Archivo

Archivo para enero, 2007

Seguridad (y 3..)

Domingo, 28 de enero de 2007 Sin comentarios

Sacado de http://www.elpais.com/diario/ciberpais/

————————————————————————————————-

Los troyanos sustituyen al ‘phishing’ en el robo de datos bancarios

La desconfianza de los internautas ha provocado que el correo ya no sea la forma mayoritaria de propagación del ‘phishing’ – El 72% del código malicioso es con fines lucrativos, según PandaSoftware

Las mafias que roban cuentas de la banca en Internet cambian de estrategia. Están dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como phishing, y suben las infecciones por los llamados troyanos bancarios, más efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web.

Acaban los tiempos de los ataques masivos a discreción. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que donde ponen el ojo ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajería instantánea, ofreciendo enlaces o archivos adjuntos con ganchos como el vídeo de Daniella Cicarelli en la playa o la ejecución de Sadam Hussein.

Cuando el incauto pincha en el adjunto o visita el enlace, el troyano se mete en su ordenador. Estará inactivo hasta que su víctima visite alguno de los bancos para los que está programado, que pueden ser más de cien. Entonces, grabará las contraseñas que teclee, capturará imágenes de la pantalla o las pulsaciones. Y mandará los datos obtenidos al ladrón.

PandaSoftware asegura que el 56% del código malicioso actual corresponde a estos troyanos, surgidos en 2004 y que en 2006 “se dispararon”. El servicio VirusTotal, de Hispasec Sistemas, detecta 50 diarios: “Se suelen diseñar para atacar a las entidades bancarias con mayor volumen de clientes”, explican.

Desde el Instituto Nacional de Tecnologías de la Comunicación (Inteco) precisan: “En los dos últimos años ha habido un descenso en las amenazas masivas para robar información financiera, unido a su mayor criminalización. Lo rentable es el código malicioso especializado y silencioso, que incorpora técnicas de ocultación y realiza ataques selectivos a un menor número de sistemas, de forma que no causen el suficiente alboroto para llamar la atención de las casas antivirus”.

Muchos troyanos no son detectados por los programas antivirus porque éstos no conocen su existencia: “Se distribuyen silenciosamente; además, usan técnicas para eludir los antivirus”, explican en PandaSoftware, donde destacan: “Estas personas están obteniendo beneficios, lo que las anima, por eso vemos un crecimiento tan rápido. El 72% del código malicioso tiene que ver con el cibercrimen con fines lucrativos”.

La sofisticación que representan estos troyanos es consecuencia de que al cibercrimen le cuesta cada vez más engañar al internauta, explican en Hispasec: “El phishing requiere que se crean que el mensaje proviene de su banco y que metan las claves en una página cuya dirección no corresponde a la de su entidad”.

La desconfianza de los internautas también ha provocado que el correo ya no sea la forma mayoritaria de propagación de estos troyanos, según el Inteco: “Se usan mucho los sitios web maliciosos, a los que se intenta dirigir a los internautas con todo tipo de artimañas, enlaces en foros y mensajería instantánea, con el fin de aprovechar vulnerabilidades en sus navegadores por las que se introducirán los troyanos”.

Ya hay tantos troyanos bancarios en circulación que se dividen en familias, como la Banker o la Bancos, correspondiente a los bancos españoles, y dos escuelas: la rusa y la brasileña. Los troyanos de la primera, afirman en VirusTotal, “afectan a un gran número de entidades de todo el mundo, suelen capturar las pulsaciones del teclado o interceptan los datos que envía el navegador”.

La escuela brasileña, en cambio, actúa en Brasil, Latinoamérica y España. Suyo es el troyano que usa como señuelo un vídeo de Daniella Cicarelli. “Técnicamente se basan en la superposición de ventanas, de forma que el usuario crea que está introduciendo sus contraseñas en el navegador, cuando en realidad lo está haciendo sobre una ventana diseñada por el troyano”, explican.

Los expertos advierten que la mejor arma contra los troyanos bancarios es la prevención: usar programas actualizados, especialmente los navegadores y sistemas operativos, no pinchar en archivos o enlaces procedentes del correo no solicitado, estar informado de las amenazas y tener sentido común.

