Lotería de Navidad e Ingeniería Informática

Lo primero decir que este post es un post de opinión, y ya sabéis lo que dicen de las opiniones y los culos.

Bueno bromas aparte, voy a comentar un par de cosillas  relacionadas con el fallo ayer, día 22 de Diciembre de 2014,  con el sistema de pagos de premios de la lotería de Navidad con un importe máximo de 2500 euros.

http://politica.elpais.com/politica/2014/12/22/actualidad/1419277541_622385.html

El caso es que esta era la gran novedad de este año,  cualquier premio inferior a 2500 euros se podría cobrar el mismo día 22 a partir de las seis de la tarde. Hasta aquí todo bien, pasta fresca para fundir en regalos y demás. Dan las seis de la tarde y sin nada mejor que hacer la gente empieza a desfilar por las administraciones de lotería, cuando de repente: ¡horror!  ¡Fallo del sistema informático... no se puede pagar un solo décimo premiado!.

Estaba escuchando esto en la radio y sentí una mezcla de incredulidad y rabia.

Por un lado pensaba,  ya está, otra vez la culpa es del sistema informático. Esta excusa es como un mantra.  Siempre que algo falla = fallo informático. Este hecho me indigna mucho. Todos sabemos que cualquier actividad humana está sujeta a fallos, pero es que menudo cachondeo con este tema, todos los problemas al mismo saco (menos mal que no llego el típico listillo pidiendo apagar y encender el sistema).

Por otro lado pensé, ¿los responsables del proyecto serán tan tuerce botas para cagarla de esta manera?  ¿Que pruebas han realizado?, ¿se han verificado y validado los diferentes modulos del proyecto? ¿como son SRD, SDD,  SQAP del proyecto? etc. etc. 

La segunda cosa que escuché fue una especie de excusa de algún portavoz bien informado,  "Bueno es que es el primer año que lo hacemos",…….,  yo que todavía estaba recuperándome del 'fallo informático' no fui capaz de manejar esta nueva declaración y se produjo un  error en tiempo de ejecución que dejo congelado el sistema unos milisegundos. Una vez operativo de nuevo, pensaba ¿y este tío de donde ha salido?, como puede ser una excusa decir que es la primera vez que haces algo, cuando ese algo no es una improvisación.  Acaso la primera vez que se construye un viaducto se cae....

Imagino que el que hablo es un tipo que no tiene nada que ver con el desarrollo del proyecto y que no sabe nada de informática pero aun así, alucinaba con que naturalidad el locutor daba por buena la explicación.

El caso es que luego reflexionaba sobre el eterno debate sobre la homologación de la Ingeniería Informática a otras Ingenierías. Creo que todos los que si sabemos algo de este mundillo tenemos que rebelarnos contra estas declaraciones si queremos que, poco a poco,  la ingeniería informática sea tan respetada como el resto de ingenierías y para ello, nada mejor que empezar a aplicar con rigurosidad las fases de análisis y desarrollo en todos los proyectos en los cuales nos veamos implicados. O ¿te imaginas  a un grupo de ingenieros de automoción  obviando las fases de análisis y desarrollo de un nuevo modelo de coche?

Culex.

O365

Todos hemos sido informados de la migración del correo de la UNED a la plataforma de Microsoft O365.

Yo lo he estado probando un poco y a primera vista el funcionamiento es correcto.

A parte del correo podemos acceder a las herramientas Office online y tenemos espacio ilimitado en OneDrive.

Todo ello es bastante interesante y es que la verdad eso de tener tus cosas en cualquier dispositivo es algo que poco a poco se ha hecho un hueco en mi corazón :).

Para acceder, una vez logeados en la plataforma ALF,  solo  tenemos que usar el enlace disponible

Y ya estamos dentro.

Además los compis de la UNED se lo han currado y tenemos bastante documentación.

La putada es que de momento la funcionalidad es muy limitada desde dispositivos móviles, sobre todo android, aunque dicen que evolucionara durante el 2015.

Culex.

PED - Autómatas, Gramáticas Y lenguajes UNED

Revisando cosillas de me he dado cuenta que no había subido la PED de autómatas..... y ya sabes lo que dice el refrán 'mejor tarde que nunca'.

PED 2012

Culex

Firewall Hardware

1. Una célula humana contiene 75MB de información genética.
2. Un espermatozoide contiene la mitad; eso significa 37.5MB.
3. Un ml de semen contiene 100 millones de espermatozoides.
4. En promedio la eyaculación dura 5 segundos y contiene 2.24 ml de semen.
5. Esto significa que la producción de un hombre equivale 37.5MB x 100,000,000 x 2.25)/5 = 1,687,500,000,000,000 bytes/segundo = 1,6875 Terabytes/seg

Esto quiere decir que el óvulo femenino soporta este  ataque DoS a 1,5 terabytes por segundo, y solo permite que pase un solo paquete de información lo que la hace el mejor firewall hardware  del mundo.

La mala noticia es que el sistema tarda en rearmarse unos nueve meses :-)

Culex.

Enlace original = http://www.hackplayers.com/2014/10/el-mejor-firewall-del-mundo-humor.html

Cambiar Layout en MS Word

Todos sabemos que MS Word se pone a veces muy pesadito cuando quieres empezar a dar formato al documento con el que estás trabajando, imagino que es porque no se manejar el programa correctamente.

El caso es que supongo que más de uno, yo por lo menos, nos hemos vuelto locos intentado cambiar el layout de las páginas combinando vertical y apaisado. Pues bien, es tan fácil como marcar un salto de página y cambiar el layout en la siguiente.

Pudiendo hacer cabriolas como esta :)

Culex.

Apuntes - Tomasulo - Ingeniería de Computadores II UNED

Adjunto un par de platillas para ir anotando los resultados parciales del algoritmo de Tomasulo

Aquí -> Tomasulo

Culex.

Ingeniería computadores II - Tutorías

He encontrado unas tutorías grabadas en el portal  AVIP que pueden venir bien si, como yo,  quieres ir mirando un poco el temario :)

Buscamos por el nombre de la asignatura en el cuadro de búsqueda de las emisiones en diferido  y en la página 2 las tenemos.

Adjunto también el link de la primera tutoría.

Culex.

Porque debemos ser precavidos en internet y usar contraseñas robustas y/o 2FA

Ya sabemos que han robado un montón de fotos de 'celebrities' como dios las trajo al mundo y que este tipo de cosas 'como nos van a pasar a nosotros'  pues si, si nos pueden pasar y que te roben una fotos seguramente es el menor de nuestros problemas. 

Espero no tener que sufrir nunca la paranoia de ser victima de un robo de identidad como cuenta Chema Alonso en su Blog El lado del mal

http://www.bbc.co.uk/mundo/noticias/2014/09/140828_eeuu_filtracion_fotos_jennifer_lawrence_piratas_jg.shtml

http://cnnespanol.cnn.com/2014/09/01/publicacion-de-fotos-de-jennifer-lawrence-desnuda-son-una-violacion-flagrante-de-la-privacidad/

Aquí esta muy bien explicado, por nuestros amigos de  Hispasec,  como ha podido ser el  tema. 

Merece la pena leerlo para ir poco a poco concienciandonos de los peligros de internet.

A estas alturas, cuando solo una pequeña porción de la humanidad aun no ha visto a la señorita Lawrence posar en una incomoda intimidad, merece la pena analizar lo ocurrido sin las prisas que demandan los titulares en llamas o el siempre juego del hambre por las visitas.

Una mañana te despiertas en tu mansión de Hollywood y después de la ducha matinal para desperezarte, te vistes con tu albornoz más suave y delicado y te pones a leer el guión que te envió ayer tu representante.

Cuando vas por el segundo párrafo y la cosa se ponía interesante suena tu teléfono móvil, el mismo que vas a destrozar contra la pared en breves momentos.

"¡¿Cómo?!....¡¿Qué?!....Me...en...la..." El resto de la historia (completamente inventada) se deja a la imaginación. Cambiemos de personaje.

Días antes de que una docena de iPhones encontraran su fatal destino presas de la rabia y la impotencia, un usuario de 4chan presumía tener en su poder montones de fotos privadas (también vídeos) de famosas que iba a liberar, incluso pedía donaciones a su cuenta de PayPal por si algún alma caritativa le quería agradecer el "esfuerzo". Lo que parecía una fantasmada, fruto de la imaginación incontinente de un púber alienado por las hormonas, término por ser cierto. Cientos de fotos intimísimas de cientos de las mujeres más deseadas en este planeta (y dentro de miles de años quizás en otros) terminaron expuestas a los desorbitados ojos de millones de seres humanos.

Aquí se acaba lo que todo el mundo sabe. Comencemos con lo que nos interesa.

¿Fue un hackeo de iCloud?

Si y no. A pesar de que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque -

https://github.com/hackappcom/ibrute):

"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"

Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso es que obteniendo la agenda de contactos de una famosa el resto era ir tirando de la caña.

El ataque se hacía de manera combinada, con listas de correos y listas de contraseñas por lo que se trataba de un ataque de longitud cuadrática. "Por cada correo prueba estas 500 contraseñas...". Esto genera un ruido impresionante en los registros de eventos que ni a un IPS de segunda división se le pasa por alto, en el supuesto claro de que hubiera alguno... ¿Lo habría?

Viendo el código:

http://3.bp.blogspot.com/-v3D_smH7O2c/VAdJgrTDslI/AAAAAAAABeE/-gdwMIvSPxI/s1600/icloud_1.png

Observamos como el User-agent y otros valores son fijos. Y vemos algo que llama mucho la atención: El UDID del dispositivo origen de las peticiones es pseudoaleatorio, falso como el cartón piedra y cuando la combinación usuario/contraseña es correcta Apple no hace una comprobación adicional de ese UDID rechazando, a pesar de la validez de la contraseña, la petición. Tarjeta amarilla.

Lo segundo y que es lo que ha llegado a las rotativas, es la falta de límite de intentos de acceso a una cuenta determinada. Como dijimos un par de párrafos arriba los servidores de Apple se tragaban cualquier número de peticiones con resultado erróneo. ¿Os imagináis a Jennifer metiendo 500 contraseñas en 60 segundos en el set de rodaje mientras la esperan para la siguiente toma? Tarjeta roja.

Otro asunto es que la autenticación se hacía a través de la autenticación básica implementada por el protocolo HTTP. Concatenación de usuario y contraseña, símbolo ':' mediante y eso lo pasamos por un codificador en base64. Eso no es un hash, es simplemente una cadena codificada. La lista de passwords, supuestamente usada, no son hashes

MD5 o SHA1 o lo que sea. Son contraseñas en texto claro que van a ser codificadas y enviadas para su comprobación al servidor de "FindMyIphone". Luego si no nos equivocamos, en algún momento esas contraseñas podrían estar almacenadas con un simple base64.

Por cierto, varios usuarios de Reddit comprobaron que el script funcionaba hasta que Apple parcheó los servidores que tiene repartidos por el mundo.

La política de contraseñas de Apple

Apple mantiene una política de contraseñas estándar, con posibilidad de activar doble factor de autenticación y la extremadamente desaconsejable y completamente insegura segunda vía a través de preguntas personales.

Con las redes sociales colmadas de datos personales voluntariamente expuestos, hoy día tiene más sentido ir mintiendo en absolutamente todas las preguntas que decir la verdad.

Volvamos a las contraseñas, que son las protagonistas (con el permiso de la Lawrence) del ataque.

Las reglas son declarativas y siguen una lógica AND:

   Al menos tienen que tener una letra.

   Al menos una letra capital.

   Al menos un número.

   No deben contener caracteres secuencialmente idénticos.

   No debe ser la misma cadena que el nombre de usuario.

   Al menos debe contener 8 caracteres.

   No debe ser una contraseña común (conocida)

   No ha de haberse usado durante el año anterior.

Con todas estas reglas y una lista de gritones de contraseñas tenemos, no como construir una contraseña, sino como filtrar esa lista de contraseñas a través de expresiones regulares y quedarnos con una lista más ligerita y certera. Por ejemplo de nada nos serviría ir probando una secuencia de números o palabras que no contengan una mayúscula o passwords con menos de 8 caracteres.

