Diccionario de Seguridad Informática (IV)

Continuando con los pasos que son necesarios para completar un ataque a la seguridad de un sistema, el siguiente que nos toca en este pequeño diccionario para Redindustria es el Anonimato.
Este tipo de técnicas tienen principalmente dos funciones:
  • Ocultar la identidad del hacker durante el ataque.
  • Borrar huellas por si hubiera un posterior análisis forense.

Existen tres tipos de técnicas que permiten a un atacante o hacker conseguir el anonimato:

  • Anonimato Físico: Es decir, en este caso, el atacante se ubica físicamente en un equipo de un cybercafé, una universidad o de un sitio similar con poco control de acceso para cometer el ataque con impunidad.
  • Anonimato por uso de Bouncer: Con esta técnica se utiliza como origen del ataque un equipo "inocente" sobre el que el hacker tiene el control, normalmente, porque lo ha infectado con algún tipo de troyano para utilizarlo como plataforma inicial.
  • Anonimato por uso de Proxy de Internet: En este último caso se utiliza como origen para el ataque un equipo que está disponible en Internet justo con esta finalidad, aceptar y reenviar peticiones de manera anónima (hacen de intermediarios entre cliente/servidor y servidor/objetivo y al contrario). Estos proxys de intenet suelen estar ubicados en países con legislaciones muy laxas en lo que se refiere a seguridad informática, por lo que los hackers se aprovechan de estos agujeros legales y de la falta de colaboración entre los diferentes países en temas de seguridad para salir impunes.
    dd

Evento. SIES 2009.

Este 31 de Marzo finaliza el plazo para enviar trabajos al Symposium on Industrial Embedded Systems, que se celebrará en Suiza los días 8, 9 y 10 de Julio.

Se trata de uno de los congresos internacionales más importantes en el ámbito de la Informática Industrial (organizado opr IEEE), y en la última edición, en Montpellier el año pasado, surgió la idea de celebrar este año la primera edición de nuestra versión nacional, el WIIND. Es una ocasión estupenda para establecer contacto con los mayores expertos en el área y para estar al día de las útimas innovaciones.

Aquí os dejo el enlace por si os interesa tener más información:

http://sies2009.epfl.ch/
ddd

La organización empresarial en red

Las innovaciones en los campos de la informática y de las telecomunicaciones están permitiendo un gran cambio en la organización de multitud de empresas, permitiendo un replanteamiento en su forma de trabajar y en las relaciones laborales.

Las empresas tradicionales, con una organización jerárquica y normalmente muy burocratizada y rígida, están dando paso a un nuevo tipo de organización en red, que en lugar de representarse con el típico organigrama se representa mediante los flujos de información que se generan entre las personas y los grupos de trabajo que la componen.

Es decir, las organizaciones tienden a ser una red de relaciones y contactos mucho más flexible que las estructuras que venían utilizándose hasta el momento.

Un par de citas interesantes al respecto:
  • Según la consultora Norton "las empresas deben utilizar las tecnologías de la información para situarse estratégicamente en el siglo XXI y de esa manera, romper las estructuras jerárquicas tradicionales por funciones, consiguiendo una organización tipo red, que consiste en una conexión punto a punto que sustituye a la jerarquía para identificar y compartir los conocimientos entre todos los integrantes de la empresa".
  • Según el programa FAST de la Comunidad Europea "las grandes empresas estallan en red y las pequeñas empresas se conectan a esa red".
Aunque son muchas las empresas que están modificando su estructura, las primeras que realmente están funcionando en red son ABB, Ericson y Texas Instruments, por poner algunos ejemplos entre las más grandes.

Además, el concepto de red está funcionando muy bien en otros entornos como el de la investigación, en el que se están creando redes de conocimiento en áreas punteras que reúnen a investigadores y grupos de trabajo de todo el mundo. Y aquí nuestros modestos intentos de formar redes de contactos y de empresas con el blog RedIndustria y la organización Industry Network.
sss

Claves de la industrialización del desarrollo de software

Entrada escrita por Juan José Cabezuelo, Responsable Oficina de Conocimiento Informática Industrial del Grupo Intermark. (jjcabezuelo@grupointermark.com)
http://www.grupointermark.com/


En mayo de 2003 el Harvard Business Review publicó un artículo de Nicholas G. Carr. titulado “IT Doesn’t Matter”, o lo que es lo mismo, "la tecnología no importa"
El artículo, que ponía el dedo en la llaga en plena resaca de la crisis de las puntocom, planteaba que, siendo las oportunidades de obtener ventajas competitivas claras por el empleo de tecnologías de la información cada vez más escasas, debían tenerse en cuenta tres ejes de actuación de cara a afrontar inversiones en IT:

  • Invertir menos: los estudios no parecen reflejar una relación directa entre grandes inversiones en IT y la mejora de los resultados financieros.
  • No liderar, sino seguir las iniciativas de otros: esperar reduce el riesgo de invertir en tecnologías fácilmente obsolescentes.
  • Centrarse en los puntos vulnerables y no en las oportunidades: es más sencillo tener grandes pérdidas debido a un mal funcionamiento de los sistemas IT que obtener grandes beneficios derivados de dichos sistemas.

Si bien la respuesta de las grandes empresas de IT no se hizo esperar, lo cierto es que muchos ven en la falta de calidad del producto uno de los motivos de la pérdida de la confianza en los grandes proyectos informáticos. La solución está en aquellos sectores que también han pasado por un proceso de industrialización. El desarrollo de software debe pasar de una época de producción artesanal con múltiples intervinientes de calidad media a una era industrial focalizada en la mejora de procesos y de la calidad de los productos.

Industrializar, sí, pero ¿cómo?

  • Mejorando de tareas cotidianas realizadas por los equipos: BUENAS PRÁCTICAS
  • Revisando en profundidad de los soportes de producción: AUTOMATIZACIÓN DE CIERTAS ACTIVIDADES

La idea central de la industrialización del desarrollo de software es reducir la incertidumbre en aspectos tales como:

  • Fiabilidad de los productos
  • Respeto del presupuesto y calendario
  • Definición y seguimiento de los procesos de producción y de medios para medir desempeño y productividad
  • Estandarización de métodos y herramientas. Reutilización de componentes
  • Trazabilidad de requerimientos, especificaciones, código, incidencias…

Se busca obtener los beneficios que las líneas de producción introdujeron en la calidad de los productos así como la productividad lograda. El desarrollo de software, al igual que cualquier otra actividad productiva, debe convertirse en un proceso predecible.

Principales componentes del CMI (I)

Los contenidos principales del CMI serán los siguientes: objetivos estratégicos, objetivos tácticos, planes de actuación e indicadores.
,
,
2. Objetivos Operativos o Tácticos:
Tras la determinación de los objetivos estratégicos, se enuncian los objetivos operativos que deben tener las características esenciales de cualquier objetivo: medibles, específicos, alcanzables en tiempo, realistas, tangibles e integrados.
,
Entre los objetivos operativos básicos a tener en cuenta en un proyecto de mejora de la productividad deben tenerse en cuenta los de calidad y productividad. Dentro de los primeros se pueden diferenciar tres tipos de calidad.
,
Calidad comercial, definida como el factor de alteración en el producto acabado advertida en el circuito de comercialización y comunicado a través del departamento de calidad.
,
Calidad sanitaria (sólo en el caso de perecederos) descrita como la ausencia de componentes físicos, químicos y microbiológicos que pudieran ser causa de alteraciones en seguridad sanitaria o en la salud de los consumidores.
,
Calidad técnica que es la ausencia de alteraciones o factores de “No Calidad” en el producto acabado que sean detectados y retenidos dentro de los límites de control directo de la compañía.
,
Incluidos en los objetivos de productividad, es necesario determinar objetivos de eficiencia operativa (producción obtenida expresada en tasa porcentual durante todo el tiempo operativo o de producción efectiva) y eficiencia funcional (producción obtenida expresada en tasa porcentual durante todo el tiempo operativo y tiempo destinado a limpiezas y sanitación de los equipos de proceso). Además se deberían tener en cuenta el establecimiento de otros objetivos operativos, basados en índices estándares de gestión industrial, tales como el OEE (Overall Equipment Effectiveness), TEEP (Total Effective Equipment Productivity), MTBF (Mean Time Between Failures) o MTTR (Mean Time To Repair).
,,

Diccionario de Seguridad Informática (III)

Continuamos con nuestro particular diccionario, y nos centramos en el segundo paso para la construcción de un ataque: la enumeración de vulnerabilidades del sistema objetivo.

