenarios, pero
> creo que tampoco hay que hacer esfuerzos innecesarios. Lo del HTTPS es
> correcto y necesario. Lo del IMAPS, creo que no es un beneficio.
>
> Si no me equivoco, para observar el tráfico de la interfaz loopback,
> hay que estar dentro del host y ser el superusuario. Si un intruso
> logra eso, las claves de correo son lo de menos. No sólo podría leer
> los mensajes de todas las cuentas directamente desde el filesystem sin
> tener que sacar las claves de la red; también podría borrar todo el
> correo, o interrumpir el servicio, o tomar el servidor. Considero que
> encriptar las conexiones locales sólo agregaría complejidad al trabajo
> del administrador (más cuando su experiencia en el tema no es mucha),
> incompatibilidades en algunos casos, costo computacional en todos, y
> una protección ante ningún peligro.
>
> Está bien igual que esto es sólo un caso, y podemos seguir discutiendo
> implementaciones por mucho tiempo. Tampoco está _MAL_ encriptar todo.
> Lo que en última instancia argumento es que, puesto que a la seguridad
> absoluta no se llegará nunca, conviene concentrar el esfuerzo en los
> puntos de más peligro, en lugar de intentar abarcar absolutamente todo.
> No sólo para maximizar la eficiencia del trabajo de administración;
> los cambios también introducen nuevos riesgos (fallos del software
> nuevo, errores del administrador, incompatibilidad, falsa sensación de
> seguridad, etc) y en algún punto el riesgo que se introduce es mayor
> que el que se está evitando.
>
> --
> Guillermo Pereyra Irujo
> Tandil, Argentina
>
>
>
>
> Message: 3
> Date: Mon, 15 May 2006 20:42:22 -0400
> From: Reinaldo Mayol Arnao <mayol en ula.ve>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: seguridad en lacnic.net
> Message-ID: <44691FEE.4010901 en ula.ve>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Se ha borrado un adjunto en formato HTML...
> URL:
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/at
> tachment.htm
> ------------ próxima parte ------------ Se ha borrado un mensaje que
> no está en formato texto plano...
> Nombre     : mayol.vcf
> Tipo       : text/x-vcard
> Tamaño     : 632 bytes
> Descripción: no disponible
> Url        :
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/ma
> yol.vcf
> ------------ próxima parte ------------ Se ha borrado un mensaje que
> no está en formato texto plano...
> Nombre     : smime.p7s
> Tipo       : application/x-pkcs7-signature
> Tamaño     : 4501 bytes
> Descripción: S/MIME Cryptographic Signature
> Url        :
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/sm
> ime.bin
>
> ------------------------------
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>
>
> Fin de Resumen de Seguridad, Vol 5, Envío 6
> *******************************************
>
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
http://lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad