AT boletín - INFORMA: febrero 2011

lunes, 28 de febrero de 2011

5 Noticias de Seguridad Informática en Segu-Info

Link to Noticias de Seguridad Informática

Roban la clave de Home Banking y sacan 500 mil pesos
Robo de datos personales en nombre de Nacionas Unidas
Guía para el borrado seguro de datos en unidades de estado sólido (SSD, Solid-State Drive)
Los 4 mejores antivirus para Android
Evolución del malware en dispositivos Android

Roban la clave de Home Banking y sacan 500 mil pesos

Posted: 28 Feb 2011 03:18 PM PST

Cuatro personas fueron detenidas por vaciarle la cuenta bancaria vía home banking a un empresario rosarino que denunció el robo de más de 500 mil pesos. La Justicia investiga cómo se distribuyó el dinero y la forma en que llegó a distintas cuentas de diversas entidades bancarias. Es la primera vez que en Rosario se utiliza este método para concretar una estafa.

Los investigadores determinaron que la cuenta fue vaciada en un lapso de dos semanas, durante las cuales los ladrones cibernéticos realizaron cinco operaciones, de a una por día. La empresa damnificada es "J. y R. Capello", que se dedica a la refrigeración de camiones y ómnibus. La compañía informó a la prensa local que maneja su dinero en una cuenta corriente del Nuevo Banco Santa Fe.

La cuenta de un empresario del rubro de la refrigeración sufrió el robo a través de internet, los depósitos habrían sido vaciados usurpando la clave de home banking de esta persona y a través de diez transferencias de 50 mil pesos cada una el dinero fue trasladado a otras cuentas. Algunos de los que recibieron esta suma de dinero, retiraron el efectivo por ventanilla.

El juez a cargo, Gustavo Pérez de Uurrechu explicó algunos detalles del inédito hecho: "Sorprende que en dos días le hayan vaciado la cuenta y el dinero haya derivado a otras entidades bancarias locales y de otras partes del país".

"Lo único que puedo comentar es que se radico en Tribunal una denuncia por defraudación, se vació la cuenta de un empresario y el dinero fue derivado a distintas cuentas de distintas personas. Se hicieron allanamientos y quedaron varios detenidos". Fuentes de la investigación confirmaron que son cuatro las personas arrestadas, todas de la ciudad de Rosario.

"Hay antecedentes en Argentina y otras partes del mundo, por ahí sorprende porque son nuevas técnicas que asustan a la gente y llaman la atención. En Rosario que tengamos conocimiento no ha sucedido antes", remarcó el juez.

Desde la Justicia anticiparon que la investigación recién avanzó el 30% y señalaron que se busca intensamente a una mujer. "Lo que estamos investigando es el carácter en que se recibió el dinero porque algunos pudieron haberlo aceptado de buena fe".

Entre otras cosas se trata de dilucidar además "si hay un hacker o alguien que simplemente le copió la clave". Si bien el juez no lo quiso confirmar, fuentes judiciales revelaron que se investiga el entorno laboral y familiar del empresario.

El punto que aún no queda claro es cómo se obtuvo la clave de home-banking, es decir, si fue copiada o si algún tipo de amenaza informática actuó para enviar a los ladrones la contraseña correspondiente.

También existe la posibilidad de que el empresario haya sido víctima de un caso de phishing, es decir, una página de una entidad bancaria creada por estafadores que es prácticamente idéntica a la original, pero que en realidad se encarga de captar desprevenidos dispuestos a colocar en ella sus contraseñas.

"Sólo puedo decir que estamos investigando cómo salió la plata y cómo llegó a las cuentas, como justifican el dinero que recibieron ante el Banco Central", concluyó.

Fuente: La Capital

Robo de datos personales en nombre de Nacionas Unidas

Posted: 28 Feb 2011 02:20 PM PST

Nos acaban de reportar un caso de un correo que dice provenir del Programa de las Naciones Unidas, en donde ofrecen una supuesta donación de 850 mil dólares, que el usuario acaba de ganar.

El correo luce de la siguiente manera:

El texto del mensaje es el siguiente (errores incluidos):

Programa de las Naciones Unidas para la donación de 2011.
NOTIFICACIÓN DE DONACIÓN PARA USTED PARA EL DESARROLLO EN LA REGIÓN.

De las Naciones Unidas para el Desarrollo, y la Caridad, en relación con la
La CEDEAO, la Unión de Europen, están dando una donación anual de
EE.UU. $ 850,000.00 (Ochocientos cincuenta mil dólares estadounidenses)
como específicos Donaciones / Donaciones a 40 ganadores afortunados
internacionales en todo el mundo.

La presente es para informarle de que su dirección de correo electrónico
ha ganado un premio en metálico de EE.UU. $ 850,000.00 (ochocientos
cincuenta mil dólares estadounidenses) como uno de los beneficiarios
finales de una subvención en efectivo / Donación para su propio
educación personal, y desarrollo de negocio para este año 2011.

Sobre la base de el ejercicio de correo electrónico de selección al azar
de los sitios web de Internet y millones de facturas de supermercados en
efectivo en todo el mundo, que fueron seleccionados entre los afortunados
los destinatarios puedan obtener la suma de adjudicación de los EE.UU. $
850,000.00 (ochocientos y Cincuenta Mil Dólares de los Estados Unidos)
como donaciones de caridad / ayuda de la PNUD, la CEDEAO, la Unión
Europea y la ONU de conformidad con la ley de autorización de Parlamento.

Sus números de calificación es (N-222 6747, E-900-56). Para llenar las
reclamaciones formulario y enviar al departamento de pago de la CEDEAO
SEDE Nigeria.

NOMBRES COMPLETOS :____________________
DIRECCIÓN: ______________________
ESTADO :_______________________
COUNTRY____________________
SEXO / EDAD :_____________________
ESTADO CIVIL :___________
OCUPACIÓN :_________________
E-MAIL :_____________________
NÚMERO DE TELÉFONO :_____________________
=============================================
ENVIAR TODAS LAS CONSULTAS AL
Oficial de Relaciones Públicas. (P.R.O)

Usted PUEDE ver Nuestro Sitio Web párrafo Su Lectura:
http://www.un.org/News/Press/docs/2003/ik344.doc.htm

Correo electrónico: info.undp[ELIMINADO]@yahoo.com.hk

Gracias y Acepte mis sinceras felicitaciones de nuevo!

Le saluda atentamente,
El Sr. Moore Kelvin.

Ante todo debe notarse que el documento mencionado NO existe y por otro se solicita información personal del usuario, la cual debe ser enviada por correo electrónico a esa dirección de Yahoo!.

Este tipo de engaño se llama Scam (no confundir con el Phishing) y consiste en manipular al usuario para que brinde información persona al delincuente y que posteriormente será utilizada para robo de identidad u otro tipo de ataques al usuario.

De más está decir que la donación mencionada no existe y que nunca debe responderse este tipo de correo.

Cristian de la Redacción de Segu-Info

Guía para el borrado seguro de datos en unidades de estado sólido (SSD, Solid-State Drive)

Posted: 28 Feb 2011 11:11 AM PST

Hola,
El avance de la tecnología es siempre un reto para las disciplinas que de ella dependen. El análisis forense no es una excepción, y aquí aplica igualmente el adaptarse o morir.

El tema que nos ocupa hoy son las unidades de estado sólido (SSD, Solid-State Drive) que están cada día más cerca de los usuarios. Siguen siendo suficientemente costosas (en torno a 2.5 - 3 Euros por GB) para que no sean un producto tan extendido como los discos de platos tradicionales (donde es frecuente encontrar productos en la franja de los 0,04 Euros por GB) pero es de prever que la tecnología de estado sólido baje fuertemente de precio en el futuro y que eventualmente se convierta en un producto con la misma popularidad y extensión de uso que los discos tradicionales hoy en día. El paulatino desarrollo de mayores y mejores chips de memoria NAND para la construcción de discos SSD, y el más que previsible abaratamiento de sus costes de fabricación parecen indicar que la tecnología SSD tiene mucho recorrido en este sentido, y que esto no ha hecho más que comenzar.

Prueba de la probable futura masificación de la tecnología SSD es la progresiva implementación de métodos de tratamiento específicos en los sistemas operativos. Por citar un ejemplo, Microsoft introdujo soporte especializado para SSDs en Windows 7, desactivando funciones específicas para solventar problemas de rendimiento en unidades tradicionales que ya no son necesarias cuando se emplean unidades de estado sólido, como la desfragmentación del medio, o las tecnologías de aceleración y precarga como prefetching/superfetching o ReadyBoost.

Una de los pilares básicos en el análisis forense es el análisis de los medios. Gran parte de los procesos forenses hoy en día giran en torno a la extracción de información de un medio determinado, como por ejemplo, una unidad de disco, con lo que los conceptos de tecnologías forenses y antiforenses se ha desarrollado en extremo en este campo. Uno de los conceptos fundamentales en las técnicas antiforenses es el borrado seguro de datos, que puede ser resumido como el conjunto de acciones a realizar sobre un medio determinado para impedir la recuperación posterior de los datos que contenía el medio antes de ser saneado.

El borrado seguro de datos ha sido tradicionalmente un campo relativamente estable. Cientos de maneras de hacerlo han surgido estos años, desde los métodos extremos como el borrado Gutmann hasta la simple pasada unitaria de ceros bit a bit, que es la que yo particularmente veo más sensata en la gran mayoría de escenarios de utilización de discos de platos. Este era un mundo tranquilo, hasta que llegaron las SSD.

El problema

Recientemente, como consecuencia de un trabajo de investigación realizado por el laboratorio de sistemas no volátiles de la UC San Diego, se diseñó un procedimiento mediante el cual es posible acceder directamente a los chips de memoria NAND de las unidades de estado sólido sin tener que pasar por la capa de traslación que correlaciona páginas de memoria flash lineal con las direcciones de bloques de disco, conocida como FTL (Flash Translation Layer). Los resultados aparecen en este gráfico:

Entender la tabla es sencillo: por cada 1000 MB de datos, es posible recuperar unos 100 MB de media, dependiendo del método, en cualquier unidad SSD, incluso habiendo aplicado un método de borrado seguro. Este estudio tiene una consecuencia inmediata: lo que tan bien funciona en discos de platos, no funciona en SSD. Los detalles del porqué son técnicamente algo complejos y están resumidos con todo lujo de detalles en el paper Reliably Erasing Data from Flash-Based Solid State Drives, para quien quiera ampliar detalles.

La razón de la permanencia de datos en el chip no es otra que las inconsistencias provocadas por las traslaciones entre bloques de disco y chip NAND a través de la capa FTL, que puede provocar que la unidad presente bloques vacíos que sin embargo tienen páginas de memoria asociadas repletas de datos. En estos casos, la FTL escribe nuevos datos en una ubicación distinta y actualiza sus índices con dicha localización, pero los datos originales permanecen donde estaban, estando únicamente desvinculados en la FTL y no físicamente eliminados en el chip. En cierta manera me recuerda a los sistemas EXT2/3, que años atrás no desvinculaban los bloques indirectos de datos al hacer operaciones en el sistema de ficheros, lo que permitía recuperar información en espacio no asignado.

¿Soluciones?

El problema definitivamente escapa a los usuarios en el sentido que las técnicas de borrado seguro tradicionales no garantizan la desaparición de los datos, tal y como hemos visto, y poco o nada podemos hacer para prevenir el comportamiento erróneo de las implementaciones FTL descritas.

Ante el escenario descrito parece que lo más sensato, si se quiere realizar un borrado seguro de una unidad SSD, es someterla a cifrado completo y luego realizar una limpieza de los datos y las llaves criptográficas, lo que solventaría los casos hipotéticos en los que alguien pueda recuperar datos directamente de los chips, puesto que la información estaría cifrada. Es por esto que lo más sensato para usuarios de discos SSD es, como punto de partida, realizar cifrados completos de disco nada más instalar el sistema operativo que los gobernará.

El borrado seguro ideal requerirá, cuando se quiera ejecutar, la eliminación de las llaves criptográficas utilizadas para el cifrado del disco y la sobreescritura de cada página de memoria del chip NAND. Habida cuenta que esto requerirá desmantelar la unidad para operar directamente sobre el chip si se quiere realizar un saneado completo en una pasada, podemos intentar que el número de datos remanentes perdidos en los mapeos de la FTL sea mínimo aumentando el número de pasadas. De acuerdo al estudio, el grueso de unidades probadas consiguió eliminar completamente los datos tras ejecutar dos pasadas, lo que abre un nuevo frente de problemas: cada pasada requirió entre 58 y 121 horas, lo que haría que 2 pasadas puedan hacer que el saneado de la unidad se vaya a las 220 horas (casi 10 días) lo que provoca que el método sea inviable en muchos escenarios.

A modo de resumen estas reglas pueden hacer que se minimice el riesgo de sufrir recuperaciones no deseadas de nuestros discos de estado sólido:

Para todo los casos, cifrar el disco nada más instalar el sistema operativo. Por ejemplo, con TrueCrypt.
Si se quiere reutilizar el disco sin cambiar de propiedad, un formateo convencional o una pasada simple de ceros es suficiente.
Si se quiere reutilizar el disco cambiando de propiedad, por ejemplo, porque vamos a regalarlo o venderlo, realizar dos pasadas con un método seguro. Se puede utilizar alguno de los métodos presentes en DBAN.
Si se quiere desechar el disco, los métodos de desmagnetización no sirven en las SSDs. Recurrid a un servicio de gestión de medios especializado, o desmantelad la unidad y destruid físicamente los chips NAND. Aunque sea rústico, someter a martillazos una unidad es muchas veces la mejor manera de impedir la recuperación de datos :)

Un saludo,
Fuente: Sergio Hernando

Los 4 mejores antivirus para Android

Posted: 28 Feb 2011 06:16 AM PST

Luego de ver la evolución del malware en Android, instalar un antivirus en el teléfono móvil es de gran importancia para evitar perder datos valiosos a causa de un virus. Y es que a día de hoy, con la acción constante de conectar el móvil al PC para transferir datos, es alta la posibilidad de infectar el teléfono con un virus o malware.

Estos son cuatro de los mejores antivirus para dispositivos Android:

Fuente: BlogAntivirus

Evolución del malware en dispositivos Android

Posted: 28 Feb 2011 02:44 AM PST

Desde hace unos meses se ha podido observar cómo el desarrollo de malware ha sufrido un considerable aumento para dispositivos basados en el sistema operativo desarrollado por Google. Fruto de ello es en gran parte la laxitud por parte del usuario en temas de seguridad y el triunfo cada vez mayor en el uso de esta nueva plataforma.

Es un hecho indiscutible que cada vez las tareas cotidianas que realizábamos desde nuestro equipo personal queden relegadas a un segundo plano gracias a la comodidad y el confort que nos produce tener un dispositivo de capacidades similares y que podamos portar a cualquier sitio.

A esto le debemos sumar que la frontera que divide el uso personal del uso corporativo no está bien definida y por tanto su uso puede adoptar nuevas funcionalidades como el acceso a una VPN de la empresa, administrar el correo o manejar temas bancarios por poner sendos ejemplos. Es cuestión de tiempo que acabemos por tener la misma funcionalidad de un equipo en nuestro smartphone, algo más fácil ahora con la llegada de las tablets.

Esto es algo de lo que los desarrolladores de malware son bastante conscientes y que evidentemente no dejan pasar por alto, prueba de ello es la frecuencia con la que se están sucediendo nuevos ataques, cada vez más efectivos y elaborados.

El objetivo de esta entrada, es recoger a modo de resumen la evolución que se ha ido desarrollando en los últimos meses relacionada con aplicaciones maliciosas para sistemas Android.

Contenido completo en SdB

[forosi:14784] Compilación de correos para forosi@googlegroups.com - 7 mensajes en 4 temas

Resumen del tema de hoy

Grupo: http://groups.google.com/group/forosi/topics

Off topic Concerencia Juan Sacco Online [1 actualización]
Le hackearon la cuenta de homebanking y le robaron $500.000 [1 actualización]
Glype y Ultrasurf [3 actualizaciones]
Documentacion Hacking Etico [2 actualizaciones]

Tema: Off topic Concerencia Juan Sacco Online

AUGUSTO <augusto.sanchez1@gmail.com>

Tema: Le hackearon la cuenta de homebanking y le robaron $500.000

"Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com>

http://segu.info/enc1

Tema: Glype y Ultrasurf

segu-info <smi.consultores@gmail.com>

Raul Batista <raul.batista@gmail.com>

"SMi Consultores" <smi.consultores@gmail.com>

http://groups.google.com/group/forosi

http://www.segu-info.com.ar/faq.htm

http://www.segu-info.com.ar/netiquette.htm

http://groups.google.com/group/forosi

http://www.segu-info.com.ar/faq.htm

http://www.segu-info.com.ar/netiquette.htm

Tema: Documentacion Hacking Etico

Marco Reyes <mrasse@gmail.com>

JUAN BERRIO <judabe2003@gmail.com>

--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm

Boletín Informativo NIC México Febrero 2011


		Contenido de esta edición:
		La Tercera Llamada para el Despliegue de IPv6
		Aprovecha el poder de las redes sociales
		Cómo hacer crecer el tráfico para generar ventas

MX News es una publicación
mensual de NIC México.
Espera nuestro siguiente envío
en Marzo de 2011.



	La Tercera Llamada para el Despliegue de IPv6 Hace unos días, se presenció un evento que representa un parteaguas en el desarrollo de Internet: El agotamiento o terminación del repositorio central de direcciones IPv4 Ver más información.
	Aprovecha el poder de las redes sociales Según un estudio de consumo de medios digitales más del 85% de los internautas mexicanos está inscrito en al menos una red social. Ver más información.
	Cómo hacer crecer el tráfico para generar ventas Cuando se es dueño o se administra un sitio que sirve para mostrar productos y/o servicios e invitar a los visitantes a realizar compras, es imprescindible identificar a los tipos de compradores potenciales. Ver más información.

Registra tu dominio .MX y obtén cupones Google Adwords Gratis

Monterrey: 88642600 | Interior de la República: 01(81) 88642600
Lada sin costo: 01-800 9996426 | Correo Electrónico: ayuda@nic.mx
Av. Eugenio Garza Sada No. 427, Loc. 4, 5 y 6. Col. Altavista, Monterrey, N.L. C.P. 64840
Has recibido este mensaje por estar inscrito al Boletín Informativo de NIC México.
Si deseas dejar de recibir el boletín haz clic Aquí.
Por disposición de PROFECO, se incluye su teléfono de atención al consumidor: 01-800-468-87-22
Si no puedes visualizar el boletín por favor haz click Aquí.

CONTENIDO: Qué vas hacer este MARTES? Te Invito al Webinar GRA*TIS...

Si quieres conocer "Los Secretos de los Negocios Online

de la boca del MENTOR de Mentores" te invito al Webinar GRATIS...

...este Martes 1 de Marzo a las 6PM-Miami con el MENTOR

de Mentores "Alvaro Mendoza".

Para reservar tu cupo GRATIS, solo haz clic en este enlace:

https://www1.gotomeeting.com/register/830313432

ALERTA: Este sistema para hacer Webinars solo tiene capacidad

para 1.000 Personas conectadas simultaneamente, esto quiere decir

que muchos se quedarán por fuera y no podrán entrar.

Sugerencia: Registrate, Reserva Tu Cupo y llega 15 Mínutos

ANTES de Iniciar la Conferencia (es decir; a las 5:45PM).

Guarda este enlace en FAVORITOS y usalo 15 minutos antes:

https://www1.gotomeeting.com/register/830313432

Mi Promesa es; que le sacaré todos los secretos a Alvaro Mendoza,

inclusive, secretos que están en los productos que vende.

Así que te prometo que no vas a perder el tiempo, al final de

esta conferencia, aprenderás lo mejor de lo mejor de los

Negocios Online, directamente de la boca del MENTOR de

Mentores....

https://www1.gotomeeting.com/register/830313432

Sinceramente,

Carlos Gallego

Dedicado a Tu Exito!.

PD: Sábes que Alvaro Tienes Las Puertas Abiertas en su Club

privado para NUEVOS miembros?... Detalles Aquí

------------------------

Politicas de Privacidad: Tal como te prometí al momento

de registrarte en mi página web, en el enlace que esta debajo

de este texto, podrás tu mismo borrarte de esta lista y nunca

más serás contáctado. Si haces clic en ese enlace, no podrás

acceder nunca más a todo el contenido gratuito que te enviaré.

Muchas Gracias!. Carlos Gallego - Miami USA

LatinDesigners, Corp, PO BOX 772311, Miami, FL 33177, USA
(si haces clic abajo, serás borrado de nuestra lista)

To unsubscribe or change subscriber options visit:
http://www.aweber.com/z/r/?jIzMbMzsTLQs7KwMnOwMnLRGtJyMnJycDCw=

domingo, 27 de febrero de 2011

3 Noticias de Seguridad Informática en Segu-Info

Phishing a Bradesco
CMM y CMMI
Diccionarios para fuerza bruta

Phishing a Bradesco

Posted: 27 Feb 2011 12:18 PM PST

En las últimas horas nos han reportado varios casos de correos que dicen provenir de Bradesco pero que en realidad conducen a sitios falsos de dicho banco. En este caso el sitio falso está alojado en un hosting gratuito italiano y se llega al mismo a través de una redirección en un sitio de Hong Kong. Desde Segu-Info ya nos hemos puesto en contacto con ambos sitios para que se proceda a la baja de los mismos.

Como siempre en los casos de Bradesco, los delincuentes buscan robar todos los datos de acceso a la entidad bancaria, comenzado con el número de agencia y la cuenta de la víctima:

Posteriormente siguen con el nombre de usuario, contraseña:

Luego buscan robar los 70 códigos de tres posiciones que conforman la tarjeta de coordenadas que el banco entrega al cliente para su seguridad y el código PIN para la utilización de la tarjeta de débito:

Finalmente, con todos los datos robados, se invoca a un script en un sitio ruso que los almacena y conduce al usuario al sitio verdadero de la entidad bancaria:

En varios de los casos reportados es posible ver todos los archivos PHP almacenados en directorios de los sitios vulnerados:

Desde Segu-Info ya hemos procedido a realizar las denuncias pertinentes para bloquear y dar de baja los sitios falsos.

Cristian de la Redacción de Segu-Info

CMM y CMMI

Posted: 27 Feb 2011 09:55 AM PST

Cuando el responsable del departamento de desarrollo me dijo que íbamos a implantar un modelo de calidad llamado CMMI - CMMI (Wikipedia CMM - Wikipedia CMMI) o Modelos de Capacidad y Madurez - , pensé "Oh! Dios mío esto va a ser muy, muy aburrido".

Me pasó el documento con el modelo y mis peores pensamientos se confirmaron. Por si alguno de vosotros no ha visto el modelo de calidad CMM - CMMI el lomo tiene más de cuatro dedos de grosor, tu pones la mano encima de la mesa y el modelo CMMI sobresale.

Sin embargo, al final de este camino, la implantación de procesos de gestión y desarrollo de proyectos ha sido una de las cosas más enriquecedoras que he podido hacer. Si, porque al instalar procesos te permite trabajar con personas, que aunque siempre es difícil, también es muy satisfactorio.

Por aquel entonces lo poco que había oído de modelos de calidad era sobre la ISO 9000, también había oído la mayoría de las empresas realmente les importa muy poco la calidad de lo que producen si no más bien tener la certificación y poner dicho sello en su publicidad. Muchas de ellas siguen todavía esta filosofía.

Pero como soy muy curioso y confío más en la Web que en los estándares oficiales para entender las cosas, me puse a investigar (cotillear) por la web.
De mis experiencias en estos 2 años con el modelo CMM - CMMI voy a intentar explicaros de una forma clara y sencilla en que consiste este modelo de calidad del software.

El nacimiento de CMM - CMMI

El departamento de defensa de los estados unidos tenía muchos problemas con el software que encargaba desarrollar a otras empresas, los presupuestos se disparaban, las fechas alargaban más y más. ¿Quién no se ha encontrado con este tipo de problemas si ha trabajado con una empresa de software?
Como esta situación les parecía intolerable convocó un comité de expertos para que solucionase estos problemas, en el año 1983 dicho comité concluyó "Tienen que crear un instituto de la ingeniería del software, dedicado exclusivamente a los problemas del software, y a ayudar al Departamento de Defensa".
Convocaron un concurso público en el que dijeron: "Cualquiera que quiera enviar una solicitud tiene que explicar como van a resolver estos 4 problemas", se presentaron diversos estamentos y la Universidad Carnegie Mellon ganó el concurso en 1985, creando el SEI.

El SEI (Software Engineering Institute) es el instituto que creó y mantiene el modelo de calidad CMM - CMMI.

A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de América (en particular del Departamento de Defensa, DoD), desarrolló una primera definición de un modelo de madurez de procesos en el desarrollo de software, que se publicó en septiembre de 1987. Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for Software), cuya última versión (v1.1) se publicó en febrero de 1993.

El Modelo de Madurez de Capacidades en la Ingeniería de Sistemas (CMMI) fue publicado por el SEI en noviembre de 1995. Está dedicado a las actividades de ingeniería de sistemas.
Define 18 áreas de proceso divididas en tres grupos:

Ingeniería (7)
Proyectos (5)
Organizativas (6)

¿Qué es el CMM - CMMI?

El CMM - CMMI es un modelo de calidad del software que clasifica las empresas en niveles de madurez. Estos niveles sirven para conocer la madurez de los procesos que se realizan para producir software.

Niveles CMM - CMMI

Los niveles CMM - CMMI son 5:

Inicial o Nivel 1 CMM - CMMI. Este es el nivel en donde están todas las empresas que no tienen procesos. Los presupuestos se disparan, no es posible entregar el proyecto en fechas, te tienes que quedar durante noches y fines de semana para terminar un proyecto. No hay control sobre el estado del proyecto, el desarrollo del proyecto es completamente opaco, no sabes lo que pasa en él.

Es el típico proyecto en el que se da la siguiente situación:
- ¿Cómo va el proyecto?
- Bien, bien.
Dos semanas después…
- ¿Cómo va el proyecto?
- Bien, bien.
Tres semanas después…
- El lunes hay que entregar el proyecto.- No se por qué pero los proyectos se entregan los lunes.
- El lunes !!?. Todavía falta mucho!!
- ¿Cómo? Me dijiste que el proyecto iba bien!! Arréglatelas como quieras, pero el proyecto tiene que estar terminado para el lunes.

