Introducción a la Seguridad Informática

Este es el primero de una serie de entradas que iré publicando sobre el sector que mas me gusta de la informática y no es otro que el de la seguridad informática, escribiré entradas sobre como vulnerar sistemas, interceptar comunicaciones…etc y como protegernos ante estos ataques.
Para comenzar comento que puesto que un sistema informático nunca es 100% seguro en vez de utilizar el término seguridad se suele hablar de fiabilidad. Para que un sistema informático sea lo más fiable posible se deben de cumplir cuatro características principales:

  1. Confidencialidad: La información debe ser accesible solo por las entidades autorizadas.
  2. Integridad: La información solo puede ser modificada por entidades autorizadas. La modificación incluye el borrado, cambio, escritura, creación y reenvío de los mensajes transmitidos.
  3. No repudio: Debe ofrecer protección a un usuario receptor cuando un emisor niegue posteriormente que realizó cierta comunicación.
  4. Disponibilidad: Los recursos del sistema informático deben estar disponibles a las entidades autorizadas cuando lo necesiten.

Publicado en Seguridad Informática | Etiquetado , , , | 86 comentarios

Delitos informáticos en el nuevo Código Penal

Con fecha de 23 de Junio de 2010 acaba de salir publicado en el BOE las reformas en el Código Penal y entre ellas podemos leer algunas sobre los delitos informáticos y que a continuación os copio.

En el preámbulo podemos leer:

XIV
En el marco de los denominados delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.

XV
Entre las estafas descritas en el artículo 248 del Código Penal, cuyo catálogo en su momento ya se había acrecentado con los fraudes informáticos, ha sido preciso incorporar la cada vez más extendida modalidad consistente en defraudar utilizando las tarjetas ajenas o los datos obrantes en ellas, realizando con ello operaciones de cualquier clase en perjuicio de su titular o de un tercero.

El sistema de cualificaciones o agravantes específicas propio de la estafa ha venido planteando problemas interpretativos en la praxis, pues da lugar a que se superpongan dobles valoraciones jurídicas sobre unos mismos elementos del hecho, cosa que es particularmente evidente cuando se trata de la modalidad de uso de cheque, pagaré, letra de cambio en blanco o negocio cambiario ficticio –que, además, puede confundirse con alguna modalidad de falsedad documental– que son, a su vez, instrumento y materialización del engaño, y no algo que se sume al ardid defraudatorio, por lo cual su valoración separada es innecesaria.

Como vemos ya se empiezan a contemplar delitos que últimamente están a la orden del día y en el anterior Código Penal no se contemplaban, ahora veamos lo que se a añadido a los artículos referente a estos nuevos delitos registrados.

En el artículo 197 se introduce un nuevo apartado 3, pasando los actuales apartados 3, 4, 5 y 6 a ser los apartados 4, 5, 6 y 7, y se añade un apartado 8, con la siguiente redacción:

«3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

[…]

8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.»

Se modifica el artículo 264, que queda redactado como sigue:

«1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

3. Se impondrán las penas superiores en grado a las respectivamente señaladas en los dos apartados anteriores y, en todo caso, la pena de multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

1.º Se hubiese cometido en el marco de una organización criminal.

2.º Haya ocasionado daños de especial gravedad o afectado a los intereses generales.

4. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrán las siguientes penas:

a) Multa del doble al cuádruple del perjuicio causado, si el delito cometido por la persona física tiene prevista una pena de prisión de más de dos años.

b) Multa del doble al triple del perjuicio causado, en el resto de los casos.

Publicado en General | Etiquetado , , , | 8 comentarios

Cloud Browse, Flash para el Iphone

Ya sabemos todos lo que piensa Steve Jobs sobre el flash y hasta ahora no había forma de verlo en el Iphone, Ipod Touch y más recientemente en el Ipad. Aunque se ha tardado un poco y aún no es 100% perfecto desde el 6 de Mayo en el Appstore Americana está disponible “Cloud Browse” una utilidad que nos recrea un completo navegador donde poder ver videos en flash y juegos en java.
Hay que decir que el navegador se ejecuta en un servidor externo y en modo de navegación privada por tanto no se guardará las páginas visitadas y acedemos a las webs mediante la IP de dicho servidor(Por lo que podríamos decir que realmente si es navegación privada y no lo que hacemos con el mismo modo en firefox o chrome ya que aunque no se guardan las páginas ni las cookies no podemos decir que es navegación privada, ya que nuestra IP queda registrada en los sitios visitados). Por lo que he podido comprobar todas las páginas en flash se ven correctamente, a la hora de reproducir videos en la mayoría la imagen se ve con un poco de retraso aunque el audio si va correcto.
Lo recomiendo ya que aunque no va correctamente al menos en velocidad, sigue siendo muy útil y sin él no podremos ver ninguna página en flash como ocurría hasta ahora, es un avance y algo bastante esperado almenos para poder salir del paso en algunas ocasiones.

Os dejo un enlace para poder descargarlo en su versión 1.1.3 -Descarga Cloud Browse aquí-

Publicado en Apple | Etiquetado , , , , , , , | 20 comentarios

Manifiesto Hacker

Hoy el congreso aprobó la reforma del Código Penal en el que han incluido los ataques informáticos como nuevo delito y se incluyen como conductas punibles las consistentes en:

  • Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.
  • Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.
  • El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.

Por esto hoy quiero recordar el Manifiesto Hacker  que escribió “The Mentor” en 1986.

La Conciencia de un Hacker
Uno más ha sido capturado hoy,
Está en todos los periódicos.

“Joven arrestado en Escándalo de Crimen por Computadora”,
“Hacker arrestado luego de traspasar las barreras de seguridad de un banco …”

Malditos muchachos. Todos son iguales.
Pero tú, en tu sicología de tres partes y tu tecnocerebro de 1950, has alguna vez observado detrás de los ojos de un Hacker?
Alguna vez te has preguntado qué lo mueve, qué fuerzas lo han formado, cuáles lo pudieron haber moldeado?
Soy un Hacker, entra a mi mundo …
El mío es un mundo que comienza en la escuela …
Soy más inteligente que la mayoría de los otros muchachos, esa basura que ellos nos enseñan me aburre …
Malditos subrealizados. Son todos iguales.
Estoy en la preparatoria.
He escuchado a los profesores explicar por decimoquinta vez como reducir una fracción.
Yo lo entiendo.

“No, Srta. Smith, no le voy a mostrar mi trabajo, lo hice en mi mente …”
Maldito muchacho. Probablemente se lo copió. Todos son iguales.
Hoy hice un descubrimiento.
Encontré una computadora.
Espera un momento, esto es lo máximo. Esto hace lo que yo le pida. Si comete un error es porque yo me equivoqué.
No porque no le gusto …
O se siente amenazada por mi …
O piensa que soy un engreído …
O no le gusta enseñar y no debería estar aquí …
Maldito muchacho. Todo lo que hace es jugar. Todos son iguales.

Y entonces ocurrió …
una puerta abierta al mundo …
Corriendo a través de las lineas telefónicas
como la heroína a través de las venas de un adicto, se envía un pulso electrónico,
un refugio para las incompetencias del día a día es buscado …
una tabla de salvación es encontrada.

“Este es … este es el lugar a donde pertenezco …”

Los conozco a todos aquí …
aunque nunca los hubiera conocido, o hablado con ellos, o nunca vuelva a escuchar de ellos otra vez …
Los conozco a todos …
Malditos muchachos. Enlazando las lineas telefónicas otra vez.
Todos son iguales …
Apuesta lo que sea a que todos somos iguales …
A nosotros nos han estado dando comida para bebés con cuchara en la escuela, cuando estábamos
hambrientos de carne …
Las migajas de carne que ustedes dejaron escapar estaban masticadas y sin sabor.

Nosotros hemos sido dominados por sádicos, o ignorados por los apáticos.

Los pocos que tienen algo que enseñarnos encontraron alumnos complacientes, pero esos pocos son como gotas de agua en el desierto.
Ahora este es nuestro mundo …
El mundo del electrón y el conmutador, la belleza del baudio.
Nosotros hacemos uso de un servicio que ya existe sin pagar por lo que podría ser barato como el polvo, si
no estuviera en manos de glotones hambrientos de ganancias,
y ustedes nos llaman criminales.