Una vulnerabilidad es un fallo en el diseño o configuración de un software. Aquí os dejo un enlace a una base de datos muy completa con las vulnerabilidades descubiertas hasta el momento:

http://www.securityfocus.com

Se define como día cero, el día en el que se hace pública una vulnerabilidad, normalmente mediante la generación un expediente de seguridad identificado por un Bugtraq ID. A partir de este momento, el tiempo que se tarde en dar una solución será el tiempo de reacción. De este tiempo de reacción depende la probabilidad de que la vulnerabilidad descubierta sea explotada para construir un ataque.

En resumen, el proceso de análisis de vulnerabilidades es el siguiente:
  • Detección y descripción de la vulnerabilidad. Asignación de Bugtraq ID.
  • Implementación de la explotación de la vulnerabilidad del sistema: desarrollo de un Exploit.
  • Solución al problema.
  • Generación de parche o versión de software que incluyan esta solución.
Aunque la enumeración de las vulnerabilidades más desconocidas o complejas suele ser un proceso muy artesanal, en una primera fase se suele utilizar un escáner de vulnerabilidades.

Se trata de un programa que explora un equipo para ver si se ajusta a los patrones de una lista de vulnerabilidades conocidas. En el caso de detectar una vulnerabilidad se muestra la información almacenada según su Bugtraq ID (y en muchos casos, se enlaza directamente al exploit desarrollado para esta vulneraiblidad). Por lo tanto, no sólo se utilizan estos programas para la construcción de ataques, sino también para la auditoría de seguridad de sistemas.

Aunque existen multitud de alternativas, este es un ejemplo de escáner de vulnerabilidades sencillo, para que podáis comprobar cómo funcionan estos programas (tenéis una versión de prueba gratuita):

GFI LanGuard
http://www.gfi.com/lannetscan/
aaa

Cuadro de Mando Industrial (CMI)

El Cuadro de Mando Industrial (CMI) es un herramienta de gestión de la productividad industrial, que se desarrolla utilizando conceptos asociados a las herramientas BSC (Balanced Scorecard), que permitirá especificar y comunicar los objetivos estratégicos, tácticos, planes de actuación e indicadores asociados al entorno fabril de una organización. Además, esta herramienta, será la base para abordar iniciativas de mejora de la productividad industrial, ya que en él se volcará y centralizará toda la información que surja de los grupos de mejora ligados a las iniciativas de incremento de productividad industrial. Por tanto el CMI permite agrupar las dos formas de llevar a cabo procesos de mejora en el área industrial de la empresa. Ayuda a implantar una metodología de gestión e incorpora información relacionada con ratios de calidad, coste, eficiencia, producto, etc…
m
Los contenidos principales del CMI serán los siguientes: objetivos estratégicos, objetivos tácticos, planes de actuación e indicadores.
m
Los objetivos estratégicos son aquellos cuya consecución determinan el posicionamiento de una empresa en un plazo no inferior a tres años y que son llevados a cabo a través de la creación de ventajas competitivas. Generalmente no son objetivos cuantificables y representan la visión que la alta dirección tiene de la compañía. Dentro de un proyecto de mejora de la productividad industrial, se podrían definir objetivos estratégicos ligados a la corporación, a la unidad de negocio responsable del proyecto de mejora o incluso del grupo de incremento de productividad.
,

Tecnologías de memoria principal (y III)

Finalmante llegamos a la tecnología DDR. Este tipo de memoria transfiere información dos veces en cada ciclo de reloj: una vez en el flanco de subida y otra vez en el flanco de bajada. Con esta técnica se puede llegar hasta frecuencias de 400 MHz, impensables con las tecnologías anteriores.

La DDR2, introduce algunas mejoras para llegar hasta frecuencias de 800 MHz. Las señales son diferenciales, lo que permite trabajar a mayores frecuencias sin tener problemas con el ruido o las interferencias. Para trabajar a estas frecuencias tan altas y no tener problemas con el calor, se ha reducido la tensión de alimentación, de 2.5 V de las DDR a 1.8 V. Se siguen realizando dos transferencias por ciclo, aunque se esperaba poder llegar a cuatro en algún momento.

Y la DDR3, de la que ya habíamos hablado con anterioridad, realiza los accesos igual que sus predecesoras (una BEDO DRAM pero síncrona), utilizando tecnología de 80 nm, lo que permite disminuir la tensión de alimentación hasta 1.5 V. Esto permite aumentar la frecuencia de funcionamiento hasta 1900 MHz, aunque se siguen haciendo dos trasferencias por ciclo.

Espero que con esta serie de entradas os haya quedado más claro el tema de los accesos a memoria principal. De todas maneras, en futuras entradas seguiremos tratando temas relacionados como el de las tecnologías RAMBUS o el del funcionamiento de los controladores de memoria.
olooo

La industrialización del desarrollo de software

Entrada escrita por Juan José Cabezuelo, Responsable Oficina de Conocimiento Informática Industrial del Grupo Intermark. (jjcabezuelo@grupointermark.com)









Un artículo comparaba a mediados de los años 80 la construcción de puentes y el desarrollo de software. Dicho artículo planteaba la comparación en estos términos:

  • Los puentes se construyen normalmente en el tiempo y presupuestos previstos y no se caen.
  • El software, sin embargo, raramente es desarrollado en plazo y presupuesto y, por si fuera poco, siempre se acaba rompiendo.

Seguramente uno de los motivos del "éxito" en la construcción de puentes sea el elevado detalle en su diseño. Es difícil que se produzcan modificaciones sustanciales en sus especificaciones. Sin embargo, esto no ocurre del mismo modo en el desarrollo de software, seguramente debido a la constante evolución del entorno empresarial. Se achacan a este argumento los problemas en el desarrollo de software.

El informe CHAOS publicado por The Standish Group en 1994 levantó un revuelo considerable entre la comunidad de empresas de servicios tecnológicos y de desarrollo de software. Desde entonces ha sido utilizado a menudo para apoyar la denominada "crisis del software". Este informe planteaba cifras realmente preocupantes con respecto a las tasas de éxito de los proyectos informáticos:

  • El 31% de los proyectos iniciados serían cancelados antes de su finalización.
  • El 53% de los proyectos incurren en unos sobrecostes del 189%.
  • Solamente el 16% fueron un éxito completo.

Entre los motivos recabados en dicho informe sobre las claves del éxito o fracaso de los proyectos de desarrollo de software se enumeran:

Doce años más tarde, un estudio similar publicado por The Standish Group reveló que afortunadamente las cifras de éxito de los proyectos habían mejorado:

  • El 35% de los proyectos informáticos iniciados en 2006 en EEUU pueden ser considerados como un éxito, cumpliendo hitos temporales, de presupuesto y de expectativas de los clientes.
  • El 19% de los proyectos resultó un fracaso (una disminución considerable respecto al 31% de 1994).
  • Un 46% de los proyectos presentó algún tipo de desviación.

¿La clave de esta mejora en las cifras? La industrialización en los procesos de desarrollo de software.

Tecnologías de memoria principal (II)

Las EDO DRAM realizan mejoras en la temporización de los accesos a memoria. Se permite solapar la lectura del driver de datos por parte del controlador de memoria con el direccionamiento de la siguiente columna en los accesos en modo burst. Es decir, se puede comenzar un nuevo acceso sin que todavía haya finalizado el anterior. Se pueden conseguir rendimientos similares a los de una memoria entrelazada sin necesidad de tener dos bancos de memoria. Con esta técnica se consiguen memorias 5-2-2-2.