Si no sabes el tamaño del proyecto y no sabes cuanto llevas hecho, nunca sabrás cuando vas a terminar.
Repetible o Nivel 2 CMM - CMMI. Quiere decir que el éxito de los resultados obtenidos se pueden repetir. La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado y controlado durante el desarrollo del mismo. El desarrollo no es opaco y se puede saber el estado del proyecto en todo momento.
Los procesos que hay que implantar para alcanzar este nivel son:
- Gestión de requisitos
- Planificación de proyectos
- Seguimiento y control de proyectos
- Gestión de proveedores
- Aseguramiento de la calidad
- Gestión de la configuración
Definido o Nivel 3 CMM - CMMI. Resumiéndolo mucho, este alcanzar este nivel significa que la forma de desarrollar proyectos (gestión e ingeniería) esta definida, por definida quiere decir que esta establecida, documentada y que existen métricas (obtención de datos objetivos) para la consecución de objetivos concretos.
Los procesos que hay que implantar para alcanzar este nivel son:
- Desarrollo de requisitos
- Solución Técnica
- Integración del producto
- Verificación
- Validación
- Desarrollo y mejora de los procesos de la organización
- Definición de los procesos de la organización
- Planificación de la formación
- Gestión de riesgos
- Análisis y resolución de toma de decisiones
La mayoría de las empresas que llegan al nivel 3 paran aquí, ya que es un nivel que proporciona muchos beneficios y no ven la necesidad de ir más allá porque tienen cubiertas la mayoría de sus necesidades.
Cuantitativamente Gestionado o Nivel 4 CMM - CMMI. Los proyectos usan objetivos medibles para alcanzar las necesidades de los clientes y la organización. Se usan métricas para gestionar la organización.
Los procesos que hay que implantar para alcanzar este nivel son:
- Gestión cuantitativa de proyectos
- Mejora de los procesos de la organización
Optimizado o Nivel 5 CMM - CMMI. Los procesos de los proyectos y de la organización están orientados a la mejora de las actividades. Mejoras incrementales e innovadoras de los procesos que mediante métricas son identificadas, evaluadas y puestas en práctica.
Los procesos que hay que implantar para alcanzar este nivel son:
- Innovación organizacional
- Análisis y resolución de las causas
Normalmente las empresas que intentan alcanzar los niveles 4 y 5 lo realizan simultáneamente ya que están muy relacionados.

A grandes rasgos os he intentado introducir el modelo de calidad del software CMM - CMMI para aquella gente que se encuentra por primera vez con él. La implantación de un modelo de estas características es un proceso largo y costoso que puede costar varios años de esfuerzo. Aun así el beneficio obtenido para la empresa es mucho mayor que lo invertido.

"Y a este respecto se debe tener en cuenta hasta qué punto no hay cosa más difícil de tratar, ni más dudosa de conseguir, ni más peligrosa de conducir, que hacerse promotor de la implantación de nuevas instituciones.
La causa de tamaña dificultad reside en que el promotor tiene por enemigos a todos aquellos que sacaban provecho del viejo orden y encuentra unos defensores tímidos en todos los que se verían beneficiados por el nuevo.
Esta timidez nace en parte al temor de los adversarios, que tienen la ley de su lado, y en parte también la incredulidad de los hombres, quienes -en realidad- nunca creen en lo nuevo hasta que adquieren una firme experiencia en ello.
De ahí nace que, siempre que los enemigos encuentran la ocasión de atacar, lo hacen con ánimo faccioso, mientras los demás sólo proceden a la defensa con tibieza, de lo cual resulta un serio peligro para el príncipe y para ellos."

El Principe, Nicolás Maquiavelo, 1513

Si os interesa profundizar más en el conocimiento de los procesos de calidad CMM-CMMI, podéis empezar con introduciros en el Nivel 2 de CMM-CMMI.

Fuente: Ingeniero Software

Diccionarios para fuerza bruta

Posted: 27 Feb 2011 07:54 AM PST

Estaba de ocioso, y hace tiempo que había prometido una buena recopilación de Diccionarios para FUERZA BRUTA, pero me encontré que en mis marcadores había una infinidad de webs con una infinidad de diccionarios, así que postear uno por uno no tenía mucho sentido, así decidí hacer un TOP 15 con los sites que mejores Diccionarios (WordLists) para Fuerza Bruta tenían, y me quedó una tablita así.

Fuente: Blackpoloit