Nosotros exploramos …
y ustedes nos llaman criminales.

Nosotros buscamos detrás del conocimiento …
y ustedes nos llaman criminales.

Nosotros existimos sin color, sin nacionalidad, sin prejuicios religiosos …
y ustedes nos llaman criminales.

Ustedes construyeron bombas atómicas,
ustedes hicieron la guerra,
ustedes asesinaron, engañaron y nos mintieron
y trataron de hacernos creer que era por nuestro bien,
ahora nosotros somos los criminales.

Si, soy un criminal.

Mi crimen es la curiosidad.
Mi crimen es el juzgar a las personas por lo que dicen y piensan,
no por lo que aparentan.
Mi crimen es ser más inteligente, algo por lo cual nunca me olvidarás.

Soy un Hacker, este es mi manifiesto.
Tu podrás detener este esfuerzo individual, pero nunca podrás detenernos a todos …
después de todo, todos somos iguales.

Publicado en Hackers | Etiquetado , , , , , , | 1 comentario

Sorteo Nexux One de EAL

El motivo de este post/spam/publicidad/sorteo es que la  página de “El androide Libre” ha anunciado un sorteo para ganar un Nexux One y con esta entrada entro en el sorteo, haber si tengo la suerte de conseguirlo y pre-jubilo a mi HTC Magic.

Por otro lado recomendar a todo aquel que no conozca esta página y tenga un teléfono con Android a que la visite a menudo ya que traen siempre las últimas novedades en noticias y aplicaciones.

MODE PELOTEO OFF

Publicado en Internet | Etiquetado , , , , | 64 comentarios

Todopolicia.com Hackeada

Acabo de intentar entrar en la página de Todopolicia.com y me la he encontrado como véis en la imagen. Para los que no la conozcan es una página donde se reunen los aspirantes a policias y  comparten información para ayudar en el proceso de la preparación para superar las pruebas de ingreso.

Al entrar en la dirección www.todopolicia.com nos encontramos las frases “Hacked By GHoST61 – Turksec.info Linux ks306551.kimsufi.com 2.6.28.4-xxxx-std-ipv4-32 #4 SMP Wed Sep 9 22:06:02 UTC 2009 Rooted”. Con una simple búsqueda en google se puede comprobar que este hacker ha entrado en algunas páginas más, para la tranquilidad de los administradores de todopolicia les puedo hacer saber que según otras víctimas de otras páginas anteriormente hackeadas este hacker no suele borrar ningún tipo de información.

No veo ningún motivo para hackear webs como esta, si de verdad quería demostrar algo podía haberse dirigido a una web oficial por lo cual, que creo este supuesto hacker se dedicará a buscar páginas con vulnerabilidades conocidas al azar y la que encuentre entra, ya que si fuera “hacker” como el se denomina buscaría fallas de seguridad o intentaría entrar en páginas con más seguridad como las de órganos de gobierno.

En fin, creo que los amigos de todopolicias.com han sido presa de un aficionado turco cuyo interés máxime es hacerse conocer por “gamberradas” como esta y así intentar conseguir reconocimiento de sus amiguitos del foro Turksec.info.

Publicado en General, Hackers | 82 comentarios

3/4 Proceso de arranque de un ordenador

3. Proceso de arranque de un ordenador

Desde que se pulsa el interruptor de encendido hasta que se carga el sistema operativo, el ordenador realiza una serie de tareas para verificar el buen funcionamiento del hardware instalado. El chequeo inicial que lleva a cabo se denomina post (power on self test) y consiste en una prueba para comprobar que el equipo físico esté bien. Este chequeo se realiza con unos programas que están en la bios.

