domingo, 9 de enero de 2011

Conclusión

Generalidades:
    • Errores humanos o errores de diseño / implantación
    • Provocados por tener personas sin la titulación acorde: Ingenieros en Informática.
      • “error informático” o “fallo informático” = excusa para eludir la cuestión.
Tomar consciencia del peligro de las estafas dada la democratización de la tecnologías de la información.
  • p.ej. las bombas lógicas
    • Errores de programación para que el sistema falle en una fecha.
    • Se integran en el software personalizado para empresas 
    • Motivo: cobrar por reparación / posteriores mantenimientos. 
Soluciones a los problemas:
  • Empresas grandes:  programas y aplicaciones muy específicas.
  • Autónomos o PYMEs: Programas Código Abierto y libres.
  • Y sobre todo, la regulación profesional del colectivo.

RECURSO 4

Responsabilidad civil para los fallos informáticos

En España existen unos 90.000 licenciados en la especialidad. "La ingeniería en informática es la segunda ingeniería en número de profesionales, superada únicamente por la industrial."

A pesar de ello se sigue sin exigir que ningún tipo de proyecto informático, y de software en concreto, sea planificado, dirigido y ejecutado por uno de estos ingenieros. Los ingenieros en informática no tienen reconocida ningún tipo de atribución profesional y la legislación en materia de seguridad informática es más bien escasa, cuando no inexistente.

El concepto de responsabilidad civil, tan arraigado en otras actividades, no existe en la informática, a pesar de contar con los profesionales cualificados.
La Asociación de Ingenieros en Informática alerta "de la indefensión que la sociedad sufre ante el mal ejercicio de la práctica profesional en informática".
Además solicita que los fallos en ingeniería informática que se produzcan en las obras públicas estén sujetos a la responsabilidad civil.

RECURSO 3

Descubridores de fallos informáticos: "Cazabugs"

“Como en una película del Oeste, Google ha prometido recompensas de 370 euros por cazar no a forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar importantes sumas a quien encuentre estos agujeros, llamados "bugs" en creado un mercado en el que participan los mejores programadores del planeta”.

Los cazabugs suelen ser hombres jóvenes, adolescentes o veinteañeros, que lo hacen por "hobby"; la mayoría viven en Estados Alemania e India (4%) y Francia, Brasil y España (3%).
La técnica consiste, por un lado, en inferir el código del programa mediante inversa”, para así poder buscar errores en el mismo y, por otro, en aplicar "fuzzing".

Según Rubén Santamarta (cazabugs más conocido de España) una de la ingeniería inversa es:

"Imaginemos un barman mezclando diversas cantidades de alcohol en una coctelera. Una vez servido, es difícil saber a proporciones." La ingeniería inversa es el proceso que se sigue para averiguarlo, de tal manera que nos permita reproducir la misma bebida sin conocer la receta original.
Siendo la del fuzzing:

"Es fuerza bruta, probar multitud de opciones hasta que alguna hace cascar al programa". 
Una vez descubierto el fallo:
  • Se vende a empresas de seguridad que usarán esta información para mejorar sus programas de detección de intrusos, ya que cuantas más vulnerabilidades conozcan, más protegidos estarán sus clientes.
  • Algunos agujeros no se venden sino que se hacen públicos en conferencias importantes de seguridad informática, como la Black Hat, que en abril se celebrará en Barcelona. Es la vertiente más lúdica de los "cazabugs": agujeros por diversión y hacerlos públicos gratuitamente. Santamarta desveló así que un sistema de lotería español podía falsificarse.
  • Los "cazabugs" con poca ética tienen otro importante cliente en el cibercrimen (mercado negro). Lo más buscado en el mercado negro es un tipo especial de "bugs", los "0days", que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho público, sólo lo conoce el investigador o un pequeño círculo. Los "0days" pueden usarse para ataques sin defensa posible 'a priori', como el espionaje a empresas. Su valor es muy alto y hay un gran hermetismo en cuanto a los precios que llegan a pagarse por ellos. Por un "0day" muy famoso, se ha llegado a pagar 5.000 dólares en el mercado negro. Pero otros superan con creces esta cantidad, sobre todo cuando afectan a programas muy populares, como Internet Explorer o Firefox.
No es tarea del "cazabugs" sino de la empresa de "software" encontrar la solución al problema, aunque algunos ofrecen parches provisionales o su consejo sobre cuál sería la mejor forma de resolverlo.
La falta de alicientes económicos y el riesgo de ser amonestados ha provocado que cada vez sean menos los "cazabugs" que informan directamente a la empresa de "software" de los fallos que encuentran.  
Las empresas les piden que guarden silencio mientras ellas crean un parche que puede
tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como
el agujero sigue abierto.

sábado, 8 de enero de 2011

RECURSO 2

8 errores de la Informática en la Historia


1980: EEUU creyó ser atacada

El Comando de Defensa Aéreo Norteamericano (NORAD) obtuvo indicadores de un ataque total soviético en sus pantallas con mas de 1000 misiles. Además, no usaron el teléfono rojo para aclarar la situación con la URSS. No fue hasta que los sistemas de radar confirmaron que no hubo tal lanzamiento, cuando se dieron cuenta de que era un error.
Causa:
Fallo físico en los circuitos y, en el posterior el programa de reportes en la prueba del sistema causó los errores en las pantallas.
Resultado:
  • Atmósfera de pánico total à EEUU preparó represalias de emergencia.
  • La Oficina Gubernamental de Responsabilidad (GAO) creó una instalación para probar las computadoras fuera de la base central de NORAD, y evitar errores similares.


1982: Explosión en un gaseoducto soviético
 

En el final de la guerra fría, Reagan ordenó a sus agentes sabotear toda la tecnología rusa, colocando errores que permitían manipular a distancia todo tipo de maquinaria y tecnología.
Causa:
Agentes de la CIA colocaron un “bug” en un SI canadiense adquirido por la URSS para controlar el gaseoducto Transiberiano. Pero los americanos no proveyeron otro bug dentro del intencionadamente infiltrado.
Resultados:
  • Provocó un final diferente de lo esperado ==> La mayor explosión registrada en la Tierra por causas no nucleares, el incendio pudo verse desde el espacio
  • Perjudicó fuertemente a la economía rusa.

1986: Acelerador médico Therac-25

El Therac-25 era un acelerador lineal empleado en los hospitales para tratar tumores. Emitía radiación de alta energía sobre células cancerosas sin dañar el tejido circundante.
Causa
  • Por un fallo de programación, si durante este proceso efectuaban una corrección en menos de ocho segundos, la máquina podía emitir 100 veces más energía de la requerida.
  • Los operarios, con tiempo y práctica, conseguían gran velocidad tecleando la secuencia de comandos para iniciar un tratamiento.
Resultados
  • Cinco pacientes fallecieron y varias decenas sufrieron los efectos de verse expuestos a una elevada radiación a posiblemente el fallo informático más serio en términos de vidas humanas. 
Más información


1988: El ‘Gusano de Morris’ 

El primer malware auto replicable (también llamado ‘gusano’) de Internet nació cuando un estudiante estadounidense, Robert T. Morris, liberó un programa creado por él mismo.
La intención original, según él, era para medir el tamaño de Internet.
Causa:
Morris descubrió dos errores en el sistema operativo UNIX, que le permitieron tener acceso no autorizado a miles de ordenadores. La idea fue que las computadoras se ralentizaran, copiando el programa una vez en cada máquina, y luego se escondiera en la red.
Resultados:
  • Infección del 10% de los ordenadores de Internet sólo el primer día.
  • Erradicarlo costó casi $1 millón, sumado a las pérdidas por haberse detenido casi toda la red, siendo estimadas las pérdidas totales en $ 96 millones.
  • Este primer ataque llevó a la creación del CERT, un equipo de respuesta a emergencias en computadores.
Más información:


1990: Caída de la red de AT&T 

El problema produjo con la llamadas de larga distancia del gigante telefónico AT&T
Causas
Una simple línea de código errónea en una actualización de software destinado a acelerar las llamadas provocó una reacción que echó abajo la red.
Resultados
  • Un conmutador de New York falló, y al recuperarse y enviar el mensaje a sus vecinos, colapsó a los 114 conmutadores más cercanos y sucesivamente se ‘caían’ y ‘levantaban’ cada seis segundos.
  • Coste: 60.000 personas sin servicio durante nueve horas, 75 millones de llamadas telefónicas afectadas,  200.000 reservas de vuelo perdidas.