La siguiente tecnología, la BEDO DRAM, permite devolver directamente los cuatro valores que vienen determinados por la dirección de fila y columna
especificadas (ese valor en concreto y los tres siguientes).



Hasta este punto todas las tecnologías eran asíncronas, es decir, utilizan sus propias señales de sincronización para realizar los accesos a memoria. Pero la utilización de estas señales introduce bastante latencia.

Por este motivo la siguiente mejora que se introdujo en las memorias fue convertirlas en síncronas, utilizando para ello el reloj de la placa base. Al no utilizar señales propias de sincronización, las memorias pueden funcionar en modo 5-1-1-1. Las primeras memorias de este tipo fueron las SDRAM (Synchronous DRAM) y a partir de este tipo de memoria, todas han sido síncronas.
iii

Evento. Mesa de Innovación PYMEINNOVA. IMADE Alcalá de Henares. Eliminación Cuellos de Botella

El próximo miércoles 11 de marzo de 2009, redindustria en colaboración con Wonderware Spain, participará en la Mesa de Innovación PYMEINNOVA que IMADE organiza, junto con el Ayuntamiento de Alcalá de Henares, la Asociación de Empresarios de Henares (AEDHE) y la Cámara de Comercio, en la que se tratarán temas relacionados con la mejora de la productividad industrial, eliminación de cuellos de botella en la fabricación y la importancia de las soluciones MES en la consecución de dichos objetivos.
,
La asistencia a la mesa redonda es gratuita previa inscripción.

,
Estas son las coordenadas de localización de la Mesa Redonda:

  • Fecha de celebración: Miércoles, 11 de marzo de 2009
  • Horario: 09:30 a 11:30 hrs.
  • Lugar: AEDHE , Avenida Juan Carlos I, 13 (Torre Garena) , Alcalá de Henares
Información e inscripciones:
,,,,,

Tecnologías de memoria principal (I)

Teníamos pendiente una entrada acerca del funcionamiento de las memorias DDR3, de las que hablamos en una entrada anterior.

Para comprender cómo se realizan los accesos en estas memorias, tenemos que hacer un poco de historia y comprender la evolución que han sufrido en los últimos años las memorias RAM dinámicas.

Las primeras fueron las DRAM. Este tipo de memoria ha quedado obsoleto, pero prácticamente todas las memorias que se utilizan en la actualidad, incluidas las DDR3, provienen de realizar mejoras y ptimizaciones a este modelo.

Para acceder a esta memoria el procesador vuelca una dirección en el bus de direcciones y el controlador de memoria decodifica esta dirección para determinar qué chip o chips deben ser accedidos. A continuación, el controlador envía a este chip las direcciones de fila y columna que corresponden a la información accedida, ya que cada chip de memoria se organiza como una matriz de celdas DRAM.


La memoria DRAM convencional desaprovecha muchos recursos porque al direccionar una fila del chip, se recupera la fila completa, y a continuación se extrae la columna de esta fila a la que se quiere acceder. Pero si a continuación se accede a otra columna de la misma fila (algo muy común debido al principio de localidad), se vuelve a realizar el mismo proceso.

La FPM DRAM introduce dos mejoras a la DRAM convencional: la división de la memoria en páginas y los accesos en modo burst.

La memoria se divide en páginas y se introduce una electrónica que permite que los accesos que se encuentran en la misma página que un acceso previo se realicen con menos número de ciclos de espera. La manera de llevar esto a cabo es que cada página se corresponda justo con todas las celdas en una misma fila de la matriz del chip de memoria. De esta manera, mientras los accesos se mantengan en la misma fila, se puede mantener la dirección de fila cargada y sólo hay que ir modificando la dirección de la columna.

Los accesos en modo ‘burst’ permiten que, una vez que se realiza el acceso a una determinada columna, se puede acceder a las tres siguientes columnas de esa fila sin necesidad de volver a cargar la fila en el driver de datos.

Las memorias típicas son 5-3-3-3, es decir, el primer acceso tarda 5 ciclos y los tres siguientes tardan 3 ciclos porque ya no tienen que recuperar la fila completa (ya está disponible), sólo la columna.