¿Qué pinta tendría el password de una famosa?

Veamos, ¿Alguien se imagina a nuestra actriz favorita activando la doble autenticación? No, ¿verdad? Es posible que Noomi Rapace si, pero el resto seguro que no. ¿Os imagináis también a la famosa metiendo una contraseña robusta y a prueba de hackers?

Con las reglas arriba mencionadas una contraseña que deje pasar el sistema como válida tendría una pinta parecida a esta. Por cierto, cuando el sistema comienza a responder con mensajes del tipo "Contraseña no válida, debe tener al menos..." vamos relajando la complejidad porque el humano termina cansándose de la dichosa maquinita y cansancio y relax son el efecto y la consecuencia. Una tarea repetitiva termina bajando la guardia del que la realiza.

Una letra capital: la primera letra

Al menos un número: posiblemente dos (días, años, edad...) y al final, es típico.

Al menos 8 caracteres: de acuerdo, dos cifras al final nos deja 6 letras al comienzo.

No deben repetirse caracteres: perfecto, estrechamos el universo.

No debe ser igual al nombre de usuario: menos intentos todavía.

Y lo más importante y que está en la cabeza de la gran mayoría: tienes que memorizarlo.

Obviemos el resto de reglas. ¿Convincente?:

Jlawrence90

Evidentemente no es la contraseña (eso esperamos) simplemente la base sobre la que ir construyendo contraseñas inspiradas en la reglas que en principio deberían servir para robustecerlas y lo que conocemos de la persona objetivo.

Por cierto. ¿Alguien sabe como se llama el perro de Jennifer Lawrence?

Un saludo.

Apuntes - Ingeniería Computadores II UNED

Aportación de material (apuntes, ejercicios, exámenes, practicas, guías de estudio I y II)  para una de las asignaturas que voy a cursar este año, Ingeniería de Computadores II.

Empezamos a destripar la maquina :)

Aqui --> ICII

Culex.

Suite protocolos TCP-IP

Estaba el otro día trasteando un poco con el firewall de W7 y me llamo la atención las opciones de configuración a nivel de protocolos.

El caso que me puse a 'recordar' cosillas y al final me salio un documento que puede venir bien para consulta.

Aquí --> Suite TCP-IP

Como casi siempre, la fuente de información es http://www.wikipedia.org/

Culex.

Hardering your system :-)

Ha caído en mis manos el libro 'Máxima Seguridad en Windows'  de informática64 y al principio del mismo hay un comentario muy simpático sobre como asegurar tu sistema je je je.

Solo hay que añadir estas claves en el registro. Sencillo ¿no?

HKLM\Software\Microsoft\Windows NT\CurrentVersion\DisableHackers=1 (REG_DWORD)
HKLM\Wetware\Users\SocialEngineering\Enabled=no (REG_SZ)
HKCU\Wetware\Users\CurrentUser\PickGoodPassword=1 (REG_BINARY)
HKLM\Hardware\CurrentSystem\FullyPatched=yes (REG_SZ)
HKLM\Software\AllowBufferOverflows=no (REG_SZ)

Aprovecho para comentar que el libro me ha gustado muchísimo. No es que yo sea ningún experto en seguridad (ya me gustaría)  pero me parece que su autor 'Sergio de los Santos' sabe muy bien lo que tiene entre manos y como transmitirlo.

Vamos que este libro se ha hecho un hueco en mi biblioteca.

Culex.

P.D. Si quieres ampliar un poco mas prueba aquí -->  Mitos sobre seguridad

Apuntes - Calculo coste temporal en algoritmos DyV - PEDA UNED

El tema este de las ecuaciones de recurrencia no está muy claro en el libro por lo que he hecho un pequeño resumen para intentar aportar un poco de luz al tema.

Aqui --> Coste Temporal DyV

Culex.

Apuntes - Ingeniería del Software UNED

Asignatura sencilla de aprobar. Se puede preparar en poco tiempo y aprobar incluso sin hacer la PED (no es obligatoria).

