1erCursoInternacionaldeCriminalísticaCibernéticaCurso: Criminalística CibernéticaModulo: Informática Forense.DocenteRespon...
1. Definiciones básicas1.1 Sistemas Operativos:Un sistema operativo (SO) es un conjunto de programas o software destinado ...
UMB). Más tarde, aparecieron mecanismos como la memoria extendida (XMS) y lamemoria expandida (EMS), que permitían ya mane...
después de dos décadas desde el anuncio del proyecto GNU, un sistemaúnicamente GNU no esté acabado.Algunas distribuciones ...
que este proyecto sufrió en la versión 4.4 y que lo hacía incompatible con laGPL).servidores web, servidores de correo, se...
instalaba además una versión reducida de MS DOS. La arquitectura de Windowscomenzó siendo de 16 bits, hasta Windows 95, do...
suponían el cambio a la tecnología RISC. Desde la introducción de los Power MacG5 en Junio de 2003, utilizan el PowerPC de...
NetWare. El BIOS (sistema básico de entradas/salidas), desarrollado para el PCoriginal (y necesario con el DOS), está dise...
1.2 Sistemas de Archivos:Un sistema de archivos consta de tipos de datos abstractos, que son necesariospara el almacenamie...
Los sistemas de archivos tradicionales proveen métodos para crear, mover yeliminar tanto archivos como directorios, pero c...
FAT16FAT16 es una versión del sistema de archivos FAT que soporta hasta 65.535unidades de asignación (direccionables con 1...
FAT32FAT32 es una versión del sistema de archivos FAT que maneja en teoría hasta4.294.967.296 unidades de asignación (dire...
* La conversión a NTFS es unidireccional. Si elige actualizar la unidad, no podrávolver a convertirla a FAT.GNU/Linux sólo...
Estructura de un inodo-Directorios: Directorios son estructurados en un árbol jerárquico. Cada directoriopuede contener ar...
decrementa la cuenta de enlaces y desaloja el inodo, si la cuenta se convierte encero.Este tipo de enlaces es llamado un e...
La única diferencia entre EXT2 y EXT3 es el registro por diario. Un sistema dearchivos EXT3 puede ser montado y usado como...
1.5 Redes de Computadoras:HistoriaEl concepto de trabajo en redes es probablemente tan antiguo como lo es el de lastelecom...
y definidos, sino más bien en el código de comportamiento altamente formalizado,que se observa en una población cuando se ...
a “modulación de banda base” y significa, simplemente, que los datos quealimentan al cable, fluyen directamente sin pasar ...
Ethernet funciona como un sistema de bus, donde un nodo puede mandarpaquetes (o marcos) de hasta 1500 bytes a otro nodo de...
Los tres pasos del envío de un datagramaEste esquema de envío de datos al nodo remoto se llama encaminamiento, y eneste co...
que cuando se escriba rlogin quark, se le pueda pasar la dirección IP de quark alsoftware de red; y cuando el nivel IP env...
En el ejemplo con rlogin, la aplicación cliente (rlogin) abre un puerto en erdos y seconecta al puerto 513 de quark, en el...
ejemplo, varios accesos remotos simultáneos al mismo nodo, usando todos ellosel mismo puerto 513. TCP es capaz de distingu...
Historia de InternetA finales de 1972 se realizó la primera demostración pública de ARPANET, unanueva red de comunicacione...
Internet2 es un consorcio de universidades estadounidenses y empresastecnológicas con el objetivo de crear nuevos protocol...
realizados, entrenamiento profesional recibido, Certificaciones, detalle de suexperiencia, casos en los que haya testifica...
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por elprocedimiento elegido.Asegurar que la inform...
conseguir algún objetivo, como podría ser el de recoger información sobre elusuario o sobre el ordenador en sí.Virus: Los ...
llamaba CAESAR el sistema era utilizado por Julio Cesar para enviar mensajescifrados a sus allegados mas cercanos, hablare...
en alguna organización militar o gubernamental la necesidad de resguardar lainformación allí almacenada se hizo evidente.P...
MENSAJE + CLAVE = CÓDIGO (encriptación)CÓDIGO + CLAVE = MENSAJE (desencriptación)Esto se lleva a cabo sustituyendo porcion...
Desarrollaremos a continuación algunos de los criptosistemas de clave privadamas conocidos, desde los más básicos hasta lo...
cada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya hapescado. Una de las reglas de seguridad mas...
.Empezar algunas palabras con caracteres que no tengan sentido alguno comopor ejemplo la llave que cierra } o un punto y c...
El algoritmo de clave publica más probado y utilizado en todo el mundo es elalgoritmo RSA, denominado así debido a sus aut...
La clave publica queda grabada en el disco y lista para ser distribuida, la claveprivada se almacena también en el disco, ...
Mensaje solo para tus ojos:Esta opción del PGP permite encriptar un mensaje para una cierta persona deforma tal que cuando...
solo incluyen la teoría y la practica de hardware, software y programación, sinotambién notablemente Seguridad de computo,...
Políticas de seguridad y privacidad indicando el tipo de mecanismo de seguridaden el lugarEnlaces a otros servidores web, ...
Existen diferentes mecanismos, pare realizar las consultas a las diferentes basesde datos “whois“. En cualquier caso siemp...
Consulta a una Base de Datos WHOIS via consolaDiversa información puede ser obtenida con cada consulta realizada. Lossigui...
2.5 Reconocimiento de la Red:Cuando se han identificado potenciales Redes, se intenta determinar la topologíade la Red y t...
VisualRoute es una herramienta Visual que no solo obtener información de los“saltos” sino también la ubicación geográfica ...
2.6 Servidores accesibles:El escaneo es equivalente a tocar las paredes para encontrara puertas oventanas abiertas. Es imp...
Alguno de los objetivos que se persiguen al realizar un escaneo de puertos a unsistema objetivo, son lo siguientes; pero n...
2.9 Rastreadores de red (Sniffers):Un packet sniffer es un programa de captura de paquetes de red, generalmenteutilizado c...
protocolos e incluye varias características que no pueden ser localizadas en otrosproductos. Tiene licencia Open Source , ...
este juego en el sitio Web de Internet. Usted tiene una llamada de uno de lossocios de la empresa. Ella desea saber por qu...
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Criminalística Cibernética
Upcoming SlideShare
Loading in …5
×

Criminalística Cibernética

854 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Criminalística Cibernética

  1. 1. 1erCursoInternacionaldeCriminalísticaCibernéticaCurso: Criminalística CibernéticaModulo: Informática Forense.DocenteResponsable:Alonso Eduardo Caballero QuezadaPáginaWeb:http://alonsocaballero.informatizate.netCorreoelectrónico:reydes@gmail.comAreadeSistemasdelaCámara de Comercio de la Libertad.BrainBenchCertifiedLinuxAdministration(Advanced)IntegrantedelGrupoPeruanodeSeguridad,Security Wari ProjectsIntegrantedelGrupodeSeguridaddehablahispana RareGaZz Security Team..IntegranteyWebMasterdelPortaldeNoticiasdeTrujillo,NoticiasTrujillo.IntegrantedelGrupoinformatizate.NúmerodeHoras:16HorasAcadémicas.Trujillo – Perú / 2005
  2. 2. 1. Definiciones básicas1.1 Sistemas Operativos:Un sistema operativo (SO) es un conjunto de programas o software destinado apermitir la comunicación del usuario con un ordenador y gestionar sus recursos demanera cómoda y eficiente. Comienza a trabajar cuando se enciende elordenador, y gestiona el hardware de la máquina desde los niveles más básicos.Hoy en día un sistema operativo se puede encontrar normalmente enordenadores o productos electrónicos como teléfonos móviles.a. DOSDOS es una familia de sistemas operativos para PC. El nombre son las siglas deDisk Operating System ( sistema operativo de disco). Fue creado originalmentepara computadoras de la familia IBM PC, que utilizaban los procesadores Intel8086/8088 de 16 bits, siendo el primer sistema operativo popular para estaplataforma. Tenía una interfaz de línea de comandos vía su intérprete decomandos, command.com.Existen varias versiones de DOS. El más conocido de ellos es el MS-DOS, deMicrosoft (de ahí las iniciales MS). Otros sistemas son el PC-DOS, DR-DOS y,más recientemente, el FreeDOS.Con la aparición de los sistemas gráficos del tipo Windows, el DOS ha idoquedando relegado a un segundo plano.-MSDOS es un sistema operativo de Microsoft perteneciente a la familia DOS.Fue un sistema operativo para el IBM PC que alcanzó gran difusión.MS-DOS significa MicroSoft Disk Operating System (Sistema operativo de discoMicroSoft), antiguamente Microsoft se escribía separado por un guión("MicroSoft"). Al principio el MS-DOS se almacenaba en un único diskette.- Características: El DOS carece por completo de interfaz gráfica, y no utiliza elratón. Era incapaz de detectar el hardware (no existía el Plug-and-play), por lo quetodo debía ser configurado manualmente.No era ni multiusuario ni multitarea. No podía trabajar con discos duros muygrandes. Originalmente, por limitaciones del software, no podía manejar más de64KB de memoria RAM. Poco a poco, con las mejoras en la arquitectura de losPCs, llegó primero a manejar 640KB (la llamada "memoria convencional"), y luegohasta 1 MegaByte (agregando a la memoria convencional la "memoria superior" o
  3. 3. UMB). Más tarde, aparecieron mecanismos como la memoria extendida (XMS) y lamemoria expandida (EMS), que permitían ya manejar varios megabytes.Desde el punto de vista de los programadores, este sistema operativo permitía uncontrol total del ordenador, libre de las capas de abstracción y medidas deseguridad a las que obligan los sistemas multiusuario y multitarea. Así, hasta laaparición del DirectX, y con el fin de aprovechar al máximo el hardware, la mayoríade los videojuegos para PC funcionaban bajo DOS.La necesidad de mantener la compatibilidad con programas antiguos, hacía cadavez más difícil programar para DOS, debido a que la memoria estaba segmentada,es decir, la memoria apuntada por un puntero tenía como máximo el tamaño de unsegmento de 64KB. Para superar estas limitaciones del modo real de losprocesadores x86, se recurría al modo protegido de los procesadores posteriores(80386, 80486...), utilizando programas extensores que hacían funcionarprogramas de 32 bits sobre DOS.b. GNU/Linux:GNU/Linux es la denominación defendida por Richard Stallman y otros para elsistema operativo que utiliza el kernel Linux en conjunto con las aplicaciones desistema creadas por el proyecto GNU. Comúnmente este sistema operativo esdenominado simplemente Linux.Desde 1984, Richard Stallman y voluntarios están intentando crear un sistemaoperativo libre con un funcionamiento similar al UNIX, recreando todos loscomponentes necesarios para tener un sistema operativo funcional que seconvertiría en el sistema operativo GNU. En el comienzo de los años 1990,después de seis años, GNU tenía muchas herramientas importantes listas, comocompiladores, depuradores, intérpretes de comando etc, excepto por elcomponente central: el núcleo. Con el surgimiento del kernel Linux, esta lagunafue llenada y surgió el sistema operativo con el kernel Linux en conjunto con lasherramientas GNU. De esta manera, Stallman juzga que este sistema operativo esuna "versión modificada" del sistema GNU y por lo tanto debe tener ladenominación GNU/Linux. Esta denominación resolvería la confusión entre elnúcleo y el sistema operativo completo a que puede llevar, y de hecho ha llevado,la denominación Linux en solitario. Stallman también espera que con el aporte delnombre GNU, se dé al proyecto GNU que él encabeza el reconocimiento quemerece por haber creado las aplicaciones de sistema imprescindibles para ser unsistema operativo compatible con UNIX. Es conocida la cita de Richard Stallman:«Its GNU/Linux, dammit!» («¡Es GNU/Linux, maldita sea!»).Richard Stallman ha reconocido que desde que existe Linux el desarrollo de unnúcleo específico del proyecto GNU (el Hurd) ya no es prioritario. Esto explica que
