Copy Link
Add to Bookmark
Report
Black Lodge - Revista Digital No. 3
*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*
P010101b 01 1010 d0101010 01 01
01 100 10 010101 10 0 10 10
10 00 01 10 10 10 01 01
01010d 10 01 01 01 10.01
10101P 01 10101010 10 0101.
01 00 10 01010101 01 10 10
10 010 01 01 10 10 10 0 01 01
d101010d 10101010 01 01 b1010101 10 10
xx .xxxxxx. xxxxxxx. .xxxxxx. .xxxxxx.
xx xxxxxxxx xx .xx xxxxxxxx xxxxxxxx
xx xx xx xx xx xx xx
xx xx xx xx xx xx :xxx xxxx:
xx xx xx xx xx xx :xxx xxxx:
xx xx xx xx xx xx xx xx
xx xx xxxxxxxx xx .xx xxxxxxxx xxxxxxxx
xxxxxxxx .xxxxxx. Xxxxxxx. .xxxxxx. .xxxxxx.
M A G A Z I N E
*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*
Revista Digital No. 3
Sitio Oficial de Descarga:
http://blacklodge.8k.com
Distribuidores y Sitios de Promocion:
http://www.vanhackez.com
http://www.dreamers.com/fondoperdido
MANIFIESTO BLACK LODGE:
No soy hacker, cracker ni phreaker, tan solo soy un aficionado al
mundo "Under", es decir, a ese mundo "mas alla" de lo documentado
y explorado.
Lo que me mueve es descubrir aspectos nuevos en la informatica y
compartir esa informacion util, es por ello que esta E-Zine nacio,
y los que esten interesados en integrarse, son bienvenidos.
Esta revista digital tiene como fin ayudar a las personas que
tambien tienen esta necesidad y curiosidad de conocer mas de lo
que cualquiera sabe en el mundo de las computadoras, para asi,
lograr dominarlas al maximo por puro gusto.
Creo que la informacion en esta y en futuras publicaciones abre
los ojos de la existencia de este mundo del que hablamos, que
existen lugares muy interesantes por explorar en este planeta
binario, pero que repercuten en lo humano. La informacion es un
arma de doble filo, cada quien es responsable de sus actos.
Conocer fallas y formas para cambiar el sentido y comportamiento
de los programas son retos cotidianos para quienes nos encanta
descubrir e innovar. Es obvio que uno tiene que comer, es por
eso que ayudamos tambien con tutoriales a los que necesitan
hacer usos normales de una computadora.
No fomento la destruccion, solo quiero no morir con la duda de
como se ocultan los virus o a veces hay cosas sencillas que pueden
causar grandes da~os, incluso conocer y experimentar en temas que
tienen algo de interesante, como las matematicas, musica, quimica,
fisica, o materias humanisticas, etc., pero sobretodo conocer los
misterios de la programacion de Windows, el mundo Linux y sus
posibilidades, la criptografia, y mas que nada, tener la capacidad
de sacar provecho de instrumentos sencillos para crear cosas grandes,
mi lema es "DIVIDE Y VENCERAS" y mi reto es sacarle jugo a todas
las cosas.
Este es mi manifiesto, si estas de acuerdo, eres bienvenido a mi
mundo,tanto como lector, como colaborador...
TIENES LAS ARMAS, UTILIZALAS !.
CONTENIDO:
+------------------------------------------------------------------+
| |
| ---EDITORIAL--- |
| ---ORGANIZACION DE COMPUTADORAS--- |
| ---TRUCO CON EL REGEDIT--- |
| ---CREAR UN CD CON AUTORUN--- |
| ---ARREGLAR BATERIAS DE LOS CELULARES--- Fuente: Ezine HVEN |
| ---AUDITORIA INFORMATICA--- |
| ---IP BREVE--- Fuente: IP para "Torpes" |
| |
+------------------------------------------------------------------+
---EDITORIAL---
VVV
+--------------+ -/ \
/ / | /
/ - - - - - / - _/
/ - - - / _| _/
/ - - - - / | _/
/ - - - - / \ _/
/ - - - / //
/ - - - - - / //
/ / //
+---------------+ V
Bien, creo que como artista ASCII no tengo mucho futuro, asi que sigamos
con esta tercera edicion de Black Lodge. Despues de conocer mi manifiesto
ya sabes en lo que te metes. Comenzamos con un texto que tenia por ahi en
mis apuntes referente a la Organizacion de computadoras, realmente solo
sirve como cultura general, pero es lo que ense~an en las universidades.
Pareciera que los alumnos son unas vacas que necesitan de paja llena de
estiercol para satisfacer su hambre de conocimientos, eso a la larga los
deja tarados y sin metas por alcanzar.
El segundo articulo es un truco de esos que te encuentras en las paginas
de "Hackers" que no tiene ningun chiste, pero la verdad es de los mas
utilizados, quizas no lo conozcas, es por eso que esta aqui. Muchos se
preguntan como un CD se abre automaticamente en el instalador o en el
menu principal del programa en cuanto lo metes: aqui veremos como hacerlo.
Admito que no uso celular, me pasaron un modelo viejo que tengo arrumbado
pero la decidia ha llegado demasiado lejos conmigo en ese aspecto para
meterle mano, pero aqui te paso un articulo de la Ezine HVEN para arreglar
la bateria de tu celular.
Como decia, si juntara los apuntes que dan a nivel superior llenaria varias
Ezines, pero esa no es la intension, aqui les presento un resumen de la
materia "Auditoria Informatica", creo que a alguien le podria servir de
mucho, tanto estudiantes como profesionales que quieran complementar su
estudio para mejorar su sueldo. Y para los que quieran saber que es la IP,
aqui va otro articulo que esta muy sencillo.
---ORGANIZACION DE COMPUTADORAS---
((((((((((((((((((((
1101 0010-> ((( ((( -> D2h
((( Login: (((
((( (((
((( (((
((( (((
((( (((
((((((((((((((((((((
/((((((((((((((((((((((((((/
(( .............. .... ((
(( .............. ... ((
(( ((
/((((((((((((((((((((((((((((/
Objetivo: En este tema se conocera como se operan los elementos de una
computadora internamente de manera que se puedan configurar en
el sistema de computo para programarlo correctamente.
A continuacion se listan los aspectos mas importantes de la estructura de
una computadora para poder trabajar con ella y comprender sus partes.
Bit.- Es la representacion de la informacion que utilizan las computadoras,
El espacio minimo de almacenamiento de memoria.
Especificamente, es la unidad minima que puede procesar la computadora,
ya que es un 1 o un 0, representados por una corriente alta de 3 voltios
y una baja de 0.5 voltios respectivamente (no podemos representar un
bit con cero voltios porque no existiria, 0k?), con lo que se concluye
que debe haber corriente para que se interprete la operacion.
Cuando hablamos de los bits, hacemos referencia al sistema binario.
Byte.- Se le llama asi al conjunto de bits con los que se trabajan,
especificamente 9 de ellos, de los cuales 8 se usan para representar
un valor y el noveno para representar su estado. Si te das cuenta,
con un bit no podemos representar mas que dos estados (dos numeros,
pues), que son el cero y el uno. Sin embargo, con 8 bits en conjunto,
utlizando el sistema binario, podemos representar cualquier dato.
Palabra.- Es el conjunto de 2 bytes o su equivalente en bits. Asi, una
palabra doble consta de 4 bytes (64 bits) y un parrafo de 16 bytes
(128 bits).
Memoria Dinamica.- Unidad de almacenamiento que guarda los datos e
instrucciones de forma temporal o en constante movimiento,
como la memoria RAM que guarda las se~ales electricas en
circuitos electronicos mientras esta prendida la
computadora, ya que sin energia, pierde la informacion.
Se guarda en ella tan solo las direcciones en donde
encuentra la informacion.
Memoria Estatica.- Unidad de almacenamiento que guarda las instrucciones o
datos en dispositivos de almacenamiento permanente como
son los discos y cintas magneticas por medio de el proceso
de electromagnetismo. Asimismo el disco compacto, el cual
almacena las instrucciones y datos por el proceso de rayos
luz en superficies plasticas.
Digital.- Se refiere a que se representa la informacion por variables que
toman un numero limitado de valores discretos.
Binario.- Que tiene dos valores posibles, en el caso de las computadoras
digitales, falso y verdadero. Puesto que la computadora solo
entiende el 1 y el 0, se utiliza la numeracion de base 2.
El valor de un numero binario depende de las posiciones que guardan
de izquierda a derecha como sigue:
Posicion 7 6 5 4 3 2 1 0
Valor del bit 1 1 1 1 1 1 1 1
Valor de la posicion 64 32 16 8 4 2 1
Hexadecimal.- Es un metodo abreviado que adoptaron los dise~adores de
computadoras para representar informacion binaria de una forma
mas comoda, ya que divide el byte (8 bits) en mitad (4 bits)
por medio de un solo numero desde el 0 hasta el 15
(ya que el 10, 11, 12, 13, 14 y 15 llevan dos digitos, se opto
por representarlos por las primeras letras del abacedario,
siendo A, B, C, D, E y F respectivamente los que representan
dichos numeros.
Codigo ASCII.- (American Standard Code for Information Interchange).
Se utiliza para uniformar la representacion de caracteres.
Un codigo uniforme facilita la transferencia de informacion
entre los diferentes dispositivos de la computadora.
Representa 256 caracteres, incluyendo simbolos para alfabetos
extranjeros. Por ejemplo, el 41 hex representa la letra A.
Flip-Flops.- Celdas binarias capaces de almacenar un bit de informacion.
Registro.- Grupo de flip-flops. Los flip-flops retienen la informacion binaria
y las compuertas controlan cuando y como se transfiere la nueva
informacion al registro.
Memoria Cache.- Es una memoria dentro del procesador, la cual, al estar cercas
de el, tiene un acceso de informacion mucho mas rapido. Este
tipo de memoria es muy cara, por eso no se agrega mas a los
equipos de computo.
Dispositivos de Entrada y Salida (I / O).- Son todas aquellas partes de
hardware que se le conectan a la
computadora, que van desde un
disco duro hasta una camara
digital.
BIOS.- Basic Input-Output System, o Sistema basico de entradas y salidas.
Es un conjunto de programas escritos en microcodigo sobre un chip de
solo lectura (ROM), utilizado para las entradas y salidas en el
sistema de computo. No se puede modificar su contenido debido a que
es firmware (hardware que tiene partes logicas tambien), aunque hay
formas de alterar datos por medio de actualizaciones que interactuan
con el disco duro.
Jerarquia de Memoria.
Cache ----> RAM -----> Discos, Cintas, etc.
Veamos graficamente la representacion de la memoria. Esto nos ayudara a ver
mas claramente como trabaja y es administrada por el sistema operativo, etc.
Primeramente, vemos la prioridad con que se carga en memoria, la informacion.
Direcciones(MAR) Datos (MBR)
Contador (C.M.) ---->>>>>>>1 BIOS (Archiva los dispositivos de E/S )
2 DOS (Sistema Operativo)
3 INT (Drivers o Controladores)
4 CODIGO
5 DATOS
6 PILA (Resultados)
7 EXTRA
8 Biblioteca de Programas
Aqui observamos las partes escenciales del microprocesador:
Unidad de Control Unidad Aritmetica Logica
----------------- ------------------------
+---------------------------+ +------+
| PC o Contador de Programa | | Suma |
+---------------------------+ +------+
+--------------+ +-----------------------+
| Decodificador| | Registro de Resultados|
+--------------+ +-----------------------+
+-------+--------------+ +--------+
| Reloj | Secuenciador | |Temporal|
+-------+--------------+ +--------+
+-------------------------+
|Registro de Instrucciones| Acumulador
+-------------------------+ +-+-+-+-+-+-+-+-+-+-+-+-+-+
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-----------+
|Registro de|
| Estado de |
| Operacion |
+-----------+
Transferencia de Datos en los Registros
Dato.- La Unidad mas peque~a de informacion.
Informacion.- Datos relacionados o agrupados logicamente para proporcionar
resultados o soluciones.
Tipos de Datos.- Numeros, Letras, Signos, Cadenas, Estructuras, archivos,
conjuntos, etc.
Cual es el tama~o de un dato y quien lo define?
El tama~o del dato es variable, depende de su uso y necesidad de empleo,
segun su tipo.
Usuario, Programa (Traductor, Sistema Operativo), memoria, registros,
procesador; dispositivos fisicos en general de una computadora.
Relacion de Transferencia de datos entre elementos de un sistema de computo.
Cable.- Conjunto de alambres.
Compuerta Logica.- Es el elemento mas peque~o de un circuito.
Circuito Integrado
Los circuitos digitales se construyen con circuitos integrados.
Un circuito integrado (I.C. o C.I.), es un peque~o cristal de silicio
semi-conductor llamado microcircuito, que contiene los componentes
electronicos para las compuertas logicas digitales que se conectan dentro
del microcircuito para formar los circuitos requeridos.
El microcircuito se monta en un encapsulado de ceramica o de plastico, y las
conexiones se soldan con finos alambres de oro a terminales externas para
formar el circuito integrado. Cada C.I. tiene una designacion numerica
impresa en la superficie del paquete para su identificacion.
Escala de Integracion de Circuitos.
Los circuitos Integrados se clasifican por su tama~o y numero de compuertas
integradas en la siguiente escala de integracion:
1.- ESCALA PEQUE~A DE INTEGRACION. (SSI- Smal Scale Integration)
Esta escala contiene distintas compuertas independientes en un solo
encapsulado. Las entradas y salidas de las compuertas se conectan
directamente a las terminales del encapsulado. El numero de compuertas
generalmente es menor que 10 y esta limitado por el numero de terminales
disponibles en el circuito integrado.
2.- ESCALA DE INTEGRACION MEDIA. (MSI- Medium Scale Integration)
Los dispositivos de integracion en esta escala tienen de 10 a 200 compuertas
logicas en un solo encapsulado. Ejecutan funciones digitales elementales y
especificas como ocurre en los circuitos decodificadores, sumadores y
registros.
3.- ESCALA DE INTEGRACION GRANDE (LSI- Large Scale Integration)
Los dispositivos de integracion en esta escala contienen entre 200 y algunas
miles de compuertas logicas en un solo encapsulado. Estos incluyen sistemas
digitales como son: Los procesadores, circuitos de memorias y modulos
programables.
4.- ESCALA DE INTEGRACION MUY GRANDE (VLSI-Very Large Scale Int.)
Los dispositivos de esta escala contienen miles de compuertas en un solo
encapsulado. Los ejemplos de ellos son las matrices de memoria grandes y los
circuitos integrados para microcomputadores complejos. Debido a su peque~o
tama~o y su bajo costo, los dispositivos VLSI han revolucionado la tecnologia
del dise~o para sistemas de computo.
5.-ESCALA DE INTEGRACION ULTRA LARGA (ULSI- Ultra Large Scale Int.)
Contiene millones de compuertas logicas utilizadas para sistemas de
multiprocesamiento y multiprogramacion.
FAMILIA LOGICA DIGITAL
1.- Logica de Transistor a Transistor (TTL).
Esta familia es la mas popular y durante muchos a~os se ha considerado
como una norma. Fue una evolucion basada en una tecnologia previa
desarrollada con diodos y transistores para la compuerta logica NAND
(un AND negado). Dicha tecnologia se conocia como DTL (Diode Transistor
Logic). Posteriormente los diodos fueron reemplazados por transistores
para mejorar el funcionamiento del circuito.
2.- Logica de Emisor Acoplado. (ECL).
Esta familia proporciona los circuitos digitales de mas alta velocidad
en forma integrada. La tecnologia ECL se aplica en sistemas como
supercomputadoras y procesadores de se~ales donde es escencial la alta
velocidad.
3.- Logica de Transistor Metal-Oxido Semiconductor (MOS).
Esta tecnologia es unipolar ya que depende del flujo de un solo tipo de
portador como electrones (canal n) o huecos (canal p).
4.- Familia logica MOS Complementaria. (CMOS).
Tiene transistores de canales PMOS y canales NMOS conectados de modo
complementario en todos los circuitos. Las ventajas mas importantes son
la alta densidad de integracion de los circuitos, la tecnica de
procesamiento mas simple en su fabricacion y un funcionamiento mas
economico debido al consumo mas bajo de energia.
---TRUCO CON EL REGEDIT---
Vamos a ver un truquillo con el regedit, el cual nos sirven para
configurar Windows de una manera mas personalizada.
En el numero pasado vimos un concepto de Regedit, el cual esconde muchos
aspectos interesantes de Windows. Este programa lo puedes abrir con la
opcion ejecutar de el menu inicio, solo escribe "regedit" (sin comillas).
Busca la rama que se te indica y realiza los cambios que se te indican.
QUITAR LA FLECHA DE ACCESOS DIRECTOS
Se quita la clave IsShortcut de HKEY_LOCAL_ROOT\LnkFile
y HKEY_LOCAL_ROOT\PifFile o las puedes renombrar.
---CREAR UN CD CON AUTORUN---
.000000000000.
0000000000000000
000000000000000000
00000000000000000000
000000000 000000000
000000000 000000000
00000000000000000000
000000000000000000
0000000000000000
.000000000000.
Crear un archivo llamado Autorun.inf que habra que insertar
en el directorio raiz del CD.
En este archivo se creara una seccion, al estilo de los archivos
INIs, llamada [autorun], bajo esta seccion se incluira el icono a
mostrar y el ejecutable a usar; para el ejecutable se usa OPEN=
y para el icono se usa ICON=, aqui tienes un ejemplo:
[autorun]
OPEN=setup.exe
ICON=iconoCD.ICO
Si en lugar de un ejecutable quieres usar una pagina HTML tendras
que usar el Explorador de Windows para que lo abra, ya que no sirve
insertar el nombre de la pagina sin mas, por ejemplo:
[autorun]
OPEN=C:\WINDOWS\EXPLORER.EXE autorun.htm
ICON=iconCD.ICO
Por supuesto tanto el icono como el ejecutable o pagina a usar pueden
estar en un directorio del CD, si lo haces asi, tendras que incluir el
path en el fichero autorun.inf.
---ARREGLAR BATERIAS DE LOS CELULARES---
Fuente: E-Zine Hven
Nota de Black Lodge:
"Si no me hago responsable de lo que escribo, mucho menos de lo que no
es mio, asi que andense con cuidado. Espero les sirva este articulo
que tiene como fin ayudar a quienes usan celulares (moviles)".
Te ha pasado que cuando pasa algun tiempo con tu celular, se te descarga
mucho la bateria (sea de las horas que sea), y la cargas y se descarga a
las 2 o 3 horas y lo que te provoca es botarla a la basura, pero no hagas
eso y haz esto sin miedo.
En realidad lo que pasa con las baterias es que la gente tiene la mala
costumbre de que cuando llega a su casa, pone a cargar la bateria, sin que
esta se haya descargado por completo, y al hacer esto por mucho tiempo,
llega una forma en que la bateria solo dura un tiempo muy corto como el antes
mencionado.
Pero que pasa ahi?. Porque sucede esto?. Bueno, la quimica de la bateria
actua de una forma que cada vez que cargas el celular desde cualquier punto
la bateria va a funcionar desde el punto en el que la pusiste a cargar,
formando asi una capa en el fondo (claro, al principio no la vemos o no la
percibimos pero a las pocas semanas te pasara y lo que te provocara es
recordarle la madre del que te vendio la bateria de XXXX horas XDDDDD).
Aqui necesitaras una bateria de carros, dos cables y por supuesto la bateria
del celular.
Si sacas la bateria del celular podras ver (en el lado de conexion de la
bateria con el celular) que tiene 3 conectores, uno que dice +, otro que no
dice nada (es el conector de tierra) y otro -. Conecta el positivo de la
bateria de carros con el + de la bateria del celular y el negativo de la
bateria de carros con el - de la bateria del celular por unos pocos segundos
hasta que se caliente un poco el chip que tiene internamente la bateria del
celular. Cuando este se haya calentado despegas los cables, lo dejas que se
enfrie y lo pones a cargar de nuevo.
/--------\
| |
| @ | @: Chip Interno del Celular
| | #: Conectores
| |
| + - |
| ### |
| | | |
\--|-|---/
| |
| -----------------------------
|-----------------------| |
| |
# #
+ -
/------------\
| |
| Bateria |
| de carros |
| |
| 12 v |
| |
\------------/
Recomendaciones:
De recomendaciones te puedo decir es que descargues tu celular antes de
ponerlo a cargar, si ves que tiene poca bateria pero todavia te queda,
aprieta todos los botones hasta que se descargue tu bateria, pero si esto
te da ladilla, bueno, comprate un cargador inteligente ke tiene la opcion
de descarga de baterias.
---AUDITORIA INFORMATICA---
AUDITORIA INFORMATICA
Cual es el objetivo del Auditor?.
1.- Identificacion de vulnerabilidades, amenazas, exposiciones y riesgos
potenciales.
2.- Asegurar que los controles contengan pistas de auditoria y medidas de
seguridad.
3.- Verificar que estos esten funcionando correcta y efectivamente.
TIPOS DE RIESGOS COMPUTACIONALES, EXPOSICIONES Y PERDIDAS.
INTENCIONALES.
Da~os. Fuego, robo de equipo como cartuchos, discos y cintas.
Destruccion fisica de datos, irrupcion en las instalaciones,
disturbios, sabotajes, etc.
Alteraciones. Agregar, cambiar o borrar algo; desde datos hasta archivos de
programas para beneficio personal, venganza o diversion.
Diseminaciones. Vender informacion para beneficio personal, venganza o
diversion.
NO INTENCIONALES.
Da~os. Catastrofes naturales, incendios, inundaciones, terremotos, da~os
accidentales de discos, cartuchos, cintas e instalaciones.
Alteraciones. Accidentalmente agregar, cambiar o borrar datos o programas.
Alteracion debido a fallas de software o Hardware.
Diseminaciones. Revelar informacion a los colegas o amigos. Desplegar
accidentalmente passwords y salidas de los sistemas.
La mayoria de estos riesgos son causados por agentes (personas) y objetos
(instalaciones fisicas, equipo computacional, terminales, redes, archivos,
etc.) como vehiculo para realizar o incurrir estos actos ya sea de forma
intencional o no. Si se establecen controles de seguridad adecuados y
efectivos para los agentes y objetos de riesgo, entonces las perdidas pueden
ser eliminadas o incluso eliminadas.
Procedimiento que tiende a disminuir riesgos.
De los siguientes riesgos, indicar por lo menos 2 controles:
Falla en el suministro electrico.
Terremoto, Incendio o inundacion.
Acceso no autorizado al sistema.
Perdida de informacion por virus.
Perdida de informacion por da~os o fallas en el hardware.
Renuncia del desarrolador del sistema; desconocimiento del funcionamiento y
estructura del mismo.
Desperdicio de recursos durante un proyecto de software.
El sistema terminado no satisface los requerimientos del usuario final.
IMPACTO TOTAL DE LOS RIESGOS Y PERDIDAS
PERDIDA DE VENTAS O INGRESOS
PERDIDA DE GANANCIAS
PERDIDA DE PERSONAL
IMPOSIBILIDAD DE CUBRIR REQUERIMIENTOS O LEYES GUBERNAMENTALES
IMPOSIBILIDAD DE SERVIR A LOS CLIENTES
IMPOSIBILIDAD DE MANTENER EL CRECIMIENTO
IMPOSIBILIDAD DE OPERAR EFECTIVA Y EFICIENTEMENTE
IMPOSIBILIDAD DE COMPETIR EXITOSAMENTE CON NUEVOS CLIENTES
IMPOSIBILIDAD DE MANTENERSE A LA DELANTERA DE LA COMPETENCIA
IMPOSIBILIDAD DE CONTROLAR LOS COSTOS
IMPOSIBILIDAD DE CONTROLAR A EMPLEADOS EN ACTIVIDADES ILEGALES CON PROV. DE SW.
COMPLETO FRACASO DE LA COMPA~iA
Evaluacion de riesgos computacionales.
Una evaluacion de riesgos que sea significativa no es facil de lograr.
Debido a la falta de datos consistentes, la dificultad para cuantificar datos
como vulnerabilidad y las perdidas potenciales y la dificultad para explicar
los resultados a otros (especialmente a la gerencia). Por tales razones,
algunas personas prefieren un analisis simplemente cualitativo basado en la
experiencia y en opiniones de particulares. Los procesos informales e
intuitivos suelen ser mas atractivos para la gerencia que los procesos
estadisticos y de modelado.
1.- Identificar los archivos y actividades que deben ser protegidos.
2.- Analizar vulnerabilidades y riesgos que afectan tales archivos.
3.- Hacer una lista de controles de seguridad existentes a efectos de atacar
los riesgos de vulnerabilidad.
4.- Empatar los controles de seguridad con los riesgos.
5.- Hacer un analisis costo-beneficio.
6.- Hacer recomendaciones economicamente efectivas a la gerencia para
disminuir los riesgos existentes.
SEGURIDAD EN INFORMATICA
Seguridad Fisica. La revision de la seguridad fisica en un centro de computo
tiene que ver con controles de acceso fisico tales como: llaves y cerraduras,
que incluye tarjetas electronicas para lograr el acceso a la instalacion;
condiciones ambientales tales como calor, humedad y aire acondicionado;
extinguidores y medicamentos de emergencia para los empleados.
Algunas de las preocupaciones del auditor hacia la seguridad fisica es:
1.- Los empleados pueden no seguir los procedimientos de seguridad
establecidos.
2.- Los guardias de seguridad o recepcionistas pueden no checar a fondo
la identificacion de los empleados.
3.- El hardware y el software pueden no estar protegidos de da~o intencional
como del no intencional.
Seguridad de Datos. Las practicas de la seguridad de datos son cruciales,
debido a que los medios mas comunes de realizar fraudes informaticos se
efectuan simplemente modificando archivos de datos. Ya que la toma de
decisiones se basa en los datos contenidos en dichos archivos, estos deben
ser protegidos del uso no autorizado. La integridad de los datos depende de
la seguridad de los mismos.
El alcance de la revision de la seguridad de los datos incluye:
1.- Evaluar la funcion de la seguridad de los datos.
2.- Comprender la administracion de passwords.
3.- Clasificar los datos de acuerdo con su grado de sensibilidad o
criticalidad, y protegerlos de acuerdo a ello.
4.- Establecer un expediente o bitacora de acceso de usuarios a los archivos.
5.- Proveer reportes de mantenimiento de archivos para asegurar la integridad
de datos.
6.- El manejo apropiado de datos confidenciales almacenados en medios
escritos, mecanicos y electronicos.
Plan de Contingencia. El plan de contingencia es un plan hecho para permitir
a una instalacion de computo restablecer sus operaciones en el caso de un
desastre (huracanes, temblores, incendios, sabotajes, fallas de hardware y
errores humanos). Es muy importante El poder desarrollar un plan que resulte
practico y poder probarlo para asegurar que este funcionara cuando se
requiera. Existen al menos 4 opciones para desarrollar un plan de
contingencia.
1.- Desarrollo en casa. Esta opcion es barata, pero puede tomar mucho tiempo
para su desarrollo y por falta de experiencia, asi como de la necesidad de
dise~arlo desde 0; tiene como ventaja que lo podamos ajustar a las
necesidades especificas de la organizacion.
2.- Comprar un paquete de software. Existen en el mercado este tipo de
paquetes con opciones y menus para guiar al usuario en el desarrollo
del plan. Esta opcion es mas sencilla y mas rapida que la anterior, pero mas
cara.
3.- Contratar consultores. Aunque esta opcion es la mas cara de todas, un
consultor experto nos puede ahorrar mucho tiempo debido a su experiencia
con otros clientes del ramo.
4.- Combinacion de las anteriores. El plan puede ser dise~ado desde 0 o
usando un paquete de software y luego puede ser revisado por un consultor,
el cual podria incluso proveer el equipo de respaldo y soporte necesarios.
El consultor puede entonces evaluar si el plan es adecuado o no.
Algunos de los puntos que debe tener un plan de contingencia son los
siguientes:
1.- Lista de distribucion de PC.
2.- Proposito y alcance.
3.- Pruebas al PC.
4.- Lista de proveedores de negocios de la compa~ia con numeros telefonicos.
5.- Ubicacion del plan de contingencia y revision periodica de los materiales
usados en el.
6.- Procedimientos de recuperacion post-desastre y normalizacion de los
servicios de proceso de datos.
7.- Funciones del comite de recuperacion, asi como responsabilidades
individuales de los empleados; deben tambien incluirse sus numeros
telefonicos.
8.- Lista de numeros telefonicos de la policia, bomberos, servicio medico,
proveedores de hardware, y software, locaciones de respaldo y miembros
del equipo de recuperacion.
9.- Procedimientos medicos para personas lesionadas.
10.- Nombres y direcciones de las personas-contacto en las locaciones de
respaldo.
11.- Descripcion del hardware, equipo periferico, software y arquitectura
del equipo y red de telecomunicaciones en la locacion de respaldo.
12.- Acuerdos contractuales con las locaciones de respaldo y su vigencia.
13.- Hardware del centro de computo primario, equipo periferico y
configuracion de software.
14.- Ubicacion y disponibilidad de archivos de datos; diccionarios de datos,
procedimientos de control de trabajos, programas, documentacion y
manuales; formas de captura, documentos fuente y consumibles en
instalacion ubicadas fuera de la compa~ia (ubicar en donde conseguirlos).
15.- Trabajos y procesos prioritarios y sus agendas.
16.- Procedimientos manuales-alternativos tales como: preparacion de nominas
y facturacion, es decir, a mano.
17.- Arreglos con compa~ias que puedan proveer el servicio de pagos de
nominas y empleados eventuales, tanto de oficina como de planta.
18.- Nombres de empleados con conocimientos de primeros auxilios u otras
tecnicas de salvamento.
Registros Vitales. Evaluar que las practicas de retencion de registros en
papel o en medios magneticos sean adecuados es otra responsabilidad del
auditor. Algunas dependencias gubernamentales requieren a todas las
organizaciones el contar con ciertos registros sin importar el medio de
almacenamiento para propositos de evidencia y/o referencia. Esto incluye
registros de pago de impuestos, nomina, polizas de seguro, gastos, ordenes
de venta por mencionar algunos. La organizacion podria pagar multas
cuantiosas si no contase con dichos registros. Es de interes del auditor
el conocer las practicas, tanto de retencion como de disposicion de registros
vitales debido a que afectan la seguridad y confidencialidad, asi como la
posibilidad de la empresa de reanudar actividades en caso de desastre.
Algunos ejemplos de registros vitales en papel son:
Formas de solicitud de compras.
Ordenes de compra.
Pedidos del cliente.
Ordenes de produccion.
Facturas.
Documentos fuente y formas de captura.
Bit·coras de control.
Hojas de datos de cliente.
Ejemplos de registros electronicos:
Archivos maestros de transacciones, archivos de referencia, archivos
historicos, etc. (de bases de datos o no).
Librerias de programas fuente.
Bitacoras de:
Seguridad
Administracion de Bases de Datos.
Comunicaciones.
Del sistema operativo.
Tabla de retencion de registros.
TIPOS DE REGISTROS PERIODO DE RETENCI”N
DEP”SITOS BANCARIOS 3 A—OS
BALANCE GENERAL PERMANENTEMENTE
REGISTROS DE CAJA CHICA 7 A~OS
DEVOLUCIONES DE IMPUESTOS Y PAGOS 7 A~OS
GASTOS EN GENERAL 7 A~OS
BALANCES 7 A~OS
P”LIZAS DE SEGUROS 6 A~OS
RETENCI”N DE IMPUESTOS DE EMPLEADOS 7 A~OS
ORDENES DE PAGOS 2 A~OS
Politicas hacia el personal. Las politicas de seguridad del personal
implican ciertos puntos de interes para el auditor:
1.- Es practicamente imposible que el departamento de personal pueda detectar
los empleados deshonestos a la hora de la contratacion, ya que la gente
cambia con el tiempo.
2.- Los administradores quizas no esten interesados en la seguridad y no
desean motivar a los empleados en seguir buenas practicas de seguridad.
3.- Finalmente, la administracion puede estar renuente a establecer un
sistema de recompensas por ajustarse a las politicas y de castigos por
no hacerlo.
POLITICAS DE CONTRATACION Y TERMINACION DEL CONTRATO.
Para contratacion.
Deben hacerse verificaciones en los empleos anteriores, ya sea por via
telefonica o por cualquier otro medio.
Deben hacerse verificaciones de los titulos escolares mostrados, situacion
financiera, antecedentes penales, recomendaciones y referencias pesonales.
Deben llenarse formas en las cuales se establezca al acuerdo de no revelar
informacion critica de proteccion de la propiedad intelectual,
consentimientos de caracter etico. Debe existir un codigo de conducta que
delimite las politicas organizacionales de proteccion de informacion critica
hacia el cual los empleados deben sujetarse mientras trabaje en la empresa.
Se deben ennumerar las consecuencias aplicables en caso de desacato.
El empleado debe dejar establecido que no divulgara su USER-ID, numero de
cuenta o PASSWORD a otros usuarios.
Deben realizarse pruebas psicologicas,conducidas por psicologos competentes
para determinar la honestidad y balance mental de aquellos empleados que
estaran en puestos de confianza.
El empleado debe recibir manuales de politica de uso correcto de las
computadoras y estandares de seguridad.
Durante el desempe~o de labores.
Todos los empleados deben tomar sus vacaciones. Donde sea posible, aplicar
las politicas de rotacion de personal.
Los empleados disgustados deben transferirse a otras areas donde no puedan
hacer da~o a la organizacion.
Deben realizarse juntas periodicamente para dar a conocer avances y otras
actividades, para asi hecer sentir a los empleados como parte de la empresa.
Esas juntas elevan la moral. Los administradores en todos los niveles deben
adoptar "politicas de puertas abiertas" para que los empleados puedan
acercarse a ellos y comunicarles inquietudes y sugerencias.
Los empleados temporales deben sujetarse a las mismas politicas de seguridad
que los empleados formales.
Para la terminacion de contrato.
Debe existir una forma llenada por personal administrativo que indique las
razones por las que el empleado renuncie y otros datos pertinentes que puedan
auxiliar en futuras contrataciones. Se les debe preguntar a los empleados
salientes que describan debilidades en los sistemas de seguridad.
Todas las llaves, tarjetas magneticas, libros, manuales,tarjetas de negocios
y todo aquello, propiedad de la compa~ia, le debe ser recolectado.