4. Proceso de chequeo completo

  1. Al encender el ordenador la tensión llega a todos los componentes desde la fuente.
  2. El microprocesador se inicia al recibir la tensión desde la placa base. El propio circuito hace un reset de todos los registros para comenzar siempre en el mismo sitio. A partir de ahí el microprocesador se va a la primera dirección de la memoria para ejecutar el programa que allí está instalado.
  3. El programa de arranque lo interpreta el microprocesador y ejecuta la rutina de la que esté formada.
  4. El microprocesador envía las señales de arranque a través del bus del sistema para detectar la presencia y el funcionamiento de todos los dispositivos conectados al PC. Los dispositivos PNP se activan y solicitan al microprocesador los recursos necesarios. El microprocesador recoge todos los recursos solicitados de forma que el S.O. cuando arranque pueda asignárselos, llegados aquí la tarjeta gráfica se inicializa y empieza a mostrar los primeros mensajes.
  5. Nos muestra a continuación el post que consiste en almacenar y recuperar unos datos verificando así su correcto funcionamiento. Presenta en pantalla un contador de la memoria a media que se va ejecutando.
  6. Se comprueba el funcionamiento del teclado. Una vez superada se permite al usuario interrumpir el proceso para configurar algún parámetro en la bios.
  7. Superadas todas las pruebas, el programa de arranque de la bios chequea las unidades de almacenamiento, para determinar la unidad de inicio que posé el sector de arranque que cargará en memoria y ejecutará para obtener el control.

Si todo ha ido bien se sigue el proceso de forma similar a lo que se ha indicado, pero si se para en algún punto sabremos donde está el error.

descargar la guía original.

Publicado en Guía de averías para PC | 2.468 comentarios

Castilleja de la Cuesta

Primero os pondré en situación, mi pueblo es Castilleja de la Cuesta, situado en el Aljarafe Sevillano con poco menos de 20.000 habitantes donde ha gobernado siempre el PSOE, en las últimas elecciones se presentó la misma candidata que llevaba gobernando varios años y acto seguido se fue a un puesto en diputación (Es sabido que el puesto se lo tenían prometido antes de las elecciones y se presentó solo para ganarlas e irse). El problema es que hemos salido de una Alcaldía mísera para meternos en otra miserable como ninguna, prueba de ello es que la web de Castilleja de la Cuesta PROTESTA la creé pensando en publicar cuatro quejas salteadas y que poca gente o nadie la visitara y en cambio en un mes me e encontrado con más de 4600 visitas, 18 artículos publicados y más de 180 comentarios.
Esto muestra por lo que pasa nuestro pueblo y más últimamente cuando los escándalos han saltado a la prensa. Entre los muchos casos que ya hemos contado podemos resaltar asuntos como:
Multa de 100.000€ por tener contratada a una auxiliar administrativo 18 años con 28 contratos temporales consecutivos. (Que se suma a la multa de más de 80.000€ por 3 despidos improcedentes.
Contrataciones de funcionarios interinos presuntamente para ganar las elecciones sindicales.
Un pueblo sin Policías Locales, junto a un vídeo que lo demuestra.

Un periódico pagado por todos los vecinos que cuesta 60.000€ utilizado para la auto-propaganda del Ayuntamiento.
Y más asuntos que podéis encontrar en la página de Castilleja de la Cuesta PROTESTA donde incluso tenéis una lista a la que he llamado “Lista de la Verguenza” donde resumimos todos estos asuntos.

Publicado en General | Deja un comentario

1/2 Introducción & Pautas generales

1. Introducción

Los tipos de averías que aprenderemos a detectar y resolver en esta guía son las siguientes:

  • Averías tanto en el hardware como en el software.
  • Borrado, corrupción o en general mal funcionamiento del firmware del equipo.
  • Se excluye las referentes a software, virus, drivers…etc.
  • La mayor parte de las averías de hardware o firmware se manifiestan durante el arranque del equipo antes de cargarse el sistema operativo. No obstante, en algunos casos la averías solo se manifiestan una vez arrancado éste, en este caso podemos tener la duda de si se trata de un problema de software, hardware o de firmware. Antes de achacar la avería al hardware o firmware es importante siempre utilizar la versión mas actualizada del driver.

Los dispositivos hardware más revelantes del PC son:

  • Caja, fuente de alimentación, cpu, refrigeradores, placa base, memoria, tarjetas de expansión, controladora gráfica, disco duro, unidades ópticas y cables de datos.
  • Debe notarse que la avería de estos dispositivos no solo puede provenir de los dispositivos en sí, puede deberse a una mala conexión.