  4. 4. después de dos décadas desde el anuncio del proyecto GNU, un sistemaúnicamente GNU no esté acabado.Algunas distribuciones apoyan esta denominación, e incluyen GNU/Linux en susnombres, tal es el caso de Debian GNU/Linux o GNU/LinEx. En el proyecto Debiantambién existe Debian GNU/Hurd y Debian GNU/BSD que combinan lasaplicaciones de sistema de GNU con esos núcleos.En ocasiones, el proyecto KDE ha utilizado una tercera denominación:GNU/Linux/X para enfatizar los tres proyectos sobre los que se apoya su entornode escritorio.Algunos sectores de la comunidad de usuarios del sistema operativo hanrechazado la denominación GNU/Linux por varias razones, entre ellas que ya sehabía empezado a denominar Linux al sistema operativo antes de que RichardStallman promocionase esta denominación. Otras personas se oponen a lapostura ideológica de Stallman radicalmente en contra del software no libre y porello son contrarios al uso de este nombre para evitar la promoción de las ideas delfundador del proyecto GNU. Otros sectores de la comunidad han reconocido laconveniencia de este nombre.Hay que señalar que, al igual que es una simplificación denominar al sistema queusa el usuario final Linux, obviando las aplicaciones GNU que completan elsistema operativo, el conjunto linux+GNU representa solamente una parte (aunqueimportante) del software encontrado en una distribución Linux. Existe una grancantidad de software original del sistema operativo BSD o producidoindependientemente de los proyectos GNU y Linux por otras personas uorganizaciones, como por ejemplo Apache, el X Window System, Samba, KDE,OpenOffice.org y miles de otros.- Distribuciones: Una distribución Linux, o distribución GNU/Linux (abreviada confrecuencia distro) es un conjunto de aplicaciones reunidas por un grupo, empresao persona para permitir instalar fácilmente un sistema Linux (también llamadoGNU/Linux). Son sabores de Linux que, en general, se destacan por lasherramientas para configuración y sistemas de paquetes de software a instalar.Existen numerosas distribuciones Linux. Cada una de ellas puede incluir cualquiernúmero de software adicional (libre o no), como algunos que facilitan la instalacióndel sistema y una enorme variedad de aplicaciones, entre ellos, entornos gráficos,suites ofimáticas, servidores web, servidores de correo, servidores FTP, etcétera.La base de cada distribución incluye el núcleo Linux, con las bibliotecas yherramientas del proyecto GNU y de muchos otros proyectos/grupos de software,como BSD.Usualmente se utiliza la plataforma XFree86 o la Xorg para sostener interfacesgráficas (esta última es un fork de XFree86, surgido a raíz del cambio de licencia
  5. 5. que este proyecto sufrió en la versión 4.4 y que lo hacía incompatible con laGPL).servidores web, servidores de correo, servidores FTP, etcétera.La base de cada distribución incluye el núcleo Linux, con las bibliotecas yherramientas del proyecto GNU y de muchos otros proyectos/grupos de software,como BSD.Usualmente se utiliza la plataforma XFree86 o la Xorg para sostener interfacesgráficas (esta última es un fork de XFree86, surgido a raíz del cambio de licenciaque este proyecto sufrió en la versión 4.4 y que lo hacía incompatible con la GPL).Interfaz de Comandos GNU/Linux Entorno visual en GNU/Linuxc. Windows:Microsoft Windows es el nombre de una familia de sistemas operativos no libresdesarrollados por la empresa de software Microsoft Corporation. Todos ellostienen en común el estar basados en una interfaz gráfica de usuario basada en elparadigma de ventanas (de ahí su nombre en inglés). Las versiones de Windowsque existen hasta el momento se basan en dos líneas separadas de desarrolloque finalmente convergen en una sola con la llegada de Windows XP.Versiones basadas en MS DOSLa primera de esas líneas conformaba la apariencia de un Sistema Operativo,aunque realmente requerían otro sobre el que ejecutarse (MS DOS). Todos losSistemas Operativos, desde Windows 1.0 a Windows ME necesitaban tener MSDOS instalado, aunque desde la aparición de Windows 95, podía instalarseWindows sobre un disco duro vacío, ya que durante su propia instalación, se
  6. 6. instalaba además una versión reducida de MS DOS. La arquitectura de Windowscomenzó siendo de 16 bits, hasta Windows 95, donde pasó a funcionar bajo unaarquitectura de 32 bits, aunque manteniendo bastantes módulos de 16 bits porrazones de compatibilidad.Windows 1.x 3.x, 95, 98, MEVersiones basadas en NT (Network Technology)La segunda linea de desarrollo (NT) se basaba en emplear desde el origen unsistema operativo en modo gráfico y con una arquitectura de 32 bits. Éste SistemaOperativo no requiere tener instalado ningún otro previamente. Incluye en todassus versiones, un emulador de consola en modo texto. A modo de anécdota,Windows NT 4.0, en origen no era compatible con tarjetas gráficas AGP. Requeríala instalación de un Service Pack o conjunto de parches (de la versión 3 enadelante), que permitian su detección y la instalación de sus controladores.Windows NT 3.x, 4. 2000, XP, Server 2003Pantalla de un Windows 3.11 Pantalla de un Windows XPd. Macintosh:Apple Macintosh (abreviado Mac) es el nombre de una serie de ordenadoresfabricados y comercializados por Apple Computer desde 1984. Apple autorizó aotras compañías, como Motorola, Umax o PowerComputing para la fabricación declones Macintosh en los 90, aunque en la actualidad sólo Apple comercializaordenadores Macintosh.Los primeros Macintosh estaban basados en los microprocesadores de la familia68000 de Motorola, de tecnología CISC. En Marzo de 1994, Apple introdujo en lagama Macintosh los chips PowerPC del Consorcio Apple/IBM/Motorola, que
  7. 7. suponían el cambio a la tecnología RISC. Desde la introducción de los Power MacG5 en Junio de 2003, utilizan el PowerPC de IBM.Los Apple Macintosh son comercializados con el sistema operativo Mac OS X, consoporte integrado para el sistema operativo anterior: Mac OS 9, pero también esposible instalar en ellos Linux, NetBSD ó Darwin, entre otros.Pantalla de un Mace. Novell Netware:Novell NetWare está en el mercado desde 1983, el mismo año en que IBMintrodujo la computadora personal IBM XT y el DOS 2.0 para IBM PC. Cada unode estos productos implantó estándares. El IBM XT fue la primera computadora deIBM que incorporaba un disco fijo, mientras que el DOS 2.0 para el IBM PC fue elprimer sistema operativo de disco que controlaba discos fijos sin complementosespeciales. Ambos generaron un sistema de estándares para el crecimiento de losPC hacia entornos y aplicaciones más sofisticadas basadas en ellos. NetWare ibaa convertirse en el sistema operativo en red a elegir para estos equipos.Novell desarrolló originalmente NetWare para ejecutarse en un servidor basado enel microprocesador Motorola MC68000 usando configuración de red Novell S-Net.La presentación del XT de IBM y la versión 2 del DOS hizo ver a muchasempresas, entre ellas Novell, la oportunidad de desarrollo del producto. Como elcódigo de NetWare estaba escrito en C, que es un lenguaje de los denominados"portables", Novell pudo trasladar parte del código del NetWare existente al nuevoequipo.Como es sabido, el entorno DOS/Intel 8088 no es el mejor para ejecutaraplicaciones multiusuario, especialmente un sistema operativo multiusuario como
  8. 8. NetWare. El BIOS (sistema básico de entradas/salidas), desarrollado para el PCoriginal (y necesario con el DOS), está diseñado para monousuario. Novell tomó laimportante decisión de dejar de lado completamente este sistema de E/S y crearun sistema operativo que funcionase de forma más efectiva en modo multiusuario.Debido a esto, NetWare se escribió específicamente para el hardware de lossistemas basados en el 8088, sin tener en cuenta el DOS y su sistema de E/S.Esta estrategia fue la que marcó la buena estrella de Novell desde entonces. Otrasempresas que han desarrollado sus sistemas operativos de red para funcionarbajo DOS han sufrido sus limitaciones.Las dificultades de Novell estribaron en la necesidad de escribir y actualizarconstantemente los controladores para ofrecer compatibilidad con el DOS a losusarios. Estos problemas fueron solventados rápidamente usando un shell paraDOS en las estaciones de trabajo. El shell es un interfaz software que permite alos usuarios de las estaciones trabajar con el DOS de forma normal, ejecutandotambién órdenes NetWare. El shell intercepta las órdenes de la red y las dirige alservidor. Casi todas las aplicaciones del DOS se pueden ejecutar en el sistemaoperativo NetWare, gracias a su shell para DOS. Además, NetWare incluyeprogramas para seguridad y tolerancia a fallos que son imposibles de preparar enla de estructura de archivos del DOS, marcando un nivel claramente superior.Mientras tanto, Novell siguió mejorando NetWare al ritmo de los avances tecnoló-gicos. NetWare 286 funciona en modo protegido del procesador 80286, el más efi-ciente. En 1989, Novell presentó NetWare 386, el primer sistema operativo queaprovechaba al máximo las ventajas del microprocesador Intel 80386. El 80386 esespecialmente adaptable a entornos multiusuario, como las redes.Pantalla de Novell Netware
  9. 9. 1.2 Sistemas de Archivos:Un sistema de archivos consta de tipos de datos abstractos, que son necesariospara el almacenamiento, organización jerárquica, manipulación, navegación,acceso y consulta de datos.La mayoría de los sistemas operativos poseen su propio sistema de archivos. Lossistemas de archivos son representados ya sea textual o gráficamente utilizandogestores de archivos o shells. En modo gráfico a menudo son utilizadas lasmetáforas de carpetas (directorios) conteniendo documentos, archivos y otrascarpetas. Un sistema de archivos es parte integral de un sistema operativomoderno.Los sistemas de archivos más comunes utilizan dispositivos de almacenamientode datos que permiten el acceso a los datos como una cadena de bloques de unmismo tamaño, a veces llamados sectores, usualmente de 512 bytes de longitud.El software del sistema de archivos es responsable de la organización de estossectores en archivos y directorios y mantiene un registro de qué sectorespertenecen a qué archivos y cuáles no han sido utilizados. En la realidad, unsistema de archivos no requiere necesariamente de un dispositivo dealmacenamiento de datos, sino que puede ser utilizado también para acceder adatos generados dinámicamente, como los recibidos a través de una conexión dered.Generalmente un sistema de archivos tiene directorios que asocian nombres dearchivos con archivos, usualmente conectando el nombre de archivo a un índiceen una tabla de asignación archivos de algún tipo, como FAT en sistemas dearchivos MS-DOS o los inodos de los sistemas Unix. La estructura de directoriospuede ser plana o jerárquica (ramificada o "en árbol"). En algunos sistemas dearchivos los nombres de archivos son estructurados, con sintaxis especiales paraextensiones de archivos y números de versión. En otros, los nombres de archivosson simplemente cadenas de texto y los metadatos de cada archivo son alojadosseparadamente.En sistemas de archivos jerárquicos, en lo usual, se declara la ubicación precisade un archivo con una cadena de texto llamada "ruta". La nomenclatura para rutasvaría ligeramente de sistema en sistema, pero mantienen por lo general unamisma estructura. Una ruta viene dada por una sucesión de nombres dedirectorios y subdirectorios, ordenados jerárquicamente de izquierda a derecha yseparados por algún caracter especial que suele ser una barra (/) o barrainvertida () y puede terminar en el nombre de un archivo presente en la últimarama de directorios especificada.
  10. 10. Los sistemas de archivos tradicionales proveen métodos para crear, mover yeliminar tanto archivos como directorios, pero carecen de métodos para crear, porejemplo, enlaces adicionales a un directorio o archivo (enlaces "duros" en Unix) orenombrar enlaces padres (".." en Unix).El acceso seguro a sistemas de archivos básicos puede estar basado en losesquemas de lista de control de acceso o capacidades. Las listas de control deacceso hace décadas que demostraron ser inseguras, por lo que los sistemasoperativos experimentales utilizan el acceso por capacidades. Los sistemasoperativos comerciales aún funcionan con listas de control de acceso.Sistemas de Archivos populares:a. FAT:(File Allocation Table o "tabla de ubicación de archivos") es el principal sistema dearchivos desarrollado para MS-DOS y Windows. El sistema de archivos FAT esrelativamente sencillo, y debido a eso es muy popular como formato paradisquetes. Adicionalmente, el formato FAT es soportado por casi todos lossistemas operativos para IBM PCs, y debido a esto a menudo se lo utiliza paracompartir información entre diversos sistemas operativos.FAT es un sistema de archivos relativamente anticuado, y debido a esto sufre devarios problemas. Para comenzar, su distribución de archivos simple permite lafragmentación, lo que produce eventuales pérdidas en el desempeño de operacio-nes sobre archivos. Luego, FAT no fue diseñado para redundancia en caso de fa-llos del sistema. Las primeras versiones de FAT permitían nombres de archivo dehasta 8+3 caracteres (8 para el nombre y 3 para la extensión) , aunque esto fuesolucionado por Microsoft al inventar VFAT, el cual permite nombres de hasta 255caracteres. Finalmente, los sistemas de archivos FAT no permiten directivas deseguridad, garantizando el acceso a todos los archivos de una partición por cual-quier usuario del sistema operativo.FAT12A la versión inicial de FAT se le nombra ahora como FAT12. Como sistema dearchivos para disquetes, tiene varias limitaciones: no tiene soportes paradirectorios, las direcciones de clúster tenían una longitud de "sólo" 12 bits (quehacía que el código que manipulaba el FAT fuera un poco delicado) y el tamañodel disco era almacenado como una cuenta de 16 bits de sectores , lo que limitabael tamaño a 32MB.
