martes, 31 de marzo de 2009

GhostNet, red espía de ...

La universidad de Toronto ha publicado un interesante documento de investigación sobre "GhostNet", una botnet concebida para un objetivo muy concreto: el espionaje. No estamos ante una botnet con un crecimiento exponencial y centrado en la adquisición de más nodos para aumentar su poder, en este caso los objetivos eran tratados de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas infectadas en "GhostNet" es de solo 1.295, una población casi insignificante.
Esta investigación fue efectuada por el "Information Warfare Monitor", alianza del think tank de seguridad canadiense "DevSec Group", la universidad de Cambridge y "Citizen Lab", a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen "GhostNet" se hallaban ordenadores de los ministerios, embajadas y cancillerías de países como Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc. Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado "gh0st RAT" capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.

Aunque el 70% de los servidores del control de la red se sitúan en China y el evidente carácter político de los objetivos, el informe final no responsabiliza directamente al gobierno Chino de la autoría, al contrario que el informe paralelo de la universidad de Cambridge que lo incrimina y relaciona directamente.

La información o uno de sus sinónimos, la capacidad de anticiparse al contrario, se adapta a nuevos medios y soportes y quien la desea o codicia no va a escatimar en recursos para obtenerla. ¿Echaremos de menos al hombre de sombrero y gabardina que esquiva la luz de las farolas en una fría tarde de otoño?

Tracking Ghostnet: Investigating a Cyber Espionage Network.

The Snooping Dragon, social-malware surveillance of the Tibetan movement.

Information Warfare Monitor

[Fuente.: Hispasec]

Nuevamente estamos asistiendo a las formas de uso de los llamados "mercenarios de la información", los no-profesionales, que trafican con todo y para todo. A este paso tendremos que volver al papel y bolígrafo -:)

Bitácora de PSI.: Sniff

Para concluir las aventuras de capítulos anteriores, se hace una estudio del artículo “Host Discovery with nmap” de Mark Wolfgang. Este artículo, del año 2002, aunque nada técnico, presenta un cierto interés didáctico, tanto en el análisis básico de lo que ocurre en un proceso de “host discovery”, como en el estudio de las funciones básicas de un “firewall”.

Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”. Iniciamos esta nueva aventura recordando algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido [quedan pocas redes] y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Se incluye una referencia de interés, "Linux Cross Reference", y se comenta su posible utilidad, tanto a nivel académico, como profesional.


Antes de iniciar esta nueva aventuras de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras. Si te has perdido esta parte del capítulo de hoy, puedes repetir algunas jugadas aquí (trabajo de José Alejandro Pérez Rubio, de la Universidad Jaume I).

Y con todos estos conceptos, dejamos la trama dispuesta para un futuro desenlace en próximos capítulos.

Práctica 1.: El empleado del mes

Después de la propuesta de la entrada Práctica 1.- Ser o no ser (parte II).: El problema de uno es el problema de todos, y de analizar las aportaciones recibidas, tenemos "alumno del mes" -:). Tranquilo, no colgaré tu foto con una gorra de la UDC, sería demasiado. Ni siquiera pondré tu nombre y apellidos, para guardar públicamente tu identidad. Prefiero incluir las iniciales, como en las noticias de prensa relacionadas con casos en proceso legal. Por lo tanto, queda cerrado el "concurso" y se ha llevado 0,75 puntos extra J.L y J.C, y 1 punto J.F.

Al igual que en el mundo laboral-profesional, aunque no siempre suele ser así, quien trabaja duro y bien, debe ser el que tenga recompensas, en este caso puntos. Otro modo de proceder supondrá una mala práctica profesional y de gestión de personal y, a medio-largo plazo, una baja productividad.
*) Esto no significa que otra mucha gente no esté trabajando duro en clase, todo lo contrario. Este año tengo demasiada gente con ganas, y pocos grupos de práticas asignados.

domingo, 29 de marzo de 2009

Práctica 1.- Ser o no ser (parte II).: El problema de uno es el problema de todos

Antes de nada recomiendo la lectura de "parte I de ser o no ser". Sobre el problema, y tras analizar las cuestiones planteadas por algunos alumnos, he decidido incluir esta nueva entrada, con algunas propuestas de trabajo.

Entre las soluciones identificadas podemos incluir.:

- Efectivamente el origen del problema está en un "bug" bien conocido. "Parchear" el sistema y fin de problema. Todo sistema debe estar puntualmente "parcheado" para, en la medida de lo posible, cerrar todas las puertas posibles y errores del sistema.

- Estamos utilizando IPv4, por lo que el módulo IPv6 no es necesario. No cargar el módulo IPv6 soluciona el problema pero, ¿qué pasaría si en algún momento necesitas hacer algo en IPv6?. Aunque no consideres esta opción como solución, dejo como problema propuesto para todos los grupos de prácticas el configurar vuestro sistema para que no haga la carga del módulo IPv6.

- Algunos alumnos han hecho un dist-upgrade de versión, pasándose a debian 5 "lenny". Recuerda que las fuentes de los paquetes se gestionan en el fichero /etc/apt/sources.list. Los que no conozcan este fichero, tienen otro trabajo añadido, consideren o no la actualización de distribución. En lenny el "bug" está solucionado.

Entre las curiosidades, un alumno ha tenido problemas con su máquina virtual en el dist-upgrade. En pocas palabras, se le ha llenado el directorio root (/) y la máquina no le "bota". Nuevamente hay una gran cantidad de acciones que podemos tomar para solucionar el problema, y cada una de ellas tiene sus ventajas e inconvenientes. Aunque ha sido un alumno el que ha tenido el problema, de los pocos que han decidido hacer un dist-upgrade, dejo al resto de alumnos la tarea de identificar las posibles soluciones al problema, identificando las ventajas y desventajas de cada una de ellas, y su adecuación a distintos entornos. "El problema de uno, es el problema de todos". Los 3 primeros grupos de prácticas que me aporten soluciones razonadas y con criterio al problema tendrán su recompensa en forma de puntos extra. Y recuerda, cuantas más máquinas te "cargues", más decisiones tendrás que tomar para solucionar los problemas. Un problema no esperado (lo que no debería ser) es la mejor herramientas para el aprendizaje.

viernes, 27 de marzo de 2009

Recicla "hardware".: El planeta te lo agradecerá

Información remitida por Carlos Dafonte, Vicedecano de Recursos Informáticos de la FI
-------------------------------------
Estimados/as compañeiros/as:

En Semana Santa vai vir unha empresa a recoller a chatarra informática que se atopa nos almacéns da planta 0. Esta chatarra son os restos da actividade de reciclaxe para doazón de equipos a ONGs que se está levando a cabo na FIC: http://wiki.fic.udc.es/alumnos:reciclaxe:indice

Dado a cantidade de equipos que están tamén dispersos nos distintos almacéns anexos ós laboratorios de investigación, pídovos a todos que por favor avisedes en conserxaría para retirar todo o que sexa posible. Aproveitarase o que se poda para doazón e os restos irán para reciclar.
IMPORTANTE: Lembrade que antes de envialos a reciclar deberedes entregaro documento de baixa (normalmente por "fin de vida útil") en asuntos económicos (o trámite e ben simple). Aquí tedes o documento: http://wiki.fic.udc.es/dep:baixa_inventario

Bitácora de PSI.: Enséñame la patita por debajo de la puerta

Hemos iniciado la clase comentando algunas de las noticias aparecidas en el último número de la revista díxitos, del Centro de Supercomputación de Galicia (CESGA).:

- Trabajos en astronomía, y entornos existentes en España muy recomendables para desarrollar una carrera profesional, entre ellos, el Instituto de Astrofísica de Canarias (IAC).
- Información sobre la futura nueva sede del CESGA. A los que hemos seguido los trabajos desarrollados en el CESGA desde su creación, sin duda alguna este proyecto es un merecido reconocimiento a las cosas bien hechas. Mi más enhorabuena a Javier García Tobío, director gerente del CESGA, y a todo su equipo. A mis alumnos, no olvidaros de este centro, posiblemente uno de los mejores lugares de Galicia para desarrollar una carrera profesional en TIC.

Siguiendo con la temática de PSI, se tratan diversos métodos de "hosts discovery", "port scanning", "OS fingerprinting" a distintos niveles.:

- A nivel de la máquina TCP
- Mediante paquetería ICMP
- A nivel no ascci de los protocolos de aplicación

Se hace una introducción a las opciones básicas de la herramienta nmap en estas tres tareas.
Entre las herramientas que utilizan ICMP es sus análisis, destacar xprobe2.

En este punto, se hace un repaso del formato de los paquetes ICMP e IP, analizando los principales tipos y campos de cabecera.

Se analizan distintas opciones de nmap en "host discovery", "port scanning", "OS fingerprinting" y se comprueba el "grado de discreción de las mismas". El uso de herramientas en modo "dar el cante", facilita la detección y filtrado de las acciones. Una correcta temporización en el proceso, y un ajuste fino de las acciones a realizar, dificulta enormente la detección. También se analiza el uso de "decoy scan" e "idle scan" en el proceso de enmascarar el origen del "ataque", su utilidad y limitaciones. "Oye tú, tú que me miras: ¿es que quieres servirme de comida?"

Finalmente, se "recuerdan" los principales mecanismos de defensa ante estas herramientas.

En otro nivel de cosas, un profesional nunca debe responder a un ataque con otro ataque. Ante un ataque a vuestros sistemas, siempre y cuando no se piense en la posibilidad de tomar medidas legales, el modo de actuar de un profesional se debe centrar en la recopilación de todo tipo de información sobre el ataque, tratar de “tracear” el origen, siempre por métodos no intrusivos en infraestructura ajena, y reportar el incidente al responsable o responsables de la infraestructura origen del ataque. En muchas ocasiones, tal vez demasiadas, llegar al origen es casi imposible. Y sobre todo, tratar de minimizar los efectos.

miércoles, 25 de marzo de 2009

Práctica 1.- Ser o no ser

En nuestra profesión es habitual el enfrentarnos a problemas no contemplados a priori. Es demasiado frecuente que lo que debería ser, resulta que no lo es. La capacidad para enfrentarnos a este tipo de problemas es, entre otras cosas, lo que justifica el sueldo de un profesional en TICs.

Aunque en las prácticas de laboratorio siempre existe la posibilidad de llamar al profesor e indicarle que cierta cosa no funciona, es aconsejable que el alumno empiece a pelearse con eso que debería ser, pero no es. De esta forma, aprenderás a enfrentarte a cualquier situación que te pueda aparecer. El camino fácil te llevará al "lado oscuro", y no siempre tendrás a alguien que te resuelva los problemas.

En la práctica 1 he asistido a algunos alumnos con preguntas del tipo.:

- Hago un netstat para ver las conexiones establecidas y, ¿qué es eso que aparece como ::ffff:10.100.108.xxx?

Recomiendo que busques temas relacionados con "IPv4-mapped IPv6 address". En la actualidad, muchos de nuestros servicios soportan tanto IPv4, como IPv6, por lo tanto, ...

- Abro una conexión, por ejemplo ssh, y al hacer un netstat me aparece la dirección destino en formato IPv4-mapped-IPv6 pero trunca el valor de los últimos 8 bits de la dirección IPv4. Además la conexión es en IPv4.