1996: Desintegración del cohete Ariane 5 vuelo 501 

El cohete de la Agencia Europea, Ariane 5 estaba listo para dirigirse hacia la órbita terrestre
Causas 
  • Los científicos que desarrollaron el cohete reutilizaron parte del código de su predecesor (Ariane 4),
  • Los computadores que controlaban sus motores, más veloces, reciben una avalancha de datos que inician una cadena de errores de conversión en una variable.
Resultados
  • La computadora falló y se paró.
  • El Ariane 5 se desintegró 37 segundos después del lanzamiento.
  • Sin daños personales, pero sí alrededor de $370 millones y 10 años de trabajo de la agencia espacial europea.
Video


2000: Efecto 2000

Las compañías gastaron millones en programadores para arreglar un problema en las aplicaciones antiguas.
Causa:
  • Para ahorrar espacio de almacenamiento, sistemas antiguos guardaban los años de las fechas como un número de dos dígitos ("99" para "1999").
  • Al llegar el año 2000, las aplicaciones iban a interpretar "00" como 1900.
Resultado: 
  • Propagó rumores sobre un colapso económico a nivel mundial. 
    • Tras invertir en su prevención, con gran impacto en coste y tiempo en todas las industrias, no se produjeron fallos informáticos significativos.
  • Coste: 500.000 millones de dólares.
Mas información:
http://www.rtve.es/mediateca/videos/20110102/acuerdas---efecto-2000/978703.shtml


2038: Problema del Año 2038
 
Problema de representación en las máquinas.
Causa:
La sincronización de los sistemas de 32 bits (gran mayoría) y los programas escritos en Lenguaje C, es realizada con el número de segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00.
Resultados:
- Se alcanzará al tope de fecha posible para almacenar en sistema y, un segundo después del “19 de enero de 2038 a las 03:14:07″, se desbordaría la memoria volviendo al 1 de enero de 1970 a las 00:00:00.
- Podría causar que una parte del software falle en ese año.
Solución:
  1. No hay una forma sencilla de arreglar este problema para las combinaciones existentes de CPU/SO. 
  2. Usar un entero de 64 bits retrasaría la fecha del problema unos 290 mil millones de años (ocurriría el 4 de diciembre del año 292.2771026.596 a las 15:30:08).
  3. Millones de sistemas de 32 bits son utilizados hoy, muchos en sistemas embebidos (móvil, cámara digital, ...), y no es posible asegurar que todos ellos habrán sido reemplazados antes del 2038.

Lectura Complementaria:
Mitos del software:

RECURSO 1

Errores de programación comunes

  • División por cero
  • Ciclo infinito
  • Problemas Aritméticos
    • desbordamientos (overflow) o subdesbordamientos (underflow).
  • Exceder el tamaño del array
  • Utilizar una variable no inicializada
  • Acceder a memoria no permitida (access violation)
  • Pérdida de memoria
  • Desbordamiento o subdesbordamiento de la pila
  • Buffer overflow
  • Deadlock
  • Indizado inadecuado de tablas en bases de datos.
Más información:

domingo, 2 de enero de 2011

Introducción a la Informática a través de sus Catástrofes
Los alumnos que en el año 2011 estudian Bachillerato o acceden a la Universidad no han tenido ninguna experiencia directa con la génesis del Software o programas informáticos.
Si hay una fenómeno que claramente muestra la responsabilidad de este sector en la vida cotidiana, este es el error.


La dependencia existente de la información digitalizada y de los sistemas informáticos es tan alta, que un desastre podría ocasionar elevadas pérdidas e incluso el cese de la actividad económica.


Clásico pantallazo de la muerte: Win 95