  11. 11. FAT16FAT16 es una versión del sistema de archivos FAT que soporta hasta 65.535unidades de asignación (direccionables con 16 bits, de ahí el nombre) de hasta 32KB cada una. De todas las unidades de asignación, 18 están reservadas para elsistema. Por lo tanto, el tamaño máximo de una partición que use FAT16 es deunos 2 GB (65.535-18 x 32 KB).Estructura de un Volumen FAT16
  12. 12. FAT32FAT32 es una versión del sistema de archivos FAT que maneja en teoría hasta4.294.967.296 unidades de asignación (direccionables con 32 bits, de ahí elnombre) de hasta 32 KB cada una. De estos 32 bits de direccionamiento solo seusan 28 (268.435.456 unidades de asignación) y 18 de éstas están reservadaspara el sistema. Por lo tanto, el tamaño máximo teórico de una partición que useFAT32 es de unos 8 TB (268.435.456-18 x 32 KB). Pero por problemas en eldiseño, algunas de las utilidades de Microsoft para el trabajo con FAT32 estánlimitadas a 4.177.920 unidades de asignación, lo que hace que en la práctica solose puedan crear particiones de unos 124 GB.Estructura de un Volumen FAT32b. NTFS:NTFS (siglas en inglés de New Technology File System) es un sistema dearchivos diseñado específicamente para Windows NT, con el objetivo de crear unsistema de archivos eficiente, robusto y con seguridad incorporada desde su base.También soporta compresión nativa de ficheros y encriptación (esto último sólo apartir de Windows 2000).NTFS permite definir el tamaño del cluster, a partir de 512 bytes (tamaño mínimode un sector) de forma independiente al tamaño de la partición.Es un sistema adecuado para las particiones de gran tamaño requeridas enestaciones de trabajo de alto rendimiento y servidores. Puede manejar discos dehasta 2 Terabytes.Los inconvenientes que plantea son:* Necesita para si mismo una buena cantidad de espacio en disco duro por lo queno es recomendable su uso en discos menores de 400 MB.* No es compatible con MS-DOS, Windows 95 ni Windows 98.
  13. 13. * La conversión a NTFS es unidireccional. Si elige actualizar la unidad, no podrávolver a convertirla a FAT.GNU/Linux sólo tiene soporte de lectura para este sistema de ficheros, y deescritura experimental, aunque no se suele activar por defecto. Existe unaalternativa Captive-NTFS, que usa las librerías propietarias de Windows NT paratener acceso completo a NTFS.Compatibilidad de Sistemas de Archivos con NTFS y FATc. EXT2:EXT2 (second extended filesystem o "segundo sistema de archivos extendido")fue el sistema de archivos estándar en el sistema operativo Linux por varios añosy continúa siendo ampliamente utilizado. Fue diseñado originalmente por RémyCard. La principal desventaja de EXT2 es que no posee una bitácora, por lo quemuchos de sus usuarios están emigrando a ReiserFS y su sucesor EXT3.Conceptos Básicos:Cada Sistema de archivos en Linux implementa un conjunto básico de conceptoscomunes derivados del sistema operativo UNIX, los archivos son representadospor “inodos”, directorios son simplemente archivos conteniendo una lista deentradas y los dispositivos puede acceder mediante peticiones de E/S en archivosespeciales.Inodos: Cada archivo es representado por una estructura, llamada un inodo, cadainodo contiene la descripción de un archivo: tipo de archivo, permisos de acceso,propietarios, fecha, puntero a bloque de datos. Las direcciones de bloques dedatos localizados en un archivo son almacenados en su inodo. Cuando un usuariohace una operación de E/S a un archivo, el código del kernel convierte eldesplazamiento actual a un numero de bloque, usando este numero como uníndice en la Tabla de direcciones de bloques y lee o escribe en el bloque físico. Lasiguiente figura representa la estructura de un inodo.
  14. 14. Estructura de un inodo-Directorios: Directorios son estructurados en un árbol jerárquico. Cada directoriopuede contener archivos y subdirectorios. Son implementados como un tipoespecial de archivos. Actualmente, un directorio es un archivo conteniendo unalista de entradas. Cada entrada contiene un numero de inodo y un nombre dearchivo. Cuando un proceso usa una ruta, el código del kernel busca en sudirectorio para encontrar el numero de inodo correspondiente. Después el nombretiene que ser convertido a un numero de inodo, el inodo es cargado en memoria yes usado para futuras peticiones.Representación de un Directorio-Enlaces: El sistema de archivos UNIX implementa el concepto de enlace, Muchosnombres pueden ser asociados con un inodo. El inodo contiene un campoconteniendo el numero asociado con el archivo. Añadir un enlace simplementeconsiste en crear una entrada en el directorio, donde numero de inodo apunta alinodo, e incrementando la cuenta de enlaces en el inodo. Cuando un enlace esborrado; cuando se usa el comando “rm” para remover un archivo; el kernel
  15. 15. decrementa la cuenta de enlaces y desaloja el inodo, si la cuenta se convierte encero.Este tipo de enlaces es llamado un enlace duro y puede ser usado dentro un solosistema de archivos; es imposible crear un enlace duro entre sistemas de archivosdiferentes. Enlaces duros solo pueden apuntar a archivos: un enlace duro adirectorio no puede ser creado para prevenir la aparición de un ciclo en el árbol dedirectorios.Otro tipo de enlaces existe en la mayoría de archivos de sistemas UNIX. Enlacessimbólicos son simplemente archivos que contienen un nombre de archivo.Cuando el kernel encuentra un enlace simbólico durante una ruta a unaconversión de inodo, este reemplaza el nombre del enlace por su contenido; porejemplo; el nombre de un archivo, es decir, el nombre del archivo objetivo, yreinicia la interpretación de la ruta. Dado que un enlace simbólico no apunta a uninodo, es posible crear enlaces simbólicos entre sistemas de archivos diferentes.Enlaces simbólicos pueden apuntar a cualquier tipo de archivo, hasta archivos queno existen. Enlaces simbólicos son muy útiles porque no tienen limitacionesasociadas a los enlaces duros. Sin embargo usan el mismo espacio de disco,localizado por sus inodos y sus bloques de datos, y causa un overhead en la rutahasta la conversión de inodo porque el kernel reinicia la interpretación del nombrecuando este encuentra un enlace simbólico.-Archivos Especiales de Dispositivos: En los sistemas similares a UNIX, losdispositivos se pueden acceder mediante archivos especiales. Un Archivo deDispositivo no utiliza espacio en el sistema de archivos. Y tiene solo un punto deacceso al controlador del dispositivo. Dos tipos de archivos especiales existen:archivos especiales de carácter y bloque. El primero permite operaciones de E/Sen modo carácter mientras que el ultimo requiere que los datos sean escrito enbloques mediante funciones de un buffer de cache. Cuando una petición de E/S esrealizada sobre un archivo especial, este es redireccionado a un (pseudo)controlador de dispositivo. Un archivo especial es referido por un numero mayor, elcual identifica el tipo de dispositivo, y un numero menor, el cual identifica la unida.d. EXT3:EXT3 (third extended filesystem o "tercer sistema de archivos extendido") es unsistema de archivos con registro por diario (en inglés journaling), es un sistema dearchivo de registro por diario, por el solo hecho de tener un "espacio apartado parael buffer de journaling". este sistema el cual se encuentra creciendo enpopularidad entre usuarios del sistema operativo Linux. A pesar de su menordesempeño y escalabilidad frente a alternativas como ReiserFS o XFS, posee laventaja de permitir migrar del sistema de archivos EXT2 sin necesidad dereformatear el disco.
  16. 16. La única diferencia entre EXT2 y EXT3 es el registro por diario. Un sistema dearchivos EXT3 puede ser montado y usado como un sistema de archivos EXT2.Provee escalabilidad en el tamaño del sistema de archivos del disco Nos permitehacer mas y mas grandes sistemas de archivos sin tener la penalidad del sistemade archivos del disco La meta principal es proveer una funcionalidad plena en unasola pieza Otra de las metas es proveer total, absoluta y completa combatibilidadbackward y forward entre EXT2 y EXT3.Otra diferencia también importante, es que EXT3 utiliza un arbol binariobalanceado (AVL)e. ISO 9660 (sistema de archivos de solo lectura para CD-ROM)El estándar ISO 9660 es una norma publicada inicialmente en 1986 por la ISO,que especifica el formato para el almacenaje de archivos en los soportes de tipodisco compacto. El estándar ISO 9660 define un sistema de archivos para CD-ROM. Su propósito es que tales medios sean leíbles por diferentes sistemasoperativos, de diferentes proveedores y en diferentes plataformas, por ejemplo,MS-DOS, Microsoft Windows, Mac OS y UNIX.La norma ISO 9660 es descendiente directa de un esfuerzo de estandarizaciónmás temprano llamado HSG (acrónimo de High Sierra Group), el cual fuepropuesto por un conjunto de actores de la industria que se reunieron en 1985 enel hotel High Sierra, de Lake Tahoe, Nevada. Aunque la ISO aceptó una granmayoría de las propuestas del HSG, existen algunas diferencias menores.