Los passwords y codigos de acceso deben ser cambiados.
Todas las cuentas financieras con el departamento de contabilidad deben ser
ajustadas.
Dependiendo del rango del empleado, se debe identificar a los demas
departamentos de la organizacion que terminen todo tipo de relaciones con el.
Los seguros. Es responsabilidad del auditor verificar los siguiente:
Que el departamento administrativo ha verificado y cuantificado todos los
riesgos posibles, asi como sus costos asociados. Obtener inventario de todos
los objetos asegurables en la organizacion.
Averiguar si los del departamento administrativo y legal han establecido
limites en las polizas de seguros, asi como montos de co-aseguramiento.
Revisar las polizas de seguros para que contengan covertura debido a
interrupcion del negocio por fallas de hardware o software, da~os en la
propiedad fisica, medios magneticos y costos de reconstruccion de archivos,
retencion y da~o de registros vitales y fraudes computarizados.
Averiguar si existe cobertura de fidelidad contra actos de empleados
desonestos que tengan relacion con computadoras. La covertura de fidelidad
generalmente cubre riesgos contra fraude o robo de empleados deshonestos.
Asegurar que existe covertura para proteccion contra fraudes perpretados por
terceros. Por ejemplo, un seguro contra fraudes en un medio bancario cubre
transferencia electronica ilegal de fondos, algunas excluciones son:
extorcion, perdida de ingresos potenciales, guerra, amenaza nuclear entre
otros.
Averiguar si las polizas de seguros brindan coberturas contra perdidas que
puedan ocurrir durante el transporte de cintas, discos o cartuchos entre un
inmueble de la organizacion y otro, ya sean vehiculos de la empresa o de un
servicio externo.
INTRODUCCION A LA AUDITORIA Y AL CONTROL INTERNO
Definicion de auditoria en informatica. Es el examen y validacion de los
controles y procedimientos utilizados por el area de informatica, a fin de
verificar que los objetivos de Continuidad de Servicio, Confidencialidad,
Seguridad de la informacion y la Integridad y coherencia de la informacion
se esten cumpliendo satisfactoriamente y de acuerdo a la normatividad
(interna y externa).
El auditor de informatica evalua la suficiencia de las medidas de control
adoptadas para abatir la posibilidad de que los riesgos se materialicen.
Tipos de auditoria.
Auditoria de Estados Financieros. Es la revision de registros y libros
contables. Es el estudio y evaluacion del control interno. Esta basada en
las normas y procedimientos de auditoria con la finalidad de emitir una
opinion sobre la razonabilidad de las cifras.
Auditoria administrativa. Es el examen de la estructura de la empresa en
cuanto a sus planes y objetivos. Se basa en el organigrama funcional que es
la representacion grafica de jerarquias, funciones y responsabilidades.
Auditoria operacional. Es la evaluacion de las areas de operacion para
determinar si los controles son adecuados para promover la eficiencia,
abatir costos e incrementar la productividad.
Auditoria Tecnica. Es la evaluacion de los aspectos tecnicos como son en:
constructoras, laboratorios quimicos, en informatica, etc.
Auditoria social. Es la evaluacion de los logros sociales: personal empleado,
inversion en remuneraciones, participacion en el mercado con precios
accesibles.
NORMAS DE LA AUDITORIA
Son los requisitos minimos de calidad relativos a:
Personalidad del Auditor:
Cuidado y diligencia profesional
Entrenamiento TÈcnico y capacidad profesional.
Independencia mental, es decir, que no existan lazos jerarquicos o familiares
entre auditores y auditados.
Ejecucion del trabajo.
Planeacion y supervision.
Estudio y evaluacion del control interno.
Obtencion de evidencia suficiente y competente (vistas de auditoria).
El programa de auditoria.
Determina el area a auditar.
Evaluar o revisar informacion relativa a el area a la cual se tiene acceso:
el programa de trabajo del area, organigrama, manual de organizacion,
reportes de trabajo, plantilla de personal, relacion de sistemas que esta
desarrollando o explotando el area, entre otros.
Preparar documentos de trabajo (Cuestionario de auditoria).
Presentarnos con el area a auditar y explicar de que forma se llevara la
auditoria.
Aplicar el cuestionario al area aplicada, y el auditado debe proporcionar
evidencia que corrobore sus afirmaciones.
Analizar la informacion obtenida y elaborar un dictamen.
Revisar el dictamen y aclarar puntos obscuros o dudosos.
Presentar el dictamen a la alta direccion y al auditado.
Elaboracion de una minuta de la reunion, estableciendo compromisos de trabajo.
Verificar que se hayan llevado acabo los compromisos de trabajo.
Nota: Este procedimiento se lleva acabo en el I.N.E.G.I., puede
variar segun la empresa en la que se aplique.
Tecnicas de auditoria.
Son los metodos practicos de investigacion y prueba.
Estudio General
Analisis de los componentes de un todo.
Calculo.
Estudio y Evaluacion del Control Interno.
Observacion.
Confirmacion (rectificaciÛn a traves de terceros).
Certificacion (de un hecho a traves de funcionarios de la empresa).
Papeles de Trabajo.
Cuestionarios.
Dictamen.
Documentos de los sistemas.
Procedimientos de trabajo.
Manuales de los sistemas.
Plan de contingencias.
Estados financieros.
El informe de auditoria.
Aun cuando las diversas organizaciones tengan definidos formatos de informes,
es conveniente que en este se presenten los siguientes elementos, ya que esto
facilitara la toma de decisiones por la direccion acerca de los puntos
tratados en el mismo.
Hay que recordar que el objetivo de un informe es generar acciones y que por
definicion, un informe que no logre esto, es un informe que no sera util en
la institucion.
Los elementos son los siguientes:
Situacion encontrada: Muestra objetivamente cual es la situacion irregular
que se puso de manifiesto en nuestra evaluacion.
Riesgos que se generan por la situacion anterior: se~alando si es posible el
grado de exposicion al riesgo.
Impacto en la Institucion: Sea cualitativa o cuantitativamente.
Causas que dieron lugar a lo anterior: Siendo extremadamente cuidadosos en
estas percepciones por el impacto que puede tener en las personas.
Alternativas de solucion a la problematica planteada. Aqui es claro que el
auditor actuaraa como consultor en aquellos casos en que la situacion se
refiera a la ausencia de politicas y procedimientos.
Tipos de dictamenes.
Opinion limpia. El control interno es en general bueno.
Opinion negativa. El control interno es en general deficiente.
Opicnion con salvedades: (es el mas comun). El control interno es en general
bueno pero existen excepciones.
Abstencion de opinion. No se tienen elementos (evidencia suficiente o
competente) para opinar sobre el control interno.
Justificacion de la auditoria al proceso de desarrollo.
El principal objetivo que tiene sobre el mecanismo de desarrollo de sistema
las actividades de auditoria, esta en ayudar a prevenir la omision de
controles adecuados durante el desarrollo de nuevas aplicaciones y durante
el proceso de mantenimiento de estas aplicaciones. En resumen, la auditoria
al proceso de desarrollo constituye un control preventivo.
Los controles en el desarrollo deben asegurar el cumplimiento de estandares
de dise~o y deben proteger contra la instalacion de cualquier aplicacion que
contenga ciertas debilidades de control.
Dos enfoques de auditoria al desarrollo.
Antes de considerar la auditoria de sistemas automatizados, el auditor debe
entender claramente que al auditoria al proceso de desarrollo es muy
diferente a participar en el desarrollo de una aplicacion en particular.
Cuando el auditor participa en el desarrollo de un sistema, su preocupacion
principal son los controles que tienen incorporados como aplicacion.
Los controles que estan bajo examen durante la revision al proceso de
desarrollo son los que se encuentran descritos en la primera parte de estos
apuntes. Mientras que la recopilacion de evidencia que sustente la existencia
de controles sobre el proceso de desarrollo requiere del examen de
documentacion de una aplicacion en especifico, los objetivos son diferentes.
Traduccion.
Exposiciones (en limpio).
Una lista o tabla con los sistemas que estan manejando la descripcion del
sistema, el lenguaje, el numero de personas que lo manejan, el desarrollo,
plataforma.
---IP BREVE---
@@@@@@@@ @@@@@@@*
@@ @@ @
@@ @@ @
@@ @@@@@@@*
@@ @@
@@ @@
@@@@@@@@ @@
Fuente: IP para "Torpes"
Cada vez que alguien se interesa en aprender algo sobre redes de
ordenadores e Internet, irremediablemente se topa con los conceptos de
direcciones y sub-redes IP. Incluso los usuarios no tecnicos, y aun
los caseros, deberan enfrentarse a este concepto por alguna de las
siguientes razones:
1.Creacion de redes IP en la empresa. Al instalar una red IP sera
necesario dise~ar el esquema de direccionamiento para los dispositivos
que se conectaran.
2.Homologacion de redes IP. Si una empresa desea que su red este
conectada a Internet, debera homologar sus direcciones ante los
organismos encargados de ello para asegurar que no se repiten
direcciones y para dar de alta los nombres de dominio (@linux.web, por
ejemplo).
3.Establecimiento de conexiones a Internet por modem. Ya sea que se
trate de una pequeÒa red o de una maquina casera, al ser configurado
el enlace se necesitaran las direcciones IP del DNS (Domain Name
Server; Servidor de nombres de dominio), del enrutador por defecto,
etc.
Una direccion IP es simplemente un numero que identifica de manera
unica a una entidad (ordenadores, router, etc.) en Internet
(vease Revista RED 62, Noviembre 1995: "IP version 6, la siguiente
generacion", tambien Set No 15 sec. 0x05).
Cuando fue dise~ado este esquema se establecio que una direccion IP
seria representada como una secuencia de cuatro numeros decimales entre 0 y
255 separados por puntos (xxx.xxx.xxx.xxx). Cada numero es en realidad un
byte (8 bits) y en el argot de Internet se le conoce como un octeto.
Toda direccion Internet tiene implicito un numero de red y un numero
para el dispositivo direccionado, de manera semejante a la calle y numero
usados para identificar a las casas en una misma acera. Las
computadoras que comparten una misma red pueden comunicarse entre
ellas sin necesidad de equipo adicional, mientras que se requiere de
un router para poder establecer comunicacion con dispositivos
pertenecientes a otra red.
Segun el numero de digitos empleados para designar el numero de red se
tiene la siguiente clasificacion:
*> Redes Clase A.
Una red clase A utiliza el primer octeto para
designar el numero de red (rr.d.d.d). Este tipo de redes puede
tener un maximo de 16,777,214 dispositivos direccionados (2^24-2).
*> Redes Clase B.
En este caso se usan dos octetos para designar a la red,
lo cual nos deja con un maximo de 65,534 direcciones disponibles (2^16 - 2).
*> Redes Clase C.
Son aquellas que utilizan un solo octeto para la direccion
del dispositivo, lo cual permite un maximo de 254 dispositivos (2^8 - 2).
*> Redes Clase D y E
Estas redes fueron reservadas para propositos especiales y
se caracterizan por que su primer octeto, expresado en forma decimal, es un
numero mayor a 223.
Ahora bien, incluso una red clase C puede resultar dificil de manejar
debido a multiples causas:
.- Problemas de trafico y congestionamiento.
.- Limitaciones fisicas del lugar en que se instalara la red.
.- Limitaciones en el numero de nodos por el esquema de cableado
elegido, etc.
Es por ello que con mucha frecuencia se fragmenta una red para hacer
mas facil su manejo y es aqui donde surgen los conceptos de sub redes
IP y mascaras de red, los cuales no son explicados aqui por estar
fuera del alcance de este articulo.
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