————————————————————————————————————–

Y ahora la explicacion de ambos metodos: Troyano y Phishing


Caballos de troya (Troyanos)

Los caballos de Troya, o Troyanos son programas que normalmente ocupan poco espacio y “se cuelan” a voluntad en el interior de un ejecutable. Este subprograma se coloca en un lugar seguro de la máquina para que no se detecte, no modifica nada de los archivos comunes del ordenador y cuando se cumplen determinadas especificaciones el subprograma muestra unos mensajes que sugieren o piden al usuario la contraseña de la máquina, o simplemente permite a la persona que ha enviado el ejecutable acceder al ordenado infectado, controlando tareas que van desde el interferir en las conversaciones, hasta cambiar el fondo del escritorio.

Por lo general los troyanos tienen como fin el molestar a los usuarios de un equipo, aunque se pueden dar casos de espionaje, o saboteos de ordenadores.

Phishing

El phishing tradicional se presenta en forma de correo electrónico simulando provenir de la empresa suplantada, la mayoría de las veces una entidad financiera, e instando al usuario con cualquier excusa a introducir sus claves en un formulario que realmente envía los datos
al phisher.

Aunque simple, llega a ser efectivo. El hecho de que continúen con esa estrategia lo demuestra por si sólo, sin necesidad de contar con estadísticas o datos concretos de incidentes reales, tema tabú por otro lado.

Seguridad (2): Contraseñas

Miércoles, 24 de enero de 2007 Sin comentarios

Siguiendo con el tema que teniamos entre manos, hoy voy a hablar del metodo de proteccion mas simple que existe: Poner una contraseña.

Convivimos con las contraseñas es casi todos los aspectos de nuestra vida, lo queramos o no. Estan en las cuentas bancarias… en los moviles…. en los ordenadores…. en la web…. en algunos coches…. incluso algunos aparatos electricos caseros como pueden ser un reproductor de Dvd o una television pueden tenerlas!

Por supuesto, desde la aparicion de este metodo de seguridad, existe tambien la manera de burlarlas, lo cual, es algo inherente a su existencia. Para ello existen muchos metodos, desde los manuales (probando distintas contraseñas a mano), o con ayuda de algun programa.

Para romper una contraseña se suele proceder de la siguiente forma:

Muchas contraseñas de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario, que además nunca la cambia (Perro, casa, El nombre del usuario, etc..). En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales que pueden actuar de dos maneras:

La primera es por “Fuerza Bruta”, lo cual significa probar todas las combinaciones posibles de caracteres. Esto suele ser la ultima opcion ya que aunque es un metodo infalible (siempre encuentras la clave), se necesitaria mucho tiempo para obtener un clave medianamente larga. Ejemplo

Imaginemos que tenemos una clave de 8 digitos, que incluye todos los caracteres imprimibles (96 en total), eso haria:

96 caracteres ^ 8 digitos = 721389578983000 combinaciones posibles.

Ahora imaginemos que tenemos un programa que prueba 100000 contraseñas en un segundo (los hay hasta mas potentes).

7213895789830000/100000 = 72138957898,30000 segundos
72138957898,3 segundos / 31536000 segundos en un año = 2287,5 años

Pues eso, tardariamos 2287 años en probar TODAS las combinaciones posibles de esa contraseña.

Hay otras maneras mas faciles de obtener una contraseña. Muchas veces vas a una oficina y te encuentras notitas Post-it en los monitores con las contraseñas de acceso… (La inteligencia brilla por su ausencia…). Otras veces, solo tienes que echarle narices y mucho morro y llamar a algun incauto y decirle: “Oye, soy Pepito de la planta 4ª, he perdido mi clave de acceso, ¿¿me puedes dejar la tuya para mirar un informe??“.

Por eso, amigos y amigas, si alguien os pregunta algo parecido, ya sea de viva voz o a traves de un e-mail, nunca contesteis!!. Si teneis que poner una contraseña, que sea larga, con caracteres variados y que nunca sea algo relacionado con vosotros (nombre de tu madre o algo parecido…), y si tenenis que poner un campo tipo, recordatorio de contraseña (Hotmail) dejarlo vacio si podeis y en caso contrario hacer una pregunta y responder otra.

Saludos y buenas noches! ;)

Seguridad

Martes, 23 de enero de 2007 Sin comentarios
Hoy toca hablar de seguridad, de seguridad informática.

Como este es un tema muy extenso, hoy hablaremos de seguridad en general, y mañana seguiremos con algo mas específico.

Muchos hasta la fecha de hoy (y yo me incluyo) hemos sido víctimas de los malditos virus que circulan por la red… de algun acceso mal-intencionado en nuestro ordenador…. de mareas y mareas de correos basura.. etc. Todo esto y mucho mas es lo que se llama técnicas de contra-seguridad informática.

Todo este campo es una de las infinitas ramas que un informático puede tomar, pero en mi opinión es una de las mas “perras” y os dire el por qué: La informática en general es algo que avanza a un ritmo vertiginoso, eso es algo que todos los que nos dedicamos a ella sabemos. Pero hablando de seguridad (en informática más que nada) avanza mas rápido aún y eso es a causa de que, desgraciadamente, hay infinidad de personas dedicadas a crear software maligno, tantas, que hoy día, Internet esta saturada de ello.

En uno de los seminarios de seguridad a los que he asistido, el ponente dijo una verdad como un piano: “Señores/as, no se dejen engañar. El unico ordenador (con cualquier sistema operativo) es aquel que esta metido en una caja de titanio completamente aislado, sin conexion a la red, ni acceso por parte de ninguna persona de ningun tipo.” y añadió: “Si alguien les dice que su ordenador es inviolable, miente“.

Analizar esas palabras, y ver la verdad en ellas. Hace un tiempo, salió en las noticias que un chaval de 16 años español, habia entrado en el ordenador que controlaba una exclusa nuclear americana. Todo el mundo se alarmó, y se decia: “Qué hubiese pasado si no lo hubieran detenido a tiempo!!!“. Lo que no se dijo, y hubo que leerlo en foros y en paginas no oficiales, esque ese mismo ordenador estaba conectado a internet, con todos los Firewalls y todo lo que quieras, pero estaba conectado a la Red de redes.

Ahora es cuando entramos en el tema doméstico, y cada uno quiere tener su ordenador lo mas protegido posible. En esto he visto de todo, desde gente que dice: “Antivirus??, Cortafuegos???? (Firewall), actualizar el windows???? para que???“, hasta gente que va de lista y me dice: “Tengo el ultimo antivirus de McAffee, el ultimo firewall de Panda, y un antitroyanos que me baje de no-se-que-página-de-por-ahí , pero aun asi me ha entrado un virus”, y yo le contesto: “Si, pero también tienes el Kazaa y el Emule instalados, ¿no?

No existe el sistema perfecto, ya que la perfección no existe, pero aun así, si quieres minimizar el riesgo a que te entre algo (Virus, Troyano, Spyware… lo que sea), instala un Internet Security como el Karpensky, o el Norton, o uno similar y actualizalo a menudo, no metas el emule o programas para descargar, y más importante aán: actualiza el windows!!

Amigos, no os engañeis, si un sistema esta conectado a una red, ese sistema es accesible, eso no lo podeis cambiar, solo os podeis adaptar como hace casi todo el mundo, y si algun dia quereis un sistema inaccesible, no lo conecteis a Internet, ya que en el momento que lo hagais… estais vendidos.

Saludos, y que tengais un buen dia!!! ;)

Categories: Seguridad Informatica Tags:

Google Inc.

Lunes, 22 de enero de 2007 Sin comentarios

Hoy voy a hablar sobre Google, uno de los gigantes de la informática de hoy en día, que hoy por hoy, cubre todas mis necesidades informáticas en la red. Por supuesto, me brinda la ayuda de su poderoso buscador, asi como también me da una cuenta de correo de Gmail, un Blog donde publicar (este BlogSpot), y mas reciente mente, me ofrece largos ratos de entretenimiento con sus portales de videos: GoogleVideos y Youtube.

Resulta muy curioso como fue el comienzo de esta empresa, creada como un simple proyecto de dos estudiantes de un Doctorado en Informática. Pero no simplifiquemos… todo comienzo es duro, y mas teniendo en cuenta, que hace 10 años, el nivel tecnológico de la informática era muy pobre. Aquí tenéis la historia, tal y como puede ser buscada en Internet (usando el que??? google por supuesto)

———————————————————————————————————–

Un objetivo en común:

Larry Page y Sergey Brin se conocieron en 1995, cuando tenían 24 y 23 años respectivamente, en un acto organizado por la Universidad de Stanford. Ambos tenían un objetivo en común: conseguir información relevante a partir de una importante cantidad de datos. En enero de 1996 iniciaron su colaboración en un buscador llamado BackRub. Larry empezó a trabajar en la forma de conseguir un entorno para los servidores que funcionara con PCs de gama baja y que no necesitará de potentes máquinas para funcionar.

Un año después, la tecnología utilizada por BackRub para analizar los links empezaba a ser conocida en todo el campus, obteniendo una gran reputación. Era la base sobre la que se construiría Google.

El nombre proviene de un juego de palabras con el término “googol”, acuñado por Milton Sirotta, sobrino del matemático norteamericano Edward Kasner, para referirse al número representado por un 1 seguido de 100 ceros. El uso del término refleja la misión de la compañía de organizar la inmensa cantidad de información disponible en la web y en el mundo.

En busca de inversionistas en la novedosa tecnología superior a todas las existentes:

Durante los primeros meses de 1998, Larry y Sergey continuaron trabajando para perfeccionar la tecnología de búsqueda que habían desarrollado. Utilizaron sus dormitorios como centro de datos y oficinas. Con esta infraestructura iniciaron la búsqueda de inversionistas que les ayudaran a financiar su novedosa tecnología, superior a todas las existentes hasta la fecha.

A pesar de la fiebre de las “puntocom” en ese momento, Larry y Sergey tenían poco interés en montar una empresa propia cuyo negocio fuera el motor de búsqueda que habían desarrollado.

Entre estos posibles inversores, se encontraba David Filo, amigo de ambos y uno de los fundadores de Yahoo!. Filo les animó a que ellos mismos desarrollaran el proyecto, creando una empresa basada en el buscador cuando estuviera completamente desarrollado. Aunque el potencial que tenía era enorme, se encontraron con la negativa de muchos portales, que consideraban el hecho de tener un buen buscador como algo secundario en sus objetivos.

Así pues, tomaron la decisión de poner en marcha el proyecto y buscar capital para abandonar las habitaciones y acabar de pagar todo el material que habían comprado para los servidores. Hicieron un plan de empresa y fueron en busca de inversores. Su rimera visita fue al amigo de un miembro de la facultad.

Andy Bechtolsheim, uno de los fundadores de Sun Microsystems, enseguida vio que Google tenía un potencial enorme. Sólo pudieron mostrarle una pequeña demo pero fue suficiente para que inmediatamente les diera un cheque por valor de 100.000 $, a nombre de Google Inc. Pero surgió un pequeño problema: no existía aún una empresa llamada Google Inc., por lo tanto no podían cobrar ni ingresar el cheque. Un par de semanas más tarde decidieron buscar nuevos inversores entre familiares, amigos y conocidos para poner en marcha la compañía.

El 7 de septiembre de 1998, Google Inc. ya disponía de oficinas propias en Menlo Park, California, todo un lujo comparado con la situación en la que habían estado hasta entonces. Google.com, todavía en fase beta, tenía unas 10,000 búsquedas cada día. La prensa empezaba a hablar del nuevo buscador y de su excelente funcionamiento.