  17. 17. 1.5 Redes de Computadoras:HistoriaEl concepto de trabajo en redes es probablemente tan antiguo como lo es el de lastelecomunicaciones. Imagínese por un momento, gente viviendo en la Edad dePiedra, en donde los individuos usen tambores para transmitirse mensajes.Supóngase que un hombre de las cavernas A quiere invitar a otro hombre B a unapartida de choques de piedra. Lamentablemente viven tan distantes, que a B lesería imposible escuchar el tambor de A cuando éste lo llame. ¿Qué puede hacerA para remediar esto? Él podría 1) ir caminando al sitio de B, 2) conseguir untambor más grande, o 3) pedirle a C, quien vive a mitad de camino que reenvíe elmensaje. La tercera elección es denominada Trabajo en Redes.Por supuesto, la humanidad ha avanzado un poco desde la la Edad de Piedra; yano se usan aquellos primitivos artefactos ni tenemos los mismos inconvenientesque nuestros antepasados. En la actualidad, contamos con computadoras quehablan con otras sobre una colección de cables, fibra óptica, microondas, etc. tangrande como para llenar el estadio en el partido de fútbol de los sábados. Acontinuación, se hará referencia a los conceptos y métodos que son utilizadospara llevar a cabo todo esto. Sin embargo, dejaremos de lado tanto el tema de loscables, como la parte del fútbol.En esta guía se describirán tres tipos de redes. Sin embargo, se discutirá másprofundamente TCP/IP puesto que es el protocolo más usado, ya sea en RedesLocales (Local Area Networks, LANs), o en Redes de Área Amplia (Wide AreaNetworks, WANs), como por ejemplo, Internet. También se echará un vistazo aUUCP e IPX. UUCP fue antiguamente el medio general para transportar lasnoticias y los mensajes de correo, mediante una conexión telefónica. Es menosusado en estos días, pero sigue siendo útil en muchas situaciones. El protocoloIPX es usado más frecuentemente en los entornos Novell NetWare, y se detallarácómo usarlo para conectar una máquina GNU/Linux a una red Novell. Cada unode estos protocolos de red son usados para transportar datos entre computadoras.Se discutirá aquí cómo son usados y se hará una introducción a sus principiosfundamentales.Se define una red, como una colección de nodos (del inglés hosts), capaces decomunicarse entre sí, a veces confiando en los servicios de un númerodeterminado de máquinas que se encargan de transmitir datos entre quienes quelo demanden. Los nodos son casi siempre computadoras, pero nonecesariamente; se puede pensar, sin equivocación, en terminales X o impresorasinteligentes como nodos. Por otro lado, a las pequeñas aglomeraciones de éstos,se las denomina sitios, (sites).La comunicación, sería imposible sin algún tipo de lenguaje o código. En la jergade las redes de computadoras, estos lenguajes se denominan conjuntamentecomo protocolos. No obstante, no se debería pensar aquí en lenguajes ya escritos
  18. 18. y definidos, sino más bien en el código de comportamiento altamente formalizado,que se observa en una población cuando se reúnen jefes de estado, por citar unejemplo. Así, los protocolos usados en las redes de computadoras no son másque reglas muy estrictas de intercambio de mensajes entre dos o más servidores.Redes TCP/IPLas aplicaciones modernas para trabajo en redes requieren de un sofisticado mé-todo de transporte desde una máquina a otra. Si usted administra una máquinaGNU/Linux que posea muchos usuarios, los cuales desean estar conectados si-multáneamente a un servidor remoto o a una red, necesitará un modo de accesopara que puedan compartir la conexión a la red, sin que las acciones de cada unointerfieran con las de los demás. La estrategia que un gran número de protocolosde red utilizan hoy día se llama conmutación de paquetes, (packet-switching). Unpaquete es nada más que un pequeño trozo de datos que se transfiere de una má-quina a otra a través de una red. Esta transferencia ocurre a medida que el data-grama es transmitido a través de cada enlace en la red. Una red de conmutaciónde paquetes comparte un único enlace con muchos usuarios, enviando los paque-tes alternadamente, desde un usuario a otro, a través de ese enlace.La solución que muchos sistemas Unix, (y posteriormente muchas otrasplataformas), han adoptado, se conoce como TCP/IP. Cuando se habla de redesTCP/IP, siempre estará presente el término datagrama. Técnicamente, estetérmino tiene un significado especial, pero es a menudo usado de formaintercambiable con paquete. En la siguiente sección, se echará un vistazo a losconceptos fundamentales de los protocolos TCP/IP.EthernetsEl tipo de hardware más utilizado en LANs es lo que comúnmente conocemoscomo Ethernet. Descrito de una forma simple, consta de un solo cable con losnodos unidos a él a través de conectores, clavijas o transceptores. Losadaptadores Ethernet simples, son relativamente baratos de instalar, lo que unidoa un flujo de transferencia neto de 10, 100 o hasta 1,000 Mega bits por segundo,avala gran parte de su popularidad.Las redes Ethernet se pueden clasificar en tres tipos atendiendo al grosor delcable: gruesos, finos, y de par trenzado. Los dos primeros pueden usar cablecoaxial, difiriendo en el grosor y el modo de conectar este cable a los nodos. Elcable Ethernet fino emplea conectores “BNC” con forma de T, que se pinchan enel cable y se enganchan a los conectores de la parte trasera del ordenador. Elcable Ethernet grueso requiere que se realice un pequeño agujero en el cable, yse conecte un transceptor utilizando un “conector vampiro” Luego, se podránconectar uno o más nodos al transceptor. Los cables Ethernet fino y gruesopueden alcanzar una distancia de 200 y 500 metros, respectivamente, y es por elloque se les llama también 10base-2 y 10base-5. La palabra “base” hace referencia
  19. 19. a “modulación de banda base” y significa, simplemente, que los datos quealimentan al cable, fluyen directamente sin pasar por un módem. El número que seencuentra delante de la palabra alude a la velocidad de transmisión, en Mega bitspor segundo, mientras que el número al final indica la máxima longitud que se lepuede dar al cable, en cientos de metros. El par trenzado usa un cable hecho dedos hilos de cobre. Por lo común necesitan, además, hardware adicional que seconoce como Núcleo Activo. A este Ethernet se le conoce también como 10base-T, en donde “T” significa de par trenzado. Los pares trenzados con velocidad de100 Mega bits por segundo son conocidos como 100base-T.Para agregar un nodo a una instalación Ethernet fina se deberá suspender elservicio de la red por al menos unos minutos, ya que se deberá cortar el cablepara insertar un conector. A pesar de que, por otro lado, agregar un nodo a unsistema Ethernet grueso es un poco complicado no hará, por lo general, que elservicio de la red se interrumpa. Un Ethernet de par trenzado es aún más simple.Usa un dispositivo denominado “hub,” que trabaja como un punto deinterconexión. Se pueden insertar y quitar nodos de un núcleo sin interrumpir enabsoluto, a ninguno de los demás usuarios.La mayoría de gente prefiere el Ethernet fino porque es barato: las tarjetas de PCpueden encontrarse por unos 30 dollar; americanos (algunas compañías estánliteralmente, regalándolas), y el cable por pocos centavos el metro. Sin embargo,para instalaciones de gran escala, son más apropiados el Ethernet grueso o el depar trenzado. Por ejemplo, en un principio, el Departamento de Matemáticas de laGMU decidió utilizar el cableado Ethernet grueso, ya que el gran tráfico que poseetoda la red a lo largo de su gran recorrido, no se interrumpe cada vez que seañade un nodo. Actualmente, son muy comunes los cables Ethernet de partrenzado en una gran variedad de instalaciones. Los “hubs” son ahora másaccesibles, y pequeñas unidades están disponibles a precios que son atractivos,incluso para pequeñas redes domésticas. El cable de par trenzado puede sersignificativamente más barato para grandes instalaciones. Además, el mismocable de par trenzado es mucho más flexible que los coaxiales usados por otrossistemas Ethernet. Los administradores de la red en la división de matemáticas deGMU, están planeando reemplazar su sistema por uno de par trenzado el año queviene, ya que, además de ahorrar tiempo a la hora de agregar nuevos nodos, ycambiar de lugar los viejos, también podrán ponerse al día con la tecnologíaactual.Uno de los inconvenientes de la tecnología Ethernet es su limitada longitud decable, que imposibilita cualquier uso fuera de las LANs. Sin embargo, puedenenlazarse varios segmentos de red Ethernet entre sí utilizando repetidores,puentes o encaminadores[2]. Los repetidores simplemente copian las señalesentre dos o más segmentos, de forma que todos los segmentos juntos actúancomo si fuese una única Ethernet. Debido a requisitos de tiempo, no puede habermas de cuatro repetidores entre cualquier par de nodos de la red. Los puentes yencaminadores son más sofisticados, analizan los datos de entrada y los reenvíansólo si el nodo receptor no está en la Ethernet local.
  20. 20. Ethernet funciona como un sistema de bus, donde un nodo puede mandarpaquetes (o marcos) de hasta 1500 bytes a otro nodo de la misma Ethernet. Acada nodo se le asigna una dirección de seis bytes grabada en el firmware(memoria fija) de su tarjeta Ethernet. Estas direcciones se especificangeneralmente como una secuencia de números hexadecimales de dos dígitosseparados por dos puntos, como por ejemplo aa:bb:cc:dd:ee:ff.Una trama enviada por una estación es vista por todas las demás estacionesconectadas, pero sólo el nodo destinatario la toma y la procesa. Si dos estacionesintentan emitir al mismo tiempo, se produce lo que se llama una colisión. Unacolisión en un complejo Ethernet, es detectada electrónicamente por las tarjetasde interfaz. Se resuelve por parte de las dos estaciones abortando el envío, yreintentándolo al cabo de un intervalo de tiempo tomado al azar. Seguramente sehan escuchado muchas historias que afirmen que las colisiones en un Ethernetson un problema, y que la verdadera tasa de transmisión de datos en un Ethernet,sólo ocupa un 30 por ciento del ancho de banda disponible debido a ellas. Laverdad es que las colisiones en un sistema Ethernet son un fenómeno natural. Esmás, en un sistema muy activo, no se debería sorprender al ver que las colisionestienen un índice mayor al 30 por ciento. En la práctica, el administrador de una redEthernet sólo debería preocuparse cuando la tasa de transmisión se vea limitada aaproximadamente un 60 por ciento del ancho de banda.[3]El Protocolo IP (Internet Protocol)Por supuesto, el administrador puede no querer que su red esté limitadasolamente a una Ethernet, o a un sólo enlace de datos punto-a-punto.Seguramente la idea original consistirá en poder acceder a un servidor sinimportar el hardware del que dispone. Por ejemplo, en instalaciones grandes comola Universidad de Groucho Marx, se encontrará muy a menudo con varias redesdistanciadas unas de otras, pero conectadas entre ellas de alguna manera. En laGMU, el departamento de matemáticas tiene dos Ethernets: una red de máquinasrápidas para profesores y graduados, y otra con máquinas más lentas paraestudiantes. Ambas redes están enlazadas de la red troncal FDDI del campus.Esta conexión se gestiona con un nodo dedicado, denominado pasarela, ogateway, que maneja los paquetes entrantes y salientes copiándolos entre las dosEthernets y el cable de fibra óptica. Por ejemplo, si se encuentra en elDepartamento de Matemáticas, y quiere acceder a quark situada en la LAN delDepartamento de Físicas, desde su máquina GNU/Linux, el software de red nopuede mandar paquetes a quark directamente, porque no esta en la mismaEthernet. Por tanto, tiene que confiar en la pasarela para que actúe comoretransmisor. La pasarela (llamémosla sophus) reenvía entonces estos paquetes asu pasarela homóloga niels del Departamento de Física, usando la red troncal, ypor fin niels los entrega a la máquina destino. El flujo de datos entre erdos y quarkse muestra en la Figura.
  21. 21. Los tres pasos del envío de un datagramaEste esquema de envío de datos al nodo remoto se llama encaminamiento, y eneste contexto a los paquetes se les denomina datagramas. Para facilitar las cosas,el intercambio de datagramas esta gobernado por un único protocolo que esindependiente del hardware utilizado: IP, o Internet Protocol (Protocolo deInternet).El principal beneficio del IP es su cualidad de convertir a redes físicamentediferentes en una red aparentemente homogénea. A esto se le llama interconexiónde redes, y a la resultante “meta-red” se la denomina internet. Obsérvese aquí lasutil diferencia entre una internet y la Internet. El último es el nombre oficial de unainternet global en particular.Claro que el IP también necesita un esquema de direccionamiento independientedel hardware. Esto se consigue asignando a cada nodo un número único de 32bits, denominado dirección IP. Una dirección IP está definida normalmente, por 4números en decimal, uno por cada división de 8 bits, y separados por puntos. Porejemplo, quark podría tener una dirección IP 0x954C0C04, que se escribiría como149.76.12.4. Este formato de dirección, es comúnmente llamado notación decimalde puntos, aunque también puede hacerse referencia a él como notacióncuadrangular de puntos. Sin embargo la denominación de IP, está cambiando delnombre de IPv4, (por Internet Protocol, Version 4), a un nuevo estándar llamadoIPv6 que ofrece mucha más flexibilidad a la hora de direccionar y otras mejorasmodernas. Pasará por lo menos un año tras esta edición, antes de que IPv6empiece a ser usado.Se dará cuenta de que ahora tenemos tres tipos distintos de direcciones: primero,tenemos el nombre del nodo, como por ejemplo quark, después tenemos lasdirecciones IP, y por fin están las direcciones hardware, como la direcciónEthernet de 6 bytes. De alguna forma todas ellas deben relacionarse, de modo
  22. 22. que cuando se escriba rlogin quark, se le pueda pasar la dirección IP de quark alsoftware de red; y cuando el nivel IP envíe datos a la Ethernet del Departamentode Físicas, de algún modo tenga cómo encontrar a que dirección Ethernetcorresponde la dirección IP.El Protocolo de Control de Transmisión, TCPPero la historia no se acaba con el envío de datagramas de un nodo a otro. Si seregistra en quark, necesita disponer de una conexión fiable entre su proceso rloginen erdos y el proceso del intérprete de órdenes en quark. Así, la informaciónenviada en uno u otro sentido debe dividirse por paquetes en el origen, y serreensamblada en un flujo de caracteres por el receptor. Esto que parece trivial,implica varias tareas complejas.Una cosa importante a saber sobre IP es que, por sí sólo, no es fiable. Supongaque diez personas de su Ethernet comienzan a transferirse la última versión delcódigo fuente del Navegador web Netscape, usando el servidor FTP de GNU. Lacantidad de tráfico generada por esto podría ser excesiva para la pasarela, por serdemasiado lenta, o tener poca memoria. Si en ese momento Ud. enviara unpaquete a quark, sophus podría tener agotado el espacio del búfer durante uninstante y por tanto no seria capaz de reenviarlo. IP resuelve este problemasimplemente descartando el paquete el cual se pierde irrevocablemente. Estotraslada, por consiguiente, la responsabilidad de comprobar la integridad yexactitud de los datos a los nodos extremos, y su retransmisión en caso de error.De este proceso se encarga otro protocolo: el Protocolo de Control deTransmisión, (TCP, Transmission Control Protocol), que construye un serviciofiable por encima de IP. La propiedad esencial de TCP es que usa IP para dar alusuario la impresión de una conexión simple entre los procesos en su equipo y lamáquina remota, de modo que no tiene que preocuparse de cómo y sobre elrecorrido de los datos a través de la ruta por la que viajan. Una conexión TCPfunciona básicamente como una tubería de doble sentido, en la que ambosprocesos pueden escribir y leer; Se puede usar la analogía de una conversacióntelefónica para comprender el funcionamiento de este protocolo.TCP identifica los extremos de una conexión específica por las direcciones IP delos dos nodos implicados, y el número de los puertos de cada nodo. Los puertosse pueden ver como puntos de enganche para conexiones de red. Para seguirutilizando el ejemplo del teléfono un poco más, si pensamos en una analogía entrelas ciudades como nodos, se puede comparar las direcciones IP con los prefijosde área (los números representarían ciudades), y los números de puerto con loscódigos locales (números que representan teléfonos de personas concretas). Unnodo en particular puede soportar diferentes servicios, cada uno diferenciado porsu propio número de puerto.