Busca y encontrarás. Este es uno de esos casos de lo que no debería ser. Estamos ante un "bug", del que encontrarás amplia información en internet. Además al ser una conexión IPv4, debería figurar como tal. Ante este problema, tenemos dos posibles soluciones, una mucho mejor que la otra. Trata de identificar las posibles soluciones y decidir la que más nos pueda interesar.

martes, 24 de marzo de 2009

Bitácora de PSI: Fundamentalistas

En el capítulo de hoy hemos introducido las “técnicas” de “Decoy Scan” e “Idle Scan”. Una pila TCP que haga una gestión inteligente de sus paquetes y, entre otros, de sus números de secuencia, complicará considerablemente el que los sistemas se conviertan en “zombies”.

El enmascaramiento de nuestras máquinas TCP-IP permitirá jugar al gato y al ratón y, en la medida de lo posible, tratar de engañar a un posible atacante y, o, a sus herramientas. Se puede tratar de modificar “a pelo” los parámetros característicos de estos protocolos sobre el registro del sistema en "windows" o sobre los ficheros de configuración en /proc/sys/net/ipv4 (para IPv4) en nuestros linux. Como es lógico, no estaría mal hacer antes “backup” del registro y ficheros de configuración. También se puede optar por utilizar distintas herramientas que automatizan esta tarea. Te recomiendo dos magníficas entradas, una del blog de Álvaro Paz, Enmascarar sistema para evitar OS Fingerprinting, y la segunda de Kriptopolis, Security Cloak, enmascarando tu Windows. La incorporación de técnicas de "hardening" y “hardening tools” es otro de los mecanismos recomendables para fortalecer la seguridad en nuestros sistemas. Existen distintos paquetes de “hardening”, como bastille-linux o harden.

Hemos visto las típicas fases de una intrusión, y las principales características de cada una de ellas. Como en la vida misma, la ocultación es el fenómeno que predomina en todas ellas.
Se introducen y definen las medidas básicas de seguridad (técnicas de ocultación, parcheo a todos los niveles, “firewalls”, tcp-wrappers, IDSs, honeys, herramientas de auditoría, de integridad, analizadores de vulnerabilidades, etc.). En este punto, un alumno plantea una cuestión general, la diferencia entre un “firewall” y un IDS. En un mundo empresarial en el que la tendencia es a ir con una careta de "supercrack" de la informática, y en el que en demasiadas ocasiones vender la moto se valora mucho más que un trabajo bien hecho, el que alguien plantee cualquier cuestión que le pueda surgir, sea de la naturaleza que sea, es muy de agradecer. La curiosidad y ganas de aprender es la principal característica que todos debemos tener para no terminar por convertirnos en “zombies”. Sobre la cuestión planteada, se analizan sus características básicas y diferencias, además de la necesidad de que trabajen de forma conjunta y colaborativa.

En cuanto a la formación que todo profesional debe seguir a lo largo de toda su existencia, es bastante lamentable asisitir a cursos de empresa, repletos de profesionales, y comprobar la forma en la que muchos de ellos se enfrentan a sus complejos; o se limitan a callar, y por lo tanto pierden la característica natural de la curiosidad, del aprendizaje, o por el contrario, se dedican a hacer intervenciones orientadas a tratar de demostrar lo guapos, altos y superdotados que son, como un mecanismo para tapar sus miedos y complejos. Afortunadamente también existen profesionales con una constante curiosidad por la tecnología, con ganas de "saber" y "saber hacer", que se enfrentan a los problemas con una gran naturalidad y sentido común. Sin duda alguna, nuestro objetivo principal debe ser el llegar a ser uno de ellos. Y recuerda que este camino no es fácil, y aunque en algún momento nos podamos desviar de la senda hacia el "lado oscuro", no dudar nunca en volver a ella lo antes posible.

La segunda parte de la clase se centra en el reconocimiento de sistemas operativos, iniciando la andadura por los sistemas prehistóricos de reconocimiento ascii, y continuando por los sistemas basados en los protocolos TCP-IP. El conocimiento de los protocolos utilizados por nuestros sistemas, y la forma en la que organizan los datos, es fundamental para poder comprender muchos de los temas tratados. En este punto, utilizamos unos minutos para analizar el protocolo TCP, la forma en la que se establecen y cierran los conexiones y, en general, el funcionamiento de sus 6 flags (URG, ACK, PSK, RST, SYN, FIN), utilizados en algunos métodos, hoy en día clásicos, de análisis. También se estudia el protocolo TCP, su gestión de errores, congestión y flujo, así como los distintos campos de la cabecera de un paquete TCP. Finalmente se introducen las técnicas clásicas de análisis basada en los “flags” TCP, valores de opciones TCP, tamaño de ventana, etc. Para una amplia relación de métodos de análisis http://nmap.org/book/osdetect.html

lunes, 23 de marzo de 2009

Mythbusters & fingerprint security systems

Aunque no hemos llegado al tema relacionado con biometría en seguridad, os dejo un video de una pareja que seguro conoceréis, en el que aportan toda su "sabiduría" para "romper" algunos sistemas de "huella digital".

martes, 17 de marzo de 2009

Bitácora PSI.: La trilogía

Hoy nos hemos centrado en una nueva trilogía.:

- "Hosts discovery"
- "Port scanning"
- "OS fingerprinting"

Hemos visto la problemática, sin desenlace, de la trilogía.

Recomendable algunos artículos clásicos.:

"Hosts discovery with nmap"
"Remote OS detection with nmap"

En castellano, "Análisis activo y pasivo de redes"

Selección entre las múltiples herramientas.:

- nmap
http://www.nmap.org/
http://www.insecure.org/

- xprobe2
http://xprobe.sourceforge.net/

- hping2 & 3
http://www.hping.org/

Sin duda alguna, enmascarar nuestros sistemas es una de las distintas posibilidades para jugar al despiste. Dejo al alumno la tarea de bucear sobre este tema. Señalar que existe la posibilidad de cambiar directamente los parámetros de, por ejemplo, la máquina TCP, o el uso de herramientas y parches que automatizan la tarea, facilitando suplantar otras plataformas.

domingo, 15 de marzo de 2009

Todo lo vinculado a las TIC evoluciona a gran velocidad. Una de nuestras principales funciones es la de mantenernos al día, seamos técnicos o directivos, alumnos o profesores. Y recuerda que para llegar a ser un buen directivo, antes deberás ser un buen técnico. No intentes saltarte ningún paso, o lo único que conseguirás es ser un mercenario de la profesión.

Hace unos días me hacian una consulta sobre redes wifi, que me ha llevado a incluir esta entrada. Dejo al alumno la propuesta de identificar los estándares involucrados en el logo que encabeza esta entrada, en la que se aprecia la evolución del 802.11.

Bitácora PSI.: Evolucionamos

En los laboratorios de prácticas empezamos a funcionar. Sin duda alguna, las prácticas de laboratorio son lo más importante en toda materia. "Saber" es fundamental, pero "saber hacer", lo es mucho más. Al respecto, sin novedad en el frente.

En la clase de teoría, hemos seguido analizando y presentando casos de las distintas categorías de ataques. Entre las palabrejas introducidas, “spoofing” y “fingerprinting”.

Una buena aproximación a los conceptos básicos del "spoofing" la puedes encontrar en http://es.wikipedia.org/wiki/Spoofing

Sobre "fingerprinting", en este caso limitado a los sistemas operativos, en http://www.sans.org/reading_room/whitepapers/testing/an_overview_of_remote_operating_system_fingerprinting_1231?show=1231.php&cat=testinghttp://es.wikipedia.org/wiki/Spoofing tienes una buena aproximación para "saber" lo básico del tema.

Respecto a la operativa de un profesional de las TIC, en clase se ha expuesto la problemática existente en la elaboración de cualquier pliego de concurso de infraestructuras TIC, y el proceso involucrado. Sin duda alguna, el uso de normas y estándares en los pliegos es vital para dejarlo todo bien cerrado, y no llevarnos sorpresas. En este sentido, el conocimiento de los estándares y normas de las infraestructuras involucradas es fundamental. Gran parte de vosotros deberá afrontar este proceso más tarde o temprano, sea desde el punto de vista del profesional que tiene que elaborar los pliegos, o del comercial o técnico-comercial que se presenta a los mismos. Recordar que únicamente se deberán considerar factores económicos-técnicos en las decisiones tomadas, otro tipo de actuación te convertiría en un mercenario de la información. Entre las herramientas utilizadas para la toma de decisión, recuerda que las más sencillas, como los árboles de decisión, te pueden ayudar considerablemente. Como es lógico, siempre acompañado de un informe que justifique los pesos y decisiones tomadas.

viernes, 13 de marzo de 2009

Manifestación para la defensa de las Ingenierías en Informática (A Coruña, 17 de marzo)

12:00 en la Facultad de Informática de la UDC
14:00 Delegación del Gobierno (Plaza de Orense)
16:00 Salón de Actos de la Facultad de Informática de la UDC

[no puedo dar créditos de libre por asisitir a la manifestación, pero si pudiése lo haría] -:)

Información remitida por el FRI.:

Ahora no lo pedimos...
lo exigimos por derecho propio... fichas por orden ministerial publicadas en el BOE, y regulación de nuestra profesión!

Si te importa el futuro de la profesión, si estudias por un trabajo digno de INGENIERO INFORMÁTICO (Con MAYÚSCULAS lo de INGENIERO) no permitamos que nos puteen más (No somos el "chico" que arregla la impresora...).

EL 17M hay una manifestación a nivel Gallego y esta vez más unidos que nunca todas las universidades gallegas http://pgdei.org/

Ahora tienes dos opciones, resignación y quejarte toda una vida.... o bien reclamar saliendo a la calle y gritar para que CAMBIEN las cosas. Para lo primero no tienes que hacer nada... para lo segundo solo tienes que reenviar el mail, decírselo a tus compañeros, hermanos primos, padres y GRITAR más alto que nunca!

...para que no pasen cosas como esta (y esta solo es un ejemplo de voraz intrusismo que sufrimos):

Fuente: http://forohuelga.org/forum/viewtopic.php?f=29&t=2750

COIT INVADE COMPETENCIAS DE INFORMATICA-DOC. PERITOS TELECO

ANEXO I
DOCUMENTO EXPLICATIVO DE LAS AREAS DE HABILIDADES DEL LISTADO DE INGENIEROS PERITOS DE TELECOMUNICACIÓN

1-TELEFONÍA Y TRANSMISIÓN

Daños en redes de Telecomunicación

Se entiende por daños en redes de Telecomunicación aquellos que se producen en los equipos, instalaciones, postes, roturas de un cable telefónico, ya sea aéreo, por fachada o subterráneo.

Lucro cesante
Se entiende por lucro cesante la reclamación por parte de un operador por no poder cursar el tráfico telefónico, datos, etc. a consecuencia de la rotura de elementos de la red.
Daños en instalaciones fijas de comunicaciones (antenas, casetas, etc)Se entiende por este tipo de daños aquellos producidos en estas instalaciones y no incluidos en los apartados anteriores.

2- PATENTES Y PROPIEDAD INTELECTUAL

Se entiende por este tipo de daños, los ocasionados por el uso de soluciones o procedimientos patentados o de documentación técnica que sea objeto de propiedad intelectual.

3- AUDIO Y VIDEO. EQUIPOS Y APLICACIONES

Medidas acústicas

Se entiende por medidas acústicas aquellas referentes a niveles de ruido en locales, establecimientos públicos, fábricas, viviendas, etc. que se requieran para determinar el comportamiento de instalaciones, equipos de sonido, calidad de aislamiento, etc, o el incumplimiento de la normativa vigente en esta materia.

Verificación y autenticación de soportes (cintas, discos, etc.)

Se entiende por verificación y autenticación de soportes todos los aspectos referentes a las cintas de vídeo, discos, cintas magnetofónicas, etc. tanto para verificar su calidad, originalidad, o si se trata de copias no originales.

Verificación de locutor

Se entiende por verificación de locutor el análisis de cintas o discos para verificar su contenido con respecto a cambios de voz o locutor en todo o parte de su contenido con respecto a la grabación original así como ruidos, interferencias, o a la posible manipulación de la grabación.

4- SISTEMAS INFORMÁTICOS

Aplicaciones informáticas

Se entiende por aplicaciones informáticas aquellos casos en los cuales hay que analizar el contenido, calidad, operatividad, integridad de programas informáticos, o Software en general, así como fallos en ordenadores y sus periféricos, redes de datos, etc.

Análisis contenidos de discos duros

Se entiende por análisis de discos duros aquellos casos en los que se desea conocer el contenido de los mismos, la posible manipulación de su contenido, cambios o añadidos en documentos contenidos en los mismos, etc.

Internet

Se refiere este punto a aquellos casos en los cuales pueden existir reclamaciones por corte de servicio, corte de comunicaciones, dificultades de acceso, etc.

Fallos en programas informáticos

Se entiende como fallo informático los que pueden presentar programas informáticos, ya sean comerciales, diseñados a petición de clientes, aplicaciones informáticas, etc. que no satisfagan las especificaciones publicadas o las creadas por el cliente al realizar el encargo, etc.

5- FABRICACIÓN Y DISEÑO

Procesos de fabricación

Se entienden bajo este epígrafe aquellos casos en los cuales los procesos de fabricación no han seguidos las especificaciones técnicas establecidas, dando lugar a productos con fallos, problemas, averías reales o potenciales, que pueden significar incumplimiento de las condiciones contractuales para la fabricación de productos encargados bajo dichos procesos.

Conceptos de diseño electrónico

Se entienden incluidos en este epígrafe, los incumplimientos en el diseño de las especificaciones del cliente, el cambio del diseño sin consultar u obtener aprobación del cliente, la fabricación siguiendo un diseño diferente del aprobado o facilitado, etc.

6- SISTEMAS RADIOELÉCTRICOS EN AUTOPRESTACIÓN.

Comprobación del cumplimiento de la normativa vigente, midiendo potencia, frecuencia u otras características técnicas de una red de radiocomunicación, para verificar su conformidad con la autorización administrativa. Detección de interferencias producidas por otras emisoras o elementos radiantes.

7- MEDIDAS DE RADIO, CERTIFICACIONES SEGÚN R.D. 1066/2001 Y NORMATIVA DE DESARROLLO

Comprobación del cumplimiento de los niveles de referencia exigidos en el R.D.1066/2001, de 28 de septiembre y normativa de desarrollo y validación de las medidas presentadas por los operadores de servicio en las certificaciones exigidas en el citado R.D. tanto para el establecimiento de nuevas estaciones como para la certificación de las estaciones ya instaladas.

8- INFRAESTRUCTURAS COMUNES DE TELECOMUNICACIÓN (ICT)

Abarca además de la posible problemática general, casos tales como:Instalación con canalizaciones o previsión de servicios por, debajo de los mínimos establecidos en la normativa de desarrollo del Real Decreto Ley 1/1998, de de 27 de febrero, sobre infraestructuras comunes en los edificios para el acceso a los servicios de telecomunicación.

jueves, 12 de marzo de 2009

Noticias DoS

Como en la última clase hemos "tocado" la DoS y DDoS (denegación de servicio), que abordaremos en detalle en futuros capítulos-clases, os dejo un par de noticias relacionadas.:

- Denegación de servicio a través de NFSv4 en Sun Solaris 10, uno de los muchos casos de DoS que aparecen cada día.

- Noticia de derecho informático, Malware Distributor & Botnet Master Sentenced To 4 Years.

Nos vemos mañana en clase, pero antes dejo una pregunta, ¿qué diferencia hay entre el derecho informático y la informática jurídica?

Bitácora de PSI.: Nuestras redes (segunda parte)

Aunque segundas partes no suelen ser buenas, he recibido varios emails solicitando referencias generales de interés relacionadas con el llamado cableado estructurado. Como el tiempo es un bien limitado, en el caso de tener que seleccionar entre las fuentes, en estos temas una imagen es mejor que 666 palabras, por lo que me centraría en los enlaces de los videos del final de esta entrada. Posteriormente, es aconsejable formalizar los distintos temas con el enlace-documento indicado.
Preferible este enlace a la entrada de la wikipedia en castellano, más extensa, pero con la que no comparto un par de apreciaciones. Lo bueno si breve, ... (Nota.: Si cae por esta página el autor de dicha entrada, que no lo entienda como una crítica, es un magnífico trabajo, pero a la hora de hacer una selección, hay que tomar decisiones).
En el caso de que el noble arte del idioma de Shakespeare no te atraiga mucho, recuerda que gran parte de la documentación que manejamos en nuestra profesión, no ha sido escrita por Shakespeare, pero casi. Aportando soluciones, en este caso, http://es.wikipedia.org/wiki/Cableado_estructurado
Para terminar, destacar dos magníficos videos localizados en el portal de los portales del mundo audiovisual, muy recomendable para "ver", en el mejor sentido de la palabra, lo que es un cableado estructurado, y sus elementos. Por cierto, son muy didácticos, y de gran interés.:

martes, 10 de marzo de 2009

Bitácora de PSI.: Fundamentalismo

En el capítulo anterior (ver entrada), se hizo referencia a la problemática general de la DoS y DDoS, y se dejó un enlace a una pequeña, pero muy interesante guía de actuación, que proporciona diversas ideas para tomar decisiones ante este tipo de incidentes. En dicha entrada aparece un pequeño "shell script", que aprovechamos para analizar y sacar algunas conclusiones.
- La seguridad de la información requiere unos ciertos conocimientos en gran cantidad de campos (redes de comunicaciones, protocolos, programación, jardinería, etc., etc., etc.).
- En muchas situaciones un problema, que puede ser de seguridad, no tiene una solución definitiva, y sí acciones que pueden mitigar los efectos y reducir el impacto. En nuestra profesión, no siempre todo es 0 y 1. Considerando el "shell script" de referencia, se ha dejado constancia de que lo que puede ser una solución aceptable ante un incidente-problema, puede ser nefasto para el mismo incidente-problema, pero en un contexto o entorno distinto. Nuevamente entramos en la necesidad de tomar decisiones, que requerirán de un ámplio conocimiento de los sistemas involucrados, y del entorno en el que actúan. Sin contar que deberemos saber asumir las consecuencias de las decisiones tomadas. El "esto no es mi responsabilidad, no es de mi área", cuando las cosas no salen bien, no es aceptable. O "que listo soy, que bien me ha salido la fotocopia", cuando es un éxito, tampoco es aceptable. Trabajamos en entornos multi-área, en los que la seguridad es un sumatorio de acciones de todas ellas, con independencia de la existencia o no de un responsable-departamento de seguridad que, de existir, debería coordinar acciones en la totalidad de las áreas (pero esto es otra película).
- Muchas de nuestras máquinas están repletas de "shell scripts". El conocimiento de la programación de "scripts" permite, por un lado, identificar muchos de los procesos que se ejecutan en nuestras máquinas ("shells" de arranque, de estado, etc.) y, por otro, desarrollar distintas herramientas que nos faciliten las tareas de administración, monitorización y control de nuestros sistemas. Por lo tanto, es altamente aconsejable que el alumno se familiarice con la programación de "shell scripts" (no forma parte del temario de PSI, pero cada alumno decide en lo que quiere empelar su tiempo):
* Entre la gran cantidad de enlaces relacionados con "shell scripting" http://linuxcommand.org/writing_shell_scripts.php
* Después de hacer distintas pruebas y algún "shell script", aconsejo que revises alguno de los muchos existentes en la máquina debian de prácticas. Entre otras posibles curiosidades para hacer pruebas, esta entrada "A web server in a shell script"
Señalar que existen otras opciones para automatizar tareas de administración, como por ejemplo perl, o directamente con programación C, etc., etc.
- Otro aspecto de gran importancia introducido en la clase está relacionado con el conocimiento que todo profesional debe tener de las infraestructuras de TIC que gestiona-administra. El desconocimiento de lo que se tiene hará imposible su protección. En este sentido, se ha presentado la estructura organizativa de una red de datos, considerando el concepto de "cableado estructurado". En todo momento se ha utilizado el modelo de red de voz y datos de la UDC y la RECETGA, para mostrar ejemplos reales de redes de comunicaciones.
Sobre la Red de Ciencia y Tecnología de Galicia (RECETGA) recomiendo en http://www.cesga.es/index.php?option=com_docman&task=cat_view&gid=14&Itemid=11, de la revista dixitos del CESGA, el Anuario 2007, disponible en pdf. En esta publicación, la sección "RECETGA Communications", páginas 55 a 63, presenta el estado casi actual de dicha red. Para los que tengan sed de conocimientos, recomiendo también el apartado "Data Storage", páginas 43 a 45 del anuario, de interés para cuando tratemos el tema de dispositivos de almacenamiento. Y si después de estos sigues con sed de conocimientos, el apartado sobre el finisterrae. Recuerda que el CESGA es uno de los "top ten" de Galicia para desarrollar un futuro profesional en TICs. Para los nostálgicos de las tecnologías, recomiendo la evolución de la RECETGA desde 1993 a 2005 disponible en http://www.cesga.es/content/view/424/21/lang,es/
Sobre la red de la UDC no tengo constancia de la existencia en digital de información pública sobre la misma, por lo que tendréis que conformaros con el esquema expuesto en clase.
En cuanto a las prácticas de laboratorio, señalar que los equipos han mejorado mucho respecto a años anteriores. En pocas palabras, las máquinas virtuales tienen una velocidad más que agradable. Sin duda alguna, disponer de buenas máquinas y RAM en cantidades tiene sus resultados. Agradecer al personal del CECAFI todo el trabajo realizado.

domingo, 8 de marzo de 2009

Práctica 1 (red básica)

Esta semana iniciamos las prácticas. A mi pesar, no me queda más opción que hacer grupos de 2 alumnos por PC, al disponer de dos grupos de prácticas y 25 equipos en el aula. En este contexto, existen dos opciones; a) que te toque un "crack" en el grupo, pero recuerda que las pruebas de las prácticas son por grupo, y la superación de las mismas es del grupo, no del individuo. Además, los grupos los decido yo, nunca sabemos con quien nos tocará trabajar en nuestra vida profesional, y las relaciones humanas pueden llegar a marcar el éxito o fracaso de cualquier proyecto; b) trabajar en equipo, planificando el trabajo y repartiendo tareas. Dado que alguno de vosotros me ha preguntado por lecturas recomendadas para la primera práctica, que se centra en la configuración básica de vuestra máquina virtual y sus servicios de red, aconsejo la lectura, a ser posible con una máquina debian delante, de:

1.- Generic Network Configuration Information, http://www.tldp.org/HOWTO/NET3-4-HOWTO-5.html (al igual que los medicamentos genéricos, esta entrada te mostrará todo lo que se debe "saber" sobre la configuración básica del subsistema de red de nuestras máquinas, todo ello directamente aplicable a las de prácticas)

2.- Como nuestro tiempo es limitado, en lugar de la referencia anterior, puedes optar por How To Set Up A Linux Network, http://www.aboutdebian.com/network.htm, con una filosofía de presentación ligeramente diferente.

3.- Además de las referencias 1 o 2, mirar How To Set Up A Debian Linux Syslog Server, http://www.aboutdebian.com/syslog.htm

4.- Finalmente, un recordatorio con la Guía de referencia debian, no estaría mal, http://www.debian.org/doc/manuals/reference/. Como nuestro tiempo es limitado, lo mínimo a mirara serían los apartados 2.4, 10 (introducción), 10.1, 10.2.1, 10.2.2, 10.3.1, 10.4, 10.5, 10.6.1, 10.6.2, 10.6.6, 10.6.7, 10.9 (introducción), 10.9.1, 10.10.

Nos vemos el martes,

viernes, 6 de marzo de 2009

Bitácora de PSI.: Fundamentos

- Factor humano.: Tener buenos profesionales que tomen decisiones (más o menos buenas), pero que las tomen desde un punto de vista técnico-económico, es mucho más importante que el disponer de grandes cantidades de €€€€€€€€€s para equipamiento, máquinas, etc. Es preferible un buen profesional con un PC prehistórico, que 500.000 € en material que …

- En seguridad no obsesionarse con los incidentes intencionados, los accidentales existen, y causan gran cantidad de pérdidas y daños. La importancia de ellos depende del entorno en el que nos encontremos y, por lo tanto, nuevamente tomar decisiones acertadas es lo fundamental.

- En algunas ocasiones las ideas más sencillas son las que proporcionan las mejores soluciones. El sentido común es la principal herramienta profesional. Bueno, y no profesional también.

- Un sistema de detección de incidentes basado en la recepción de llamadas telefónicas de usuarios cabreados no es aceptable bajo ningún concepto. La detección de incidentes, anomalías, etc. debe ser uno de nuestros principales objetivos y, el usuario-cliente, deberá siempre ser el último en percatarse (desde el punto de vista de no degradar el servicio prestado, no desde el punto de vista de la ocultación de la información y los acontecimientos).

- Hemos visto un caso real de incidente de seguridad (en este caso de naturaleza accidental), y comprobado que no es nada fácil determinar las acciones a seguir. Nuevamente estamos ante la problemática de tomar decisiones, repito, desde un punto de vista siempre técnico-económico (que será lo que diferencie un buen profesional de un mercenario de la información). Planificar las líneas de actuación ante incidente-desastres es de gran importancia para proporcionar una rápida y eficiente respuesta.

- Hemos introducido el concepto y problemática general de la DoS. Os recomiendo la entrada que he dejado bajo la etiqueta DDoS, en la que encontrarás acceso a una pequeña guía de actuación ante el DDoS (http://www.zeltser.com/network-os-security/ddos-incident-cheat-sheet.html), información de técnicas de detección, etc., etc.

- Los profesionales que no toman decisiones, nunca se equivocan, y posiblemente asciendan mejor en las empresas. Los profesionales que toman decisiones considerando criterios no técnicos-económicos, no sirven a los intereses de la empresa, únicamente sirven a los intereses de unos cuantos "listillos". En el corto-medio plazo, puede que esto resulte. En el largo plazo esas empresas desaparecerán por falta de productividad y competitividad, especialmente en tiempos difíciles. Siempre que puedas, toma decisiones según criterios técnicos-económicos, y te convertirás en un buen profesional. Podrán ser más o menos acertadas, pero serás un buen profesional. No es fácil, pero es una de las principales competencias que debemos perseguir los docentes.

- La regulación de nuestra profesión, y la definición de competencias (fichas o como les quieran llamar), es fundamental para todos los sectores empresariales-productivos. Hoy todo depende de la tecnología, y sin buenos profesionales y una correcta regulación, todos los sectores se verán seriamente afectados. Hace tiempo que hemos dejado de ser una titulación joven. En la actualidad, las canas y calvicie campan en muchos de nuestros profesionales.

*) Fotografía de la entrada.: Star Trek. Estos sí que llevan tiempo con su cuaderno de bitácora. Pensando en la problemática general de la toma de decisiones, en cualquier ámbito, un análisis del sistema organizativo-funcional de Star Trek podría proporcionar una estudio muy curioso e interesante en el mundo empresarial, además de divertido. Tal vez alguien de empresa podría planteárselo como tesis doctoral. Pero recuerda, Star Trek es una película de ciencia ficción. ¿La ciencia ficción no se adelanta casi siempre a la realidad?. ¿Qué pasaría en el Enterprise si en todo momento sus personajes estuviesen compitiendo por ascender-promocionar, y utilizasen para ello todo tipo de "estrategias"?. Posiblemente la habrían desintegrado hace un buen montón de años. ¿Qué personaje del Enterprise te gustaría ser?. Tal vez esa debería ser una de las muchas preguntas "chorra" que suelen pulular en las entrevistas de trabajo. NOTA.: Un poco de humor en la vida es una buena herramienta para todo.

miércoles, 4 de marzo de 2009

DataCenter y virtualización (Cisco, Vmware, EMC2)


Adjunto información de un evento de Cisco, VMware y EMC. Me imagino que algún alumno se preguntará, ¿qué interés me tiene si es mañana, en Madrid, etc.?. El objetivo de esta entrada es ver la evolución de las instalaciones de nuestros CPDs, fundamental para que podamos tomar deciciones en nuestra vida profesional. Sin duda alguna hemos pasado de tener una gran diversidad de servidores, a montar clusters y blades, para terminar con soluciones de CPD totalmente virtualizadas. Ojo, no todo lo que se vende es oro. La virtualización a todos los niveles también tiene sus problemas, tanto desde el punto de vista administrativo, como de seguridad.