En realidad no cuenta nada o casi nada que no sepas que que así, lo único es que aquí ves lo importante que es realizar las fases de análisis y diseño en cualquier sistema software.

Desde mi punto de vista es fundamental grabarse a fuego todo las etapas del ciclo de vida del software y empezar a aplicarlas desde ya en cualquier trabajo que realizamos ya sea grande o pequeño.

Mis apuntes (as usual) aquí --> Apuntes

Culex.

Apuntes - Fundamentos Inteligencia Artificial UNED

A ver como lo expreso sin cagarla... esta asignatura se te puede atragantar como si quisieras engullir  un cacho de neumático. Te tienes que olvidar de todo lo que sabes o crees que sabes y afrontarla como si fueras un niño con una mente vacía.

Es una asignatura que debes entender porque si intentas aprender las cosas de memoria la has cagado. A mi me ha costado mucho pero al final se ha encendido la luz y todo empezó a encajar.

Es muy teórica, como lo son normalmente las asignaturas introductorias, con muchos 'palabros' pero a la vez muy interesante.

El ED tiene un nivel alto y ayudan bastante.

Un punto clave es hacer la PED, no son difíciles y es fácil sacar buena nota.

Bueno no me enrollo más y adjunto mis apuntes. Aquí --> Apuntes

Culex.

Examen 1 semana Junio 2014 - Ingeniería del Software UNED

Adjunto examen 1º semana Ingeniería del Software.

Aquí

Culex.

Examen 1 semana Junio 2014 - Fundamentos Inteligencia Artificial UNED

Bueno primera semana superada...

El examen me ha parecido asequible.

Lo dejo por aquí para que le echéis un vistazo

Examen_1semanaJunio2014

Culex.

PED - Fundamentos Inteligencia Artificial UNED

Adjunto la PED II de la asignatura Inteligencia Artificial del grado en ingeniería informática de la UNED.

PED IA

Culex.

PED - Fundamentos Inteligencia Artificial UNED

Adjunto la PED I de la asignatura Inteligencia Artificial del grado en ingeniería informática de la UNED.

PED IA

Culex.

Apuntes - videos - Fundamentos Inteligencia Artificial UNED

Adjunto en formato mpeg4 los videos que el ED pone a disposición en el foro para visualizar en streaming de la asignatura Inteligencia Artificial  del grado en Ingeniería Informática de la UNED.

Videos Logica IA

Culex.

Nslookup

Hoy me acaban de presentar el comando nslookup y me parece interesante comentarlo por aquí. Básicamente nos sirve para saber si un servidor DNS está funcionando bien. Nos permite obtener la IP conociendo el nombre o el nombre si conocemos la IP.

Adjunto un link donde se puede investigar un poco más sobre el funcionamiento del mismo.

nslookup

Culex.

Apuntes - Comparativa Esquemas Algorítmicos - PEDA UNED

Viene bien para hacerse una idea de como se puede emplear diferentes técnicas para implementar una solución y cuales son los puntos fuertes y los puntos débiles de cada una.

Comparativa

Culex.

Apuntes - PEDA UNED

Bonita e interesante asignatura que desde mi punto de vista no se explota suficientemente. Creo que seria interesante programar más algoritmos en vez de ver solo el pseudocódigo.

Adjunto el link con los ejercicios del libro (mucho cuidado con ellos porque algunos no son correctos), apuntes y el código de las clases que he presentado para las practicas de este año: mensajería urgente y devolucion de cambio.

Apuntes PEDA

Culex.

Tutorias Grabadas

Bueno esto empieza a ser un clásico :)

Aquí tenemos la url donde podemos acceder a todas las tutorias grabadas en al UNED de Palma de Mallorca.

http://www.uned-illesbalears.net/recursos-para-estudiantes/grabaciones/

Culex.

Cursos Online

Un amigo me ha enviado este link de una universidad Americana.

http://ocw.mit.edu/courses/find-by-topic/#cat=engineering&subcat=computerscience

He buscado un poco y hay bastante material (exámenes, notas, videos).

Además, así practicamos un poco de Ingles :)

Culex.