  23. 23. En el ejemplo con rlogin, la aplicación cliente (rlogin) abre un puerto en erdos y seconecta al puerto 513 de quark, en el cual se sabe que el servidor rlogind estáescuchando. Esto establece una conexión TCP. Usando esta conexión, rloginddesempeña el procedimiento de autorización para luego, generar un servicio deontérprete de órdenes. La entrada y salida estándar de la shell se redirigen a laconexión TCP, de tal forma que cualquier cosa que se teclee a rlogin en nuestramáquina será pasada al flujo TCP para ser luego transmitida a la entrada estándardel intérprete de órdenes.El Protocolo de Datagramas de UsuarioSin embargo, TCP no es el único protocolo de usuario en redes TCP/IP. Aunqueadecuado para aplicaciones como rlogin, la sobrecarga que impone es prohibitivapara aplicaciones como NFS, la cual utiliza un protocolo derivado de TCP llamadoUDP, o User Datagram Protocol (Protocolo de Datagramas de Usuario). De igualmodo que TCP, UDP permite que una aplicación contacte con un servicio en unpuerto concreto de la máquina remota, pero no establece una conexión para ello.En cambio, se puede usar para enviar paquetes sueltos al servicio destino - de ahísu nombre.Supóngase que se ha solicitado una pequeña cantidad de información de unservidor de base de datos. Esto tomará, al menos tres datagramas para establecerla conexión TCP, otros tres para enviar y confirmar la cantidad de datos y otrostres para cerrar la conexión. UDP nos facilita el hacer la mayor parte de todo esto,pero solamente usando dos datagramas. Este protocolo es caracterizado por tenerun método de conexión y desconexión mucho más rápido, y no requiere que elusuario establezca y cierre una conexión. El mecanismo es simple: UDP colocalos datos en un datagrama y lo envía al servidor. Éste realiza un proyecto delreenvío, poniendo los datos dentro de un datagrama direccionado a nuestramáquina, y luego lo transmite. Mientras que este procedimiento es más rápido ymás eficiente que el de TCP para transacciones simples, UDP no fue construidopara tratar con posibles pérdidas de datos. Lidiar con estas dificultades dependeráde la aplicación en cuestión.Más sobre PuertosLos puertos se pueden ver como puntos de anclaje para conexiones de red. Si unaaplicación quiere ofrecer un cierto servicio, se engancha ella misma a un puerto yespera a los clientes (a esto también se le llama escuchar en el puerto). Un clienteque quiera usar este servicio se asigna un puerto libre en su nodo local, y seconecta al puerto del servidor en el nodo remoto. El puerto del servidor podrá serabierto por diferentes máquinas, pero nunca podrán usarlo más de una al mismotiempo.Una propiedad importante de los puertos es que, una vez que se ha establecidouna conexión entre el cliente y el servidor, otra copia del servidor puedeengancharse a su mismo puerto y aguardar a otros clientes. Esto permite, por
  24. 24. ejemplo, varios accesos remotos simultáneos al mismo nodo, usando todos ellosel mismo puerto 513. TCP es capaz de distinguir unas conexiones de otras, ya quetodas ellas provienen de diferentes puertos o nodos. Por ejemplo, si accede dosveces a quark desde erdos, el primer cliente rlogin usará el puerto local 1023, y elsegundo el 1022. Sin embargo, ambos se conectarán al mismo puerto 513 dequark. Las dos conexiones se distinguirán según el puerto que cada una use enerdos.Este ejemplo muestra el uso de puertos como puntos de encuentro, donde uncliente se contacta con un puerto específico para obtener un servicio específico.Para que un cliente pueda conectarse al número de puerto correcto, se ha tenidoque llegar a un acuerdo entre los administradores de los dos sistemas para definirla asignación de estos números. Para servicios ampliamente usados, como rlogin,estos números tienen que administrarse de modo universal. Esto lo realiza el IETF(o Internet Engineering Task Force), que regularmente publica un RFC (RequestFor Comment) denominado Assigned Numbers (Números Asignados, RFC-1700).Describe, entre otras cosas, los números de puerto asignados a serviciosreconocidos. GNU/Linux utiliza un archivo para hacer corresponder los nombrescon números, llamado /etc/services.Merece la pena indicar que aunque las conexiones TCP y UDP se basan enpuertos, estos números no entran en conflicto. Esto significa que el puerto TCP513, por ejemplo, es diferente del puerto UDP 513. De hecho, estos puertos sirvencomo puntos de acceso para dos servicios diferentes, como rlogin (TCP) y rwho(UDP).1.4 Internet:Internet es una red de redes a escala mundial de millones de computadorasinterconectadas con el conjunto de protocolos TCP/IP. También se usa estenombre como sustantivo común y por tanto en minúsculas para designar acualquier red de redes que use las mismas tecnologías que la Internet,independientemente de su extensión o de que sea pública o privada.Al contrario de lo que se piensa comúnmente, "Internet" no es sinónimo de WorldWide Web. Ésta es parte de aquella, siendo la World Wide Web uno de losmuchos servicios ofertados en la red Internet. La Web es un sistema deinformación mucho más reciente (1995) que emplea la red Internet como medio detransmisión.Algunos de los servicios disponibles en Internet aparte de la Web son el accesoremoto a otras máquinas (telnet y SSH | ssh), transferencia de archivos (FTP),correo electrónico (SMTP | e-mail), boletines electrónicos (NNTP | news o gruposde noticias), conversaciones en línea (IRC|chat), mensajería instantánea (ICQ,YIM, Jabber), etcétera.
  25. 25. Historia de InternetA finales de 1972 se realizó la primera demostración pública de ARPANET, unanueva red de comunicaciones financiada por la DARPA que funcionaba de formadistribuída sobre la red telefónica conmutada. El éxito de esta nueva arquitecturasirvió para que, en 1973, la DARPA iniciara un programa de investigación sobreposibles técnicas para interconectar redes (orientadas al tráfico de paquetes) dedistintas clases. Para este fin, desarrollaron nuevos Protocolo|protocolos decomunicaciones que permitiesen este intercambio de información de forma"transparente" para los ordenadores conectados. De la filosofía del proyecto surgióel nombre de "Internet", que se aplicó al sistema de redes interconectadasmediante los protocolos TCP IP|TCP e IP.El 1 de enero de 1983 ARPANET cambió el protocolo NCP por TCP/IP. Esemismo año, se creó el IAB con el fin de estandarizar el protocolo TCP/IP y deproporcionar recursos de investigación a Internet. Por otra parte, se centró lafunción de asignación de identificadores en la IANA que, más tarde, delegó partede sus funciones en el IR que, a su vez, proporciona servicios a los DNS.En 1986 la NSF comenzó el desarrollo de NSFNET que se convirtió en la principalred troncal de Internet, complementada después con las redes NSINET y ESNET,todas ellas en EE.UU. Paralelamente, otras redes troncales en Europa, tantopúblicas como comerciales, junto con las americanas formaban el esqueletobásico ("backbone") de Internet.A partir de 1989, con la integración de los protocolos OSI en la arquitectura deInternet, se inició la tendencia actual de permitir no sólo la interconexión de redesde estructuras dispares, sino también la de facilitar el uso de distintos protocolosde comunicaciones.El protocolo de transferencia de archivos (FTP o File Transfer Protocol) es elprotocolo estándar en la red para efectuar transferencias de archivos de unservidor a un ordenador o entre ordenadores.En 1989 también, en el CERN de Ginebra, un grupo de Físicos encabezado porTim Berners-Lee, crearon el lenguaje HTML, basado en el SGML. En 1990 elmismo equipo construyó el primer cliente Web, llamado WorldWideWeb (WWW), yel primer servidor web.Actualmente Internet incluye aproximadamente 5000 redes en todo el mundo ymás de 100 protocolos distintos basados en TCP/IP, que se configura como elprotocolo de la red.En algunos países el acceso a Internet está restringido únicamente a entidadesgubernamentales y empresas extranjeras o fuertemente controlado por el estado.
  26. 26. Internet2 es un consorcio de universidades estadounidenses y empresastecnológicas con el objetivo de crear nuevos protocolos y aplicaciones quemejoren el rendimiento y la calidad que se consigue en la actual Internet. Losmiembros de Internet2 han creado la Red Abilene con estas tecnologías. Esta reda menudo se denomina de manera informal, Internet2.Uso de Internet en SudAmerica1.5 Informática o Computo Forense:Computo Forense es sobre la evidencia de computadoras la cual es suficienteconfiable para ser presentada en un juzgado. Es un conjunto de técnicasespecializadas que tiene como finalidad la reconstrucción de hechos pasadosbasados en los datos recolectados, para lo cual se procesa la información quepueda ser usada como evidencia en un equipo de cómputoComputo Forense, es refiere como Análisis de Computo forense, Hallazgoelectrónico, Hallazgo de evidencia electrónica, hallazgo digital, Recuperación deDatos, Hallazgo de Datos, Análisis de Computadoras, y examen de computadoras.1.6 El Investigador Forense:El Perito Forense debe ser un experto en su campo, y ante una juzgado puedeser consultado sobre sus logros personales; Educación recibida y grados
  27. 27. realizados, entrenamiento profesional recibido, Certificaciones, detalle de suexperiencia, casos en los que haya testificado como experto.1.7 Seguridad Física y Lógica:Seguridad Física:La seguridad física de los sistemas informáticos consiste en la aplicación debarreras físicas y procedimientos de control como medidas de prevención ycontramedidas contra las amenazas a los recursos y la información confidencial.Más claramente, por “seguridad física” podemos entender todos aquellasmecanismos generalmente de prevención y detección destinados a protegerfísicamente cualquier recurso del sistema; estos recursos son desde un simpleteclado hasta una cinta de backup con toda la información que hay en el sistema,pasando por la propia CPU de la máquina.Protección del Hardware:Acceso FísicoDesastres NaturalesDesastres del entornoProtección de Datos:InterceptaciónCopias de Seguridad (backups)Otros elementosSeguridad Lógica:La Seguridad Lógica consiste en la aplicación de barreras y procedimientos queresguardan el acceso a los datos y sólo permiten acceder a ellos a las personasautorizadas para hacerlo.Existe un viejo dicho en la seguridad informática que dicta: "lo que no estápermitido debe estar prohibido" y esto es lo que debe hacer ésta seguridad lógica.Los objetivos para conseguirlo son:Restringir el acceso (de personas de la organización y de las que no lo son) a losprogramas y archivos.Asegurar que los operadores puedan trabajar pero que no puedan modificar losprogramas ni los archivos que no correspondan (sin una supervisión minuciosa).
  28. 28. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por elprocedimiento elegido.Asegurar que la información transmitida sea la misma que reciba el destinatario alcual se ha enviado y que no le llegue a otro.Asegurar que existan sistemas y pasos de emergencia alternativos de transmisiónentre diferentes puntos.1.8 Hackers, Crackers, definiciones:- Hacker: (del inglés hack, recortar), también conocidos como white hats(sombreros blancos) o black hats (sombreros negros), según una clasificaciónde sus acciones (según sean solo destructivas o no, etc.). Su entendimientoes más sofisticado y profundo respecto a los Sistemas informáticos, ya sea detipo hardware o software. El término "Hacker" trasciende a los expertosrelacionados con la informática, para también referirse a cualquier profesionalque está en la cúspide de la excelencia en su profesión, ya que en ladescripción más pura, un "Hacker" es aquella persona que le apasiona elconocimiento, descubrir o aprender nuevas cosas y entender elfuncionamiento de éstas. En definitiva, la versión actual del filósofo.- Cracker: El término deriva de la expresión "criminal hacker", y fue creadoalrededor de 1985 por contraposición al termino hacker, en defensa de estosúltimos por el uso incorrecto del término. Se considera que la actividad de estaclase de cracker es dañina e ilegal. También se denomina cracker a quiendiseña o programa cracks informáticos, que sirven para modificar elcomportamiento o ampliar la funcionalidad del software o hardware original alque se aplican, sin que en absoluto pretenda ser dañino para el usuario delmismo.- Phreaker: Un phreaker es una persona que interfiere en los sistemastelefónicos, de forma ilegal, mediante el uso de tecnología para poder obteneralgún tipo de beneficio. El término proviene de las palabrasphone+phreak+hacker (telefono+loco+hacker) y surgió en los Estados Unidosen los años 60. Durante muchos años los phreakers usaron las llamadasboxes, artefactos que provocaban diversas anomalías en la línea telefónica,estos dispositivos se conocen por un color identificativo -blue boxes, blackboxes, beige boxes. En la actualidad, los phreakers tienen también comoblanco a la telefonía móvil y a las tecnologías inalámbricas.- Malware: La palabra malware proviene de una agrupación de las palabrasmalicious software. Este programa o archivo, que es dañino para el ordenador,está diseñado para insertar virus, gusanos, troyanos o spyware intentando
  29. 29. conseguir algún objetivo, como podría ser el de recoger información sobre elusuario o sobre el ordenador en sí.Virus: Los virus informáticos utilizan una variedad de portadores. Los blancoscomunes son los archivos ejecutables que son parte de las aplicaciones, losdocumentos que contienen macros, y los sectores de arranque de los discosde 3,1/2 pulgadas.Gusanos (worms): Los gusanos informáticos son similares a los virus, pero losgusanos no dependen de archivos portadores para poder contaminar otrossistemas. Estos pueden modificar el sistema operativo con el fin de autoejecutarse como parte del proceso de inicialización del sistema. Paracontaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivoo utilizan algún tipo de ingeniería social para engañar a los usuarios y poderseejecutar.Caballos de Troya: Un programa caballo de troya es una pieza de softwaredañino disfrazado de software legítimo. Los caballos de troya no son capacesde replicarse por si mismos y pueden ser adjuntados con cualquier tipo desoftware por un programador o puede contaminar a los equipos por medio delengaño. Una puerta trasera es un software que permite el acceso al sistemade la computadora ignorando los procedimientos normales de autenticación.SpyWare: El spyware es todo aquel software que recolecta y envíainformación de los usuarios. Normalmente trabajan y contaminan sistemascomo lo hacen los caballos de troya.1.9 Conceptos de criptografía:La palabra criptografía deriva del griego kryptos (ocultar) y grafos (escribir), lo cualpuede traducirse como escritura oculta, la criptografía es el arte o ciencia de cifrary descifrar información utilizando técnicas que hagan posible el intercambio demensajes de manera que sólo puedan ser leídos por las personas a quienes vandirigidos.La criptografía es la ciencia que estudia la transformación de un determinadomensaje en un código de forma tal que a partir de dicho código solo algunaspersonas sean capaces de recuperar el mensaje original. En general se utilizapara ello una palabra clave o password con la cual se cifra el mensaje, el códigoresultante solamente puede ser descifrado por aquellos que conozcan elpassword.La criptografía es una actividad muy antigua: Ya en la época de los griegos sesupone que existían métodos para codificar los mensajes que se enviaban a lastropas en regiones alejadas, sin embargo, el primer criptosistema del cual setienen pruebas de su existencia fue utilizado en la época del imperio romano y se
  30. 30. llamaba CAESAR el sistema era utilizado por Julio Cesar para enviar mensajescifrados a sus allegados mas cercanos, hablaremos del criptosistema CAESARmuy pronto.Junto a la criptografía coexiste necesariamente otra disciplina: el criptoanálisis,mientras que los criptógrafos se encargan de desarrollar criptosistemas cada vezmas seguros y difíciles de descifrar los criptoanalistas tratan de romper uncriptosistema obteniendo el mensaje a partir del código cifrado. De estos dosbandos con objetivos diametralmente opuestos siempre se afirma que alguno delos bandos es el lado bueno y el otro inevitablemente los chicos malos estosroles se pueden intercambiar indefinidamente dependiendo de la situación y elcontexto en el cual estudiemos el tema. En este texto desarrollaremos la teoríaoperativa y técnicas mas habituales tanto de los criptógrafos como de loscriptoanalistas.Lamentablemente la criptografía y su ciencia paralela el criptoanálisis sondisciplinas que experimentan marcados avances en épocas de guerra, allí esnecesaria la comunicación de estrategias, planes tácticos e informes supersecretos entre las distintas fuerzas de cada bando de forma tal que si el código esinterceptado por un eventual enemigo este no pueda hacerse de la informaciónque se envío. La criptografía experimenta su mayor avance durante el transcursode la segunda guerra mundial en donde adquiere un protagonismo singular, allí, elcriptosistema de la maquina alemana Enigma es roto por los criptoanalistas delas fuerzas aliadas siendo éste un factor que contribuyo en gran medida a lavictoria final de los aliados. En este caso los criptógrafos alemanes eran losmalos y los criptoanalistas aliados eran los buenos, pero si nosotros queremosenviar un mensaje secreto a alguien y el mismo resulta publicado en un diariovamos a pensar que los criptoanalistas son personas sumamente viles. Comovemos todo depende de la situación.Afortunadamente la criptografía experimenta su segundo gran auge con lamasificación de las comunicaciones digitales y el advenimiento de la era de lascomputadoras. Hoy en día suele ser necesario enviar y recibir mensajes a travésde Internet de forma tal que el mensaje solo pueda ser entendido por algunapersona en particular, por ejemplo si enviamos nuestro numero de tarjeta decrédito queremos que lo obtenga solamente el vendedor y no algún criptoanalistapakistaní que pasaba por allí. En los últimos años la criptografía se ha convertidoen una ciencia de enorme importancia y a la cual se le destina cada vez untratamiento más serio y más científico de forma tal de lograr comunicacionesseguras. Como veremos esto no es una tarea para nada sencilla.a Conceptos de Seguridad en computadoras digitales:Uno de los puntos que siempre estuvo en discusión sobre el almacenamiento deinformación en computadoras digitales, fue la seguridad de los mismos frente aposibles miradas indiscretas, desde que la primera computadora hizo su aparición
  31. 31. en alguna organización militar o gubernamental la necesidad de resguardar lainformación allí almacenada se hizo evidente.Para proteger la información almacenada se suele recurrir a las denominadastécnicas de encriptación, la encriptación consiste básicamente en convertir unmensaje en otro de forma tal que el mensaje original solo pueda ser recuperadopor un determinado grupo de personas que saben como "desencriptar" el mensajecodificado. El esquema básico de encriptación implica la utilización de unpassword para encriptar de forma tal que solo puedan desencriptar el mensajeaquellos que conocen el password utilizado, esto trae varios problemas comoveremos mas adelante.Con el advenimiento de Internet y la masificación absoluta de las comunicacionesla privacidad de los datos se ha vuelto un tema muy en boga en los últimostiempos, originando todo tipo de problemas que involucran desde el mas simple einocente usuario de internet hasta las mas altas organizaciones gubernamentalesdel planeta.En el mundo de las computadoras la criptografía puede ser utilizada para variascosas, algunas áreas importantes en donde se utiliza la criptografía son:. La encriptación de información critica que debe ser almacenada encomputadoras, actos gubernamentales, informaciones secretas, etc.. La encriptación de mensajes enviados a través de redes, redes locales, redespublicas e internet.. La certificación de identidad de quienes envían mensajes importantes a través deinternet.. Protección de información delicada que deba enviarse a través de internetcomo, por ejemplo, números de tarjetas de crédito.. Encriptación de comunicaciones telefónicas, radiales o televisivas que puedenser interceptadas.b.Encriptación de Datos:Las técnicas de encriptación suelen dividir a los algoritmos en dos grupos: losalgoritmos de clave privada y los algoritmo de clave publica. A los algoritmos declave privada se los llama también algoritmos de encriptación simétricos mientrasque los de clave pública suelen denominarse algoritmos antisimétricos.c.Algoritmos de Clave Simétrica:Los algoritmos de clave simétrica, también llamados de clave secreta o privada,son los algoritmos clásicos de encriptación en los cuales un mensaje es encriptadoutilizando para ello una cierta clave sin la cual no puede recuperarse el mensajeoriginal.El esquema básico de los algoritmos de clave simétrica es:
  32. 32. MENSAJE + CLAVE = CÓDIGO (encriptación)CÓDIGO + CLAVE = MENSAJE (desencriptación)Esto se lleva a cabo sustituyendo porciones del mensaje original por porciones demensaje encriptado usando la clave. La sustitución puede ser de varias formas:Monoalfabética:Cuando se encripta, cada caracter encriptado corresponde a un caracter delmensaje original y viceversa.Homofónica:Cuando un caracter de texto original se encripta en varios caracteres del textoencriptado.Poligráfica:Cuando n caracteres del mensaje original generan n caracteres del mensajeencriptado.Polialfabética:Cuando n caracteres del texto original se encriptan en m caracteres del textoencriptado (m≠n) .Cabe destacar que la sustitución poligráfica y la sustitución homofónica son casosparticulares de la sustitución polialfabética.CriptosistemasDefiniremos a un criptosistema como un conjunto de tres elementos:.Un espacio de mensajes: PT que es la colección de todos los posibles mensajespt que pretendemos enviar..Un espacio de claves K. Cada clave k determina un método de encriptación Ek yun método de desencriptado Dk. De forma tal que Ek(pt) = código y Dk(código)=pt..Un espacio de códigos: CT que es la colección de todos los posibles códigos ct.Sistemas Monoalfabéticos y polialfabéticos:Un algoritmo de encriptación por clave privada es monoalfabético si cadaocurrencia de un mismo caracter en el mensaje original es reemplazada siemprepor un mismo caracter en el código cifrado.Un algoritmo de encriptación por clave privada es polialfabético si cada ocurrenciade un mismo caracter en el mensaje original es reemplazada por distintoscaracteres en el código cifrado.
  33. 33. Desarrollaremos a continuación algunos de los criptosistemas de clave privadamas conocidos, desde los más básicos hasta los más complejos.Criptosistema CaesarCriptosistema HillCriptosistema AfinesCriptosistema PlayfairCriptosistema DESDeficiencia de los Algoritmos de clave privada:Los algoritmos de clave privada pueden construirse tan eficientes como se deseeutilizando passwords mas y mas largos, sin embargo por mas largo que sea elpassword estos algoritmos presentan una vulnerabilidad evidente: el password.En un esquema de encriptación por clave privada todo aquel que conozca elpassword es capaz de desencriptar un mensaje, de aquí que a veces, es masimportante estudiar como proteger el password que como trabaja el algoritmoelegido. Además, muchas veces es necesario transmitir, o enviar el password aalguna persona por lo que será necesario a su vez encriptar el passwordingresando en un loop infinito.Muchas veces el password es tan vulnerable que los criptoanalistas no semolestan en descifrar el código interceptado sino que directamente intentanaveriguar el password. Uno de los ejemplos mas habituales consiste en averiguarpasswords que permiten el acceso a determinados sistemas: cuentas bancarias,computadoras, computadoras donde se guardan otros passwords, etc. Acontinuación mencionamos algunas de las técnicas mas utilizadas para robo depasswords..Shoulder Surfing:Esta técnica es la más básica y consiste en merodear a aquellas personas queconocen el password que se quiere averiguar intentando ver si se consiguevisualizar el momento en que el password es tipeado en un teclado o escrito enalgún papel, variantes más modernas de esta técnica incluyen programasresidentes que monitorean las teclas que se oprimen en el teclado, cámaras queregistran lo que se tipea desde un punto elevado, etc. La forma mas elemental escomo su nombre lo indica observar por encima del hombro de la persona que tipeael password, parece tonto pero se utiliza muchísimo..Caballos de Troya:Los caballos de Troya son programas que se diseñan con el fin específico derobar passwords. El programa es introducido en una computadora y lo que hacees simplemente cada vez que es ejecutado pedirle el password al usuario y si estelo tipea (grave error) guardarlo en un archivo. Luego lo único que hay que hacer es
  34. 34. cada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya hapescado. Una de las reglas de seguridad mas importantes que establecen losadministradores de sistemas es adiestrar a los usuarios para que JAMAS ingresensu password una vez que se han logoneado en el sistema, además suele serrecomendable resetear la terminal antes de logonearse al sistema por si el usuarioanterior dejo andando un caballo de Troya que imita al programa de login..Ingeniería Social:Esta disciplina puede parecer ridícula pero es la más exitosa en cuanto a robo depasswords. La Ingeniería Social consiste en conseguir que una persona,simplemente, le diga su password a otra. Las técnicas son de lo mas variadas:llamados telefónicos pidiendo el password pues se cayó un disco y hay quebackupear la información de cada usuario, pedidos de password paraverificaciones rutinarias, encuestas a ver quien tiene el password mas seguro(!!!!), etc, etc...Aunque parezca mentira hay personas realmente especializadas en este tipo deataques.La importancia del mensaje:Contrariamente a lo que se cree habitualmente, la fuerza de un criptosistema declave privada no reside únicamente en el algoritmo utilizado, o en la longitud de laclave sino que depende, también, del mensaje a enviar. Hay mensajes que porsus características propias serán mas fáciles de descifrar que otros, dado unmismo criptosistema, por lo tanto a la hora de enviar un texto ultra-secretodebemos tener en cuenta varios factores relacionados con el mensaje en sí.Recomendaciones a la hora de escribir un texto altamente critico que deba serencriptado por clave privada:.No utilizar espacios en blanco, escribir todo el texto de corrido. Cualquier caracterde alta probabilidad de ocurrencia, como por ejemplo los espacios en blanco, sonun punto débil en el mensaje aun cuando se utilice un esquema polialfabético..Si es muy necesario separar las palabras del mensaje a enviar, utilizar cualquiercaracter elegido arbitrariamente en reemplazo del espacio en blanco..Escribir con mucho cuidado el texto intentando que la distribución de cadacaracter utilizado en el texto sea lo mas pareja posible, esto es de granimportancia, evitar el uso de uno o mas caracteres en forma predominante, usarpalabras sinónimos, o incluir faltas de ortografía y sintaxis si es necesario. Escribirpor ejemplo salujdhos pedfdro que puede ser entendido fácilmente cuando sedescifra el código pero podría llegar a complicar sensiblemente el criptoanálisis.
  35. 35. .Empezar algunas palabras con caracteres que no tengan sentido alguno comopor ejemplo la llave que cierra } o un punto y coma ;, esto puede desalentarvarios intentos criptoanalíticos correctamente orientados..Escribir algunas palabras al revés o con todas las vocales al final y lasconsonantes al principio, una especie de doble codificación.Por ejemplo: sldsauo qrdueio pdreo quiere decir saludos querido pedro.Los criptoanalistas que consideren como factor cierto la alternancia de vocales yconsonantes en un texto tendrán problemas para descifrar nuestro mensaje. Enalgunas palabras se pueden poner todas las vocales al final y en otras todas alprincipio..Jamas utilizar dos veces la misma palabra en un texto, aun en sistemaspolialfabéticos esto constituye una debilidad.-Escribir todos los mensajes de la forma mas breve que sea posible, evitar el usode artículos salvo que sean estrictamente necesarios para comprender el texto.Las chances de éxito de un buen criptoanálisis aumentan vertiginosamente amedida que se consigue mas información sobre el mensaje a descifrar.d. Sistemas de clave pública:Los sistemas de encriptación de datos por clave publica han revolucionado elmundo de la criptografía y se han impuesto ampliamente en el mercado de lascomunicaciones, la idea aunque sencilla recién surgió en la década del 70, losexpertos en criptografía no logran ponerse de acuerdo en cual fue el motivo quedemorara tanto el surgimiento de este tipo de sistema de encriptación.La idea de los sistemas de clave publica es sencilla: cada usuario genera 2 (dos)claves: una publica y una privada, el usuario debe conservar su clave privada asalvo mientras que la clave publica es distribuida en forma masiva.El juego de claves funciona de la siguiente forma: los mensajes que sonencriptados con la clave publica de un usuario solo pueden ser desencriptadoscon la clave privada del mismo.El algoritmo de encriptación es publico, de forma tal que cualquiera puedaencriptar un mensaje, el algoritmo de desencriptación debe de forma tal que sin laclave privada sea muy difícil desencriptar el código mientras que con la claveprivada esto es una tarea sencilla. Todos los algoritmos de encriptación por clavepublica se basan en algún problema en general de tipo matemático de cuyotiempo de resolución no pueda establecerse una cota inferior.RSA:
  36. 36. El algoritmo de clave publica más probado y utilizado en todo el mundo es elalgoritmo RSA, denominado así debido a sus autores: Rivest, Shamir y Adleman.Está basado en una idea asombrosamente sencilla de la teoría de números yhasta la fecha ha resistido todo tipo de ataques criptoanalíticos.La idea es simple: dados dos números primos p y q muy grandes es sencillo apartir de p y q hallar su producto (p*q) pero es un problema muy complejo a partirdel producto hallar los números p y q en cuestión. Si bien hasta el momento no seha podido demostrar que la factorización prima de un numero es un problema NP-complejo, todos los intentos realizados para factorizar un número en forma velozhan fracasado.Criptoanálisis:Las técnicas criptoanalíticas más utilizadas contra el RSA, aunque sin éxito,consisten en intentar factorizar el numero "n" que se distribuye en la clave publicaaveriguando de esta forma los números p y q. Debido a que no existen algoritmoseficientes para factorizar un número, el problema de descomponer un numero muygrande insume un tiempo tan elevado que los ataques mas sofisticados contra elRSA han fallado (o casi...)El algoritmo RSA sin embargo presenta una vulnerabilidad: hay una leyenda queindicaría que el algoritmo es vulnerable. Y la clave de todo se la ha llevado a latumba (una vez más) el misterioso Fermat.PGP (Prett Good Privacy):En esta sección analizamos el programa más utilizado para encriptar ydesencriptar datos mediante algoritmos de clave publica. El PGP se utiliza eninternet y en casi todas las redes de mensajería cada vez que quiere transmitirseinformación privada.PGP es un producto de distribución libre, es distribuido con sus fuentes y sudistribución le ha causado a su autor Philip Zimmerman más de un problema comoveremos más adelante.PGP trabaja con el algoritmo RSA utilizando claves de 256,512 o 1024 bytessegún el nivel de seguridad que se necesite, las claves de 1024 bytes superanampliamente los mas estrictos requisitos militares sobre seguridad criptográfica.PGP genera las claves públicas y privadas del usuario utilizando un algoritmo muyavanzado de pseudoaleatorización que mide los tiempos transcurridos entre lo quese tipea en un teclado. (PGP solicita al usuario que tipee durante un cierto tiempoen la pantalla) o los movimientos del mouse (se solicita al usuario que lo muevaaleatoriamente durante cierto tiempo).
  37. 37. La clave publica queda grabada en el disco y lista para ser distribuida, la claveprivada se almacena también en el disco, PGP en sus manuales destaca que elacceso a la computadora donde se almacena la clave privada debe restringirse enforma drástica pues el conseguir la clave privada anula todo el sistema, el autorrecomienda el uso de dispositivos que distorsionen las señales de radio en elambiente donde reside la computadora pues existen dispositivos ultra-avanzadosde las agencias gubernamentales que permiten leer la información de un disco adistancia mediante ondas de radio (!!).Las claves publicas que nos envían otros usuarios son almacenadas en unconjunto de claves publicas (Public-key-ring) sobre el cual se pueden realizaraltas, bajas y modificaciones.Cuando un usuario le envía a otro su clave pública, por ejemplo a través deinternet, el usuario que recibe la clave suele querer chequear que la clave publicarecibida sea la del usuario que el quiere y no cualquier otra. Para ello PGP permiteextraer de cada clave publica un numero conocido como FINGERPRINT elFingerprint puede ser chequeado telefónicamente o personalmente, y si coincidepuede certificarse que la clave publica es de quien dice ser. (Cualquier cambio enla clave publica modifica el Fingerprint). El fingerprint se calcula hasheando laclave publica.PGP dispone de varias opciones interesantes:Envío del mensaje en forma clásica:Este esquema sigue el mecanismo clásico de la encriptación por clave publica, elmensaje es encriptado usando la clave publica de un determinado usuario deforma tal que solo pueda ser desencriptado por la clave privada del mismo.Certificación de mensajes:Esta es una utilidad muy recomendable, y sirve para que un usuario firme unmensaje de forma tal que se pueda autenticar su autoría. Lo que hace el PGP esprimero extraer un concentrado del mensaje sometiéndolo a una función dehashing, luego el concentrado es encriptado con la clave privada del usuario yagregado al final del mensaje. Cuando el mensaje es recibido por un usuario lafirma digital es desencriptada usando la clave pública del usuario y luego elmensaje es sometido a la función de hashing, si el concentrado coincide con elconcentrado desencriptado del mensaje entonces el mensaje fue escrito por quiendice ser, de lo contrario o bien fue escrito por otra persona o bien fue modificado eltexto del mensaje.Los mensajes certificados a su vez pueden ser encriptados para que solo puedanser leídos por una cierta persona.Notar que la certificación utiliza el juego de claves en forma inversa al uso normalde las mismas.
  38. 38. Mensaje solo para tus ojos:Esta opción del PGP permite encriptar un mensaje para una cierta persona deforma tal que cuando esta lo desencripte usando su clave privada el texto delmensaje solo se pueda ver en pantalla y no pueda ser grabado en un archivo, estaopción otorga una seguridad extra a quien envía el mensaje y tiene miedo que elusuario que lo recibe lo trate en forma descuidada dejándolo por allí.Borrado especial del archivo a encriptar:Cuando se quiere encriptar un mensaje muy critico que esta escrito en un archivo,PGP dispone de la opción de eliminar el archivo original del disco una vezencriptado. PGP no utiliza un borrado común del archivo sino que sobreescribe elárea del disco con sucesivas pasadas de unos, ceros y unos y ceros alternados enforma random, esto lo hace varias veces. El algoritmo de borrado del PGPasegura que la información no podrá ser recuperada del disco. (Si el algoritmo noes lo suficientemente seguro el análisis de trazas magnéticas del disco puedepermitir recuperar la información).PGP es un programa sumamente seguro y es utilizado en todo el mundo para elenvío de e-mail en forma segura y la certificación de mensajes de importancia.e. Criptografía Cuántica:La criptografía cuántica es una nueva área dentro de la criptografía que hace usode los principios de la física cuántica para transmitir información de forma tal quesolo pueda ser accedida por el destinatario previsto.Para poder llegar a explicar los detalles de la criptografía cuántica se necesitanestablecer algunos conceptos básicos de criptografía y física cuántica que seránde ayuda para la comprensión del tema. Pero antes que nada se expone elproblema que la criptografía cuántica intentará solucionar.En general observar un sistema cuántico perturba al mismo, e impide que elobservador conozca su estado exacto antes de la observación. Por lo tanto, si unsistema cuántico es utilizado para transferir información, alguien que quiera espiarla comunicación, o incluso el receptor previsto, podría verse impedido de obtenertoda la información enviada por el emisor. Este rasgo negativo de la mecánicacuántica, conocido como principio de incertidumbre de Heisenberg, recientementeha encontrado un uso positivo en el área de las comunicaciones privadas yseguras.2. Como se producen los ataques y delitos informáticos.2.1 Seguridad en los servidores Internet:Mientras que el computo forense en un ocupación reciente, tiene relación conmuchos precursores en tecnologías de información. Estas disciplinas padre no
  39. 39. solo incluyen la teoría y la practica de hardware, software y programación, sinotambién notablemente Seguridad de computo, que ha madurado junto con latecnología de información para ayudar a proteger, no solo contra ataques, sinotambién contra errores y accidentes.Hay dos importante observaciones que vienen a la mente sobre ésta relaciónentre el computo forense y la seguridad de computadoras. Primero, las redesremotas y empresas en línea, después del año 1991, ha hecho cada vez masdifícil establecer el alcance de una política de seguridad. Antes era posiblemaquetar un limite alrededor de las operaciones, para distinguir entre “los dedentro”, quienes estaban permitidos de usar el sistema y los “de afuera”, quienesno estaban permitidos, y enfocarse en la construcción de limites seguros. Estadistinción ha llegado a no tener sentido, tanto como las empresas y los órganosdel gobierno arremeten para establecer su presencia en internet. Ahora el enfoquese ha desplazado a rol de las aplicaciones, el lugar donde los roles son permitidosestán descritos en términos de derechos de acceso en jerarquías. Segundoasesores de riesgo siempre tienen que advertir la actuación de estos “intrusos”evitando el inadecuado monitoreo de roles, quienes probablemente comenten lamayor parte de crímenes de computadora, se estima el 80%.El objetivo de la seguridad de computadoras en sus sentido mas amplio espreservar un sistema; como es su significado; especificamentem como las politicasde seguridad dictan. Computo forense, o al menos forense de intrusion, explicacomo las politicas son violadas, un proceso puede revelar los agujeros fatales enlas politicas mismas. Existen algunas razones para la discrepancia seguridad /forense:2.2 Area de Actividades:Uno de los primeros pasos es determinar el área de las actividades. Se deseaidentificar enteramente a la organización o los limites de las actividades en ciertasáreas.. En algunos casos puede resultar un poco complicado determinar todas lasentidades asociadas a la organización objetivo. Los proveedores de internetcontienen conjuntos de recursos que se pueden utilizar para el area de actividadesy también proporciona algo más; como el tipo y cantidad de información publicadisponible sobre la organización y los empleados.La pagina web de una organización puede proporcionar una cantidad deinformación que puede ser de ayuda a los atacantes, como por ejemplo:LugaresEntidades o empresas relacionadasNoticias de adquisicionesNúmeros telefónicosNombre de contacto y direcciones de correo electrónico
  40. 40. Políticas de seguridad y privacidad indicando el tipo de mecanismo de seguridaden el lugarEnlaces a otros servidores web, relacionados con la organización.Consulta Google, para enlaces a dominio especificado2.3 Información general del objetivo (Web, Whois, news):Aquí se inicia el proceso de enumeración para identificar los nombres de dominioy redes asociadas, que se relacionan a una organización en particular. Losnombres de dominio representan la presencia de la empresa en internet y son elequivalente en internet al nombre de la empresa, como “JugosDel.com” o“hansgross.com”Para enumerar los dominios e iniciar a descubrir la redes anexas al objetivo, sedebe escudriñar la internet. Existen multiples bases de datos “whois” que puedenser consultadas para proporcionar información sobre cada entidad que se deseainvetigar. En los años 1999 la empresa network solutions tenia el monopolio de losregistro de dominios y mantenia esta inforamcion en sus servidores “whois”. Estemonopolio fue disuelto y actualmente hay una multitud de registradoresacreditados. Y se hace necesario realizar la consulta al registrador adecuado, paraobtener la información que se requiera.
  41. 41. Existen diferentes mecanismos, pare realizar las consultas a las diferentes basesde datos “whois“. En cualquier caso siempre se debe de obtener la mismainformaciónInterface Web:http://www.networksolutions.com/http://www.arin.netCliente WHOIS:dig, host, nslookup (GNU/Linux)SamSpade (Windows) http://www.samspade.org/Consulta vía Web a una Base de Datos WHOIS
  42. 42. Consulta a una Base de Datos WHOIS via consolaDiversa información puede ser obtenida con cada consulta realizada. Lossiguiente tipos de consulta proporcionan la mayoría de información que unatacante puede utilizar:Registrante (información del registrador y servidores whois asociados)Organización (información relacionada con la organización)Dominio (información relacionada con un dominio en particular)Red (información relacionada a una red particular o una simple dirección IP)Punto de Contacto (información de una persona especifica, contactoadministrativo)2.4 Interrogación a DNS:Después de indentificar los dominios asociados, se inicia la consulta a los DNS.DNS es una base de datos distribuida utilizado para mapear direcciones IP anombres de dominios y viceversa. Si el DNS esta configurada de manerainsegura, es posible obtener una revelación de información sobre la organización.Una de los mas comunes errores de configuración de los administradores desistemas es permitir a usuarios no permitidos realizar transferencias de zonas.Una transferencia de zona, permite a un servidor maestro secundario actualizarsu base de datos de zonas desde el servidor primario.Un medio simple para realizar estas consultas en con el comando “host”:
  43. 43. 2.5 Reconocimiento de la Red:Cuando se han identificado potenciales Redes, se intenta determinar la topologíade la Red y tambien las posibles rutas hacia la Red.Para realizar esta tarea, se puede usar “traceroute”, el cual puede encontrarsecon la mayoria de sistemas GNU/Linux y tambien para sistemas Windows.Tracerote es una herramienta de diagnostico que permite ver la ruta que unpaquete IP sigue de un host a otro. Usa la opción TTL (tiempo de vida) en elpaquete IP para obtener un mensaje ICMP TIME_EXCEEDED de cada router.
  44. 44. VisualRoute es una herramienta Visual que no solo obtener información de los“saltos” sino también la ubicación geográfica e información anexa.
  45. 45. 2.6 Servidores accesibles:El escaneo es equivalente a tocar las paredes para encontrara puertas oventanas abiertas. Es importante recordar que el hecho de que una IP este listadaen una transferencia de zona, no significa que esta sea alcanzable vía internet. Senecesita probar cada sistema objetivo para percibir si esta vivo, y si lo esta, quepuertos tiene activos.La manera mas básica de mapear una red es realizar un PING automatizadosobre un rango de direcciones IPnmap sobre conjunto de direcciones IP2.7 Rastreo de puertos:El escaneo de puertos es un proceso de conectar a puertos TCP y UDP de unsistema objetivo para determinar que servicios están ejecutándose o en estado“LISTENING”Identificar puertos “a la escucha” es critico para determinar el tipo de sistemaoperativo y aplicaciones utilizadas. Servicios activos que están “escuchando”pueden permitir acceso no autorizado a usuarios para ganar acceso a sistemasque estas mal configurados o ejecutando versiones de software que se conocentienen vulnerabilidades de seguridad. Las herramientas de escaneo hanevolucionado significativamente con el transcurrir de los años.
  46. 46. Alguno de los objetivos que se persiguen al realizar un escaneo de puertos a unsistema objetivo, son lo siguientes; pero no limitados a:Identificar servicios ejecutándose tanto TCP como UDP, sobre el sistema objetivoIdentificar el tipo de sistema Operativo del sistema objetivo.Identificar aplicaciones especificas o versiones de un servicio particular.2.8 Rastreo de sistemas operativos:Es momento de identificar el tipo de sistema Operativo que ha sido objeto delescaneo. Información sobre un sistema Operativo especifico es de utilidad durantela fase de mapeo de vulnerabilidades. Es importante recordar que se intenta ser lomas preciso posible para determinar las vulnerabilidades asociadas de nuestrosistema Objetivo. Y se hace necesario poder identificar el Sistema Operativo delSistema Objetivo.Se puede realizar un simple reconocimiento del Sistema Operativo utilizandotécnicas de reconocimiento de “banners”, esto aunado a los la información deservicios como FTP, SMTP HTTP, POP3, y otros. Este es la manera mas simplede detectar un sistema operativo y el numero de versión asociado del servicioejecutándose. Obviamente existen herramientas que nos ayudan en esta tarea.Tenemos a nmap y xprobe2
  47. 47. 2.9 Rastreadores de red (Sniffers):Un packet sniffer es un programa de captura de paquetes de red, generalmenteutilizado con fines maliciosos.Es algo común que, por necesidad material, el medio de transmisión seacompartido entre varios ordenadores (cable coaxial, UTP, fibra óptica etc.) lo cualhace posible que un ordenador capture paquetes no destinados a él, para lo cualel sniffer pone la tarjeta de red en un estado llamado "modo promiscuo". De estamanera se puede obtener todo tipo de información de cualquier aparato conectadoa la red como contraseñas, correos electrónicos o cualquier otro tipo informaciónpersonal (por lo que son muy usados por crackers, aunque también pueden serusados para realizar comprobaciones y solucionar problemas en la red de modolegal por un administrador de dicha red).Es importante remarcar el hecho de que los sniffer solo pueden ser usados enredes que compartan el medio de transmisión (generalmente redes de área local)como en redes sobre cable coaxial, redes sobre cables de par trenzadoconectados a un concentrador o redes WiFi. El uso de switch en lugar de hubincrementa la seguridad de la red ya que impide el uso de sniffers al no pasar lospaquetes por ordenadores no destinatarios.Ethereal: Es una herramienta utilizada por profesionales alrededor del mundo paralocalizar averías, análisis, desarrollo de software y protocolos, y educación. Poseetodas las características estándar que se desea encontrar en un analizador de
  48. 48. protocolos e incluye varias características que no pueden ser localizadas en otrosproductos. Tiene licencia Open Source , permite a talentos en redes de lacomunidad realizar mejoras. Se ejecuta en las más populares plataformas,incluyendo Unix, Linux, Windows.2.10 Secuestro y falsificación DNS:Ataque DNS Spoofing:DNS Spoofing se describe como un servidor DNS que hace uso de informaciónfalsa recibida desde un host que no es autoridad para la información. Es unaamenaza significativa para la seguridad de las organizaciones que no han tomadomedidas para protegerse de ella. El DNS Spoofing puede permitir a los atacantesacceder al correo de un sitio, y puede hacer que los usuarios sean redireccionadosa sitios Web incorrectos incluso proporcionando una abertura para un ataque deNegación de Servicio.Escenario: La compañía, TAMJTeK Inc., está compitiendo para acabar eldesarrollo del último software de juegos antes de que el capital de la empresasalga. Se comienza a anunciar el aviso pendiente de una brecha en tecnología de
  49. 49. este juego en el sitio Web de Internet. Usted tiene una llamada de uno de lossocios de la empresa. Ella desea saber por que termina llegando awww.hackncrack.net cuando intenta llegar a www.tamjtek.com. Usted intentaconectarse al sitio Web y, seguro, termina llegando a www.hackncrac.net. Ustedprueba algunos otros sitios y todo parece muy bien excepto, que encuentra que sucompetidor más fuerte ha anunciado una brecha en el mismo juego. Su sitio Webdemuestra una imagen de su juego, la cual parece notablemente similar a la suyacon aspectos virtualmente idénticos. ¿Coincidencia? Quizás no.Ataque DNS ID Hacking:El DNS ID Hacking no es una forma usual de hacking/spoofing o cualquier otro.Este método se basa en una vulnerabilidad en protocolo del DNS. Más eficaz, elDNS ID hack/spoof es muy eficiente y muy fuerte porque no hay generación dedemonios de DNS que se escape de ella (incluso WinNT).Ataque DNS Caché Poisoning:Siempre que un servidor DNS no tenga la respuesta a una consulta dentro de sucaché, el servidor DNS puede pasar la consulta a otro servidor DNS a nombre delcliente. Si el servidor pasa la consulta a otro servidor DNS que tenga informaciónincorrecta, estará colocándola intencionalmente o no intencionalmente, pudiendoocurrir entonces un caché poisoning. EL Caché Poisoning es comúnmente referidocomo DNS Spoofing.Por ejemplo, suponga que hay un servidor de nombres, conocido comodnsobjetivo.com, manteniendo una red de computadoras, como se muestra en laFigura 1. Estas computadoras son en esencia clientes DNS. Una aplicación en unsistema cliente, host1, hace una consulta DNS que es enviada adnsobjetivo.ejemplo.com. Entonces dnsobjetivo.ejemplo.com examina su cachépara ver si tiene la respuesta a la consulta. Para propósito del ejemplo,dnsobjetivo.ejemplo.com no es autoritario para el nombre DNS en la consulta nitiene la respuesta para la consulta en su caché. Debe enviar la consulta a otroservidor, llamado dnsinfectado.ejemplo.org. La información endnsinfectado.ejemplo.org sucede que es incorrecta, comúnmente debido a la malaconfiguración, y la respuesta enviada de regreso a dnsobjetivo.ejemplo.comcontiene información engañosa. Puesto que dnsobjetivo.ejemplo.com estaalmacenando las respuestas, almacena esta información engañosa y envía larespuesta de regreso a host1. Mientras esta información exista en la caché dednsobjetivo.ejemplo.com, todos los clientes, no solo host1, son ahora susceptiblespara recibir esta falsa información.

×