Señalar también tres compañías de interés para nuestra profesión.: Cisco (activos y más activos de red), Vmware (en herramientas de virtualización), y EMC2 (sistemas avanzados de almacenamiento). Estas son empresas que siempre están presente en los concursos en tecnologías de la información y las comunicaciones, y con soluciones siempre a tener muy en cuenta.
-------------------
Cisco, junto con VMware y EMC, organiza el día 5 de marzo el seminario Transformando el DataCenter Mediante la Virtualización en sus oficinas de Madrid.

El objetivo de este encuentro es informarles sobre los últimos avances en el área de la gestión de la virtualización.

Agenda

9.30 h.Registro
10.00 h.Bienvenida por parte de Cisco
10.10 h.La Red como Plataforma de Virtualización - Cisco
10.50 h.La Virtualización con VMware - Alfonso Ramírez, Director General de VMware
11.30 h.Coffe Break
12.00 h.Almacenamiento y Gestión de Entornos Virtuales - EMC
12.40 h.Ruegos y Preguntas
13.00 h.Cierre por parte de EMC
13.15 h.Cocktail

Fecha y lugar

Madrid, 5 de Marzo
Oficinas de Cisco en Madrid
Avenida de La Vega 15,
Edificio 4
Arroyo de la Vega. Alcobendas
E28100 Madrid

Pseudofichas de la II

Información remitida por el FRI.
--------------------
Salieron las pseudofichas

Finalmente el Consejo de Universidades ha aprobado el marco académico (lo que coloquialmente se ha llamado “pseudo-ficha”) para las titulaciones relacionadas con la Ingeniería Informática. En una nota de prensa emitida hoy por el Ministerio de Ciencia y Tecnología se dice textualmente:

[...]Por otro lado, en la reunión del Consejo de Universidades se ha aprobado un nuevo marco académico para la ingeniería informática, la ingeniería técnica informática y la ingeniería química. De esta forma, ha señalado Cristina Garmendia, “el Ministerio de Ciencia e Innovación cumple su promesa de dotar a estas ingenierías de un tratamiento académico similar al de otros estudios de ingeniería que sí tienen estatus de profesión regulada. Esta actuación sigue las recomendaciones de los decanos de escuelas universitarias y colegios profesionales”. Garmendia ha señalado que con este nuevo marco, el MICINN trata de dar cabida, en el ámbito de sus competencias, a las demandas expresadas por los colectivos de ingenieros químicos e informáticos. Finalizado este trabajo, las universidades están en las mejores condiciones para diseñar, con un alto grado de libertad, sus propias enseñanzas de grado y máster.

Gran fecha de protesta 17Marzo!! (hay que superar al 19N)

En el caso de la FIC es a las 12:00 http://www.fic.udc.es/NewsContent.do?newsId=22212&urlCurrent=%2FMainPage.do que se enteren todos tus amigos conocidos , y profesionales afectados...

Debemos darle presión, es ahora o nunca para conseguir algo histórico después de tantos años!!!
------------------------

lunes, 2 de marzo de 2009

Sobre las prácticas


Desde el curso académico 2003-2004 hemos utilizada en los laboratorios de prácticas distribuciones knoppix virtualizadas sobre vmware. De esta forma, el alumno tiene el control total en la administración de sus equipos, posibilitando todo tipo de desarrollos y acciones sobre las mismas. Además, el uso de virtualización facilita enormemente la recuperación de las máquinas ante desastres.

En el curso 2007-2008 se abrió un pequeño debate con los alumnos sobre la distribución a utilizar en las prácticas. Después de estudiar las distintas opciones, hemos decido volver a las raíces, a las distribuciones padre. En este sentido, hemos migrado las máquinas virtuales a distribuciones debian nativas. Aunque existe una gran cantidad de distribuciones linux, es habitual en nuestra vida profesional acabar administrando alguna de las nativas; debian, red hat, etc., y este es uno de los varios factores considerados. Desde esta página, quiero remitir mi gratitud al personal del CECAFI por el trabajo hecho en la configuración de los laboratorios de prácticas.

Sin duda alguna, existe una gran cantidad de distribuciones orientadas al mundo de la seguridad, como pueda ser DVL, DSL, backtrack, operator, phlak, auditor, knoppix-sdt, helix, fire, nubuntu, entre otras, aunque el planteamiento docente que supondría el uso de los mismos podría fácilmente derivar en unas competencias diferentes a las definidas en la asignatura de L[P]SI.

El conjunto de prácticas (ver enunciado de las prácticas), deberá ser desarrollado por los alumnos durante el cuatrimestre. Durante el cuatrimestre se irán indicando los plazos para presentar-defender cada una de las prácticas. Estas pequeñas pruebas de control en máquina serán para verificar que el alumno ha adquirido las competencias de referencia. En caso afirmativo, podrá continuar con la siguiente práctica.
 
En cuanto a la operativa, aunque se proporciona un entorno X, no se podrá utilizar ninguna herramienta gráfica, a no ser que así lo indique el profesor.

Durante el desarrollo de las prácticas, se le proporcionará al alumno, tanto en clase como por medio de este blog, una serie de manuales, howtos y referencias relacionadas con la temática de las mismas. En ningún momento se enumerará la secuencia de comandos a ejecutar o ficheros de configuración a "tocar". El objetivo de las prácticas no es la de crear buenos mecanógrafos. Es fudamental adquirir una de las principales competencias de nuestra profesión, "buscarnos la vida", con los recursos que tenemos, para solucionar problemas eficientemente, en el menor tiempo posibe.