El firmware más relevante del PC se encuentra en:

• Placa base, disco duro, unidades ópticas y tarjetas de expansión y controladoras gráficas.
• El firmware de la placa se llama bios, a día de hoy este software se almacena en la memoria flash lo que permite al usuario corregir errores y mejorar el funcionamiento del dispositivo mediante actualización del firmware.

2. Pautas Generales

Contando los dispositivos hardware y firmware hay unas 20 causas posibles de averías (o 20 elementos que nos pueden dar una avería), sin contar que la avería puede venir de la mala conexión de los componentes, por lo tanto, el proceso de reparación debe ser inmediato y metódico para evitar introducir nuevas averías o alargar la reparación. A continuación se exponen una serie de pautas recomendables a tener en cuenta a la hora de enfrentarnos a un ordenador con una posible avería.

Pautas a seguir:

  • Antes de conectar o desconectar nada se debe desenchufar el cable de alimentación de la caja, en caso contrario lo más probable es que introduzcamos una nueva avería.
  • Deben tenerse en cuenta las mismas precauciones cuando se monta y desmonta el PC. Destornilladores, electricidad estática, uso de aspiradores para el polvo…etc.
  • Conviene pensar detenidamente sobre los síntomas y sus posibles causas así como lo que se va ha hacer a continuación.
  • Cualquiera operación seria de avería requiere el conocimiento a nivel funcional de todos los dispositivos del PC, así como el proceso de arranque del ordenador desde que se pulsa el botón de encendido hasta que se carga el S.O.
  • Escribir de forma clara y precisa los síntomas o los indicados por el cliente.
  • En ocasiones los síntomas son una consecuencia de una operación reciente que hemos llevado a cabo sobre el PC y que no recordamos.
  • Probar cualquier cambio importante que hagamos en el software o firmware nada más hacerlo.
  • Comprobar si el PC ha sido manipulado antes por otra persona.
  • Antes de desconectar y substituir componentes es conveniente ejecutar herramientas de diagnóstico.
  • Es conveniente quitar todos los componentes del PC para dejar una configuración básica e ir añadiéndolos uno a uno, si los problemas desaparecen estará en uno de los componentes desconectados.
  • Suponemos siempre de hipótesis inicial que hay un componente estropeado pero a veces hay mas de un dispositivo estropeado, sobre todo los producimos por picos de energía.
  • La carga de parámetros por defecto de la bios puede evitarnos muchos quebraderos.
  • Es recomendable tener una tarjeta post.
  • Si comprobamos comportamiento errático o difícil de explicar una buena idea es poner una fuente de alimentación con bastante potencia.
  • No desmontar nunca la fuente de alimentación.
  • Muchos de los elementos del ordenador se pueden diagnosticar a nivel básico a través del post y de la utilidad de configuración de la bios.
  • La prueba final de que un dispositivo esté mal es substituirlo por otro y se valla la avería
  • Intentar llevar un manual de averías diagnosticadas.
descargar la guía original.
Publicado en Guía de averías para PC | 16 comentarios

Detección y resolución de averías en equipos informáticos (INDICE)

Hace un tiempo cuando realizaba mis estudios de técnico en explotación de sistemas informáticos realicé una pequeña guía para aprender a detectar las posibles averías en un ordenador, en esta entrada y en sucesivas iré extrayendo algunos extractos para recopilar y ampliar la información que contiene.
La guía esta dividida en 9 apartados principales que iré recopilando en distintas entradas y que  son los siguientes:

1. Introducción
2. Pautas Generales

3. Proceso de arranque de un ordenador
4. Proceso de chequeo completo

5. Organigrama para la localización de averías
6.Resolver averías usando la tabla de tonos.
7. Software de ayuda para la localización de averías
8. Protocolos de actuación sobre averías generales
9. Averías en los distintos dispositivos de un PC.

Además al final de cada entrada tendréis un enlace para descargar la guía original.

Publicado en Guía de averías para PC | 2 comentarios