En 1999 consiguieron 25 millones de dólares de dos importantes inversores: Sequoia Capital y Kleiner Perkins Caufield & Buyers. Las modestas oficinas ya eran pequeñas para todos los directivos y trabajadores de Google, así que se trasladaron a Googleplex, la actual sede central de Google en Mountain View, California.
Nuevos e importantes clientes iban llegando, como por ejemplo AOL/Netscape que escogió a Google como su servicio de buscador, haciendo que superase los 3 millones de búsquedas al día. Lo que empezó siendo un proyecto univeritario ya era una gran empresa con un crecimiento impresionante. El 21 de septiembre de 1999 desapareció definitivamente de Google.com la etiqueta que lo identificaba como una versión beta

———————————————————————————————————————–

Quien haya llegado a leer hasta aquí, enhorabuena, no esperaba que muchos lo hiciesen. Espero que os haya gustado la historia.

Saludos

Categories: Google Tags: ,

El cubo de Rubik

Jueves, 18 de enero de 2007 Sin comentarios
El Cubo de Rubik

Todo el mundo lo conoce, como su pesadilla… como un reto… como algo imposible… o simplemente como adorno en una balda. Cuando tengo uno a mi alcance, siempre intento al menos completar una cara… todo lo que soy capaz sin ayuda.

El Cubo de Rubik fue inventado en la década de los 70 (1974) en Budapest, capital de Hungría. Su inventor fue Erno Rubik, quien lo desarrolló cuando era profesor en el Departamento de Diseño de Interiores de la Academia de Arte Aplicada, pero la construcción del primer prototipo se pospuso hasta 1977.

La primera idea de Erno Rubik fue la de crear un cubo tridimensional de 3x3x3, pero antes de llevar a cabo dicho proyecto, intento crear un cubo de 2x2x2 pero mas tarde descubrió que debido a su simpleza, era imposible de crear dicho objeto, asi que volvió a la idea original, cuyo resultado es el puzzle tal y como lo conocemos hoy en día.

Como todo puzzle, su objetivo es el de hacer que las personas empleen tiempo e ingenio en su resolución, algo que, en cuanto ponemos nuestras manos encima de un de estos cubos, descubrimos que no es tan fácil.

Existe sin embargo un método para resolverlo, un algoritmo que permite que alguien normal, alguien sin un cociente intelectual de 300 sea capaz de completar este simpatico puzzle.

En esta página: http://www.rubikaz.com/resolucion.html encontrareis una sencilla guia de como resolver el cubo, asi como unos applets de java en el lateral que os permitiran ir ensayando de manera online lo movimientos que os van sugiriendo.

Desde luego que intentare completar este reto con la ayuda de la pagina, pero para ello necesitare adquirir un cubo con el que probar estas teorias… aunque sé de alguna pagina que suministran programas que generan cubos virtuales en tu ordenador, prefiero “trabajar” con algo tangible.

Espero que alguno de vosotros consiga hacerlo, yo desde luego lo haré.

Saludos!! ;)

Categories: Curiosidades Tags: ,

Inauguracion del Weblog

Jueves, 18 de enero de 2007 Sin comentarios
Bueno, ya esta creado el Blog este.

Seguramente aparecera un personajillo llamado wallack, compañero de la Facultad, que me dira “Buah, mil veces mejor el mio, que me lo he programado yo enterito en PHP” a lo cual me adelanto y le digo: “Muy bien!!! ¿Quieres un sugus??”

No estoy para perder el tiempo este año, tal vez (y recalco el tal vez) cuando termine la carrera, y si me apetece en verano, me haga mi propio weblog, tal y como wall hizo con el suyo.

Por ahora si esto me lo suple, chachi!!

——————————————————————————–
Para empezar contare que hoy he empezado a estudiar la plataforma que usare para el proyecto de fin de carrera. La plataforma en cuestion se llama IBATIS, y es un framework de persistencia, ideado para simplificar y descomponer el acceso a datos de las aplicaciones.

Para aquellos que no lo entiendan, que se queden con que: Es una manera de hacer las cosas que hace mas facil el mantener una aplicacion informatica, y punto.

Ayer, tras conseguir que mi jefe me contase algo mas sobre lo que he de hacer por proyecto de fin de carrera, consegui enterarme de que no tengo que crear una aplicacion entera, sino que debo “parametrizar” o ajustar una ya existente, para lo cual contare con la ayuda de la programadora de dicha aplicacion (Una ayuda sublime, sin duda..).

Categories: General Tags: