viernes, febrero 29, 2008

Seguridad Bluetooth

La tecnología Bluetooth es grande. Sin duda. En él se ofrece una forma fácil para una amplia gama de dispositivos móviles para comunicarse entre sí sin necesidad de cables o alambres. Sin embargo, a pesar de sus evidentes ventajas, también puede ser una amenaza potencial para la privacidad y la seguridad de los usuarios de Bluetooth (recuerde Paris Hilton?).

Si está pensando en adquirir una comprensión más profunda de la seguridad de Bluetooth, tendrá un buen conjunto de herramientas con las que trabajar. Familiarizándose con las siguientes herramientas, no sólo adquirir un conocimiento de las vulnerabilidades inherentes en dispositivos móviles habilitados para Bluetooth, pero que también tendrá un vistazo a la forma en que un atacante podría explotar.

Este hack se destacan las herramientas esenciales, sobre todo para la plataforma Linux, que puede ser utilizada para la búsqueda hacia fuera y cortar dispositivos móviles habilitados para Bluetooth.

Descubrimiento de dispositivos Bluetooth

BlueScanner - BlueScanner búsquedas para dispositivos móviles habilitados para Bluetooth. Se tratará de extraer la mayor cantidad de información posible para cada dispositivo recién descubierto.

BlueSniff - BlueSniff es una interfaz gráfica de usuario basada en la utilidad para encontrar y descubrir ocultas dispositivos móviles habilitados para Bluetooth.

BTBrowser - Bluetooth es un archivo de la aplicación J2ME que pueden navegar y explorar la especificación técnica de torno dispositivos móviles habilitados para Bluetooth. Puede navegar por la información del dispositivo y apoya todos los perfiles y registros de servicios de cada dispositivo. BTBrowser funciona en teléfonos que apoya JSR-82 - la especificación Bluetooth Java.

BTCrawler BTCrawler-BTCrawler es un escáner para dispositivos basados en Windows Mobile. Analiza para otros dispositivos en serie y realiza servicio de consulta. También ejecuta la BlueJacking y BlueSnarfing ataques.

Hacking dispositivos Bluetooth

BlueBugger-BlueBugger explota la vulnerabilidad BlueBug. BlueBug es el nombre de una serie de agujeros de seguridad de Bluetooth se encuentran en algunas Bluetooth-permitido a los teléfonos móviles. Mediante la explotación de esas vulnerabilidades, se puede obtener un acceso no autorizado al teléfono-libro, las listas de llamadas y otra información privada.

CIHWB - ¿Puedo Hack Con Bluetooth (CIHWB) es un marco de la auditoría de seguridad de Bluetooth para Windows Mobile 2005. Actualmente sólo el apoyo Bluetooth algunos exploits y herramientas como BlueSnarf, BlueJack, y algunos ataques de DoS. En caso de que su trabajo en cualquier PocketPC con la pila Microsoft Bluetooth.

Bluediving - Bluediving Bluetooth es una suite de pruebas de penetración. Se aplica como ataques Bluebug, BlueSnarf, BlueSnarf + +, BlueSmack, tiene características tales como Bluetooth dirección spoofing, un AT y un socket RFCOMM shell y aplica herramientas como carwhisperer, bss, L2CAP packetgenerator, L2CAP conexión resetter, RFCOMM escáner y greenplaque modo de escaneo.

Transitorios Bluetooth Medio Ambiente Auditor - T-OSO es una auditoría de la seguridad de la plataforma para dispositivos móviles habilitados para Bluetooth. La plataforma consta de Bluetooth descubrimiento de las herramientas, los instrumentos y la inhalación de diferentes herramientas de cracking.

Bluesnarfer - Bluesnarfer descargar el libro de teléfono de cualquier dispositivo móvil vulnerables a la Bluesnarfing. Bluesnarfing es un grave flujo de seguridad descubierto en varias Bluetooth-permitido a los teléfonos móviles. Si un teléfono móvil es vulnerable, es posible conectar al teléfono sin alertar al propietario, y de tener acceso restringido a porciones de los datos almacenados.

BTcrack - BTCrack Bluetooth es una frase de paso (PIN) el craqueo herramienta. BTCrack tiene por objeto reconstruir el Passkey y de la clave de enlace capturado Vinculación de los intercambios.

Blooover II - Blooover II J2ME es una herramienta basada en la auditoría. Se tiene la intención de servir como una herramienta de auditoría para comprobar si un teléfono móvil es vulnerable.

BlueTest - BlueTest es un script de Perl diseñado para hacer la extracción de los datos vulnerables de dispositivos móviles habilitados para Bluetooth.

BTAudit - BTAudit es un conjunto de programas y scripts para auditar dispositivos móviles habilitados para Bluetooth.

¿Qué sigue? Que todos lo sepan para desactivar Bluetooth hasta que realmente lo necesitan. Además, asegúrate de que tu teléfono para actualizar el software de forma regular.

BlueScan ->http://sourceforge.net/project/platformdownload.php?group_id=195755
Bluesnif -> http://bluesniff.shmoo.com/bluesniff-0.1.tar.gz
BTBrowser -> http://www.benhui.net/bluetooth/btbrowser.html
BTCrawler -> http://www.silentservices.de/btCrawler.html
BlueBugger -> http://www.remote-exploit.org/codes/bluebugger/bluebugger-0.1.tar.gz
CIHWB -> http://sourceforge.net/project/showfiles.php?group_id=173145
Bluediving -> http://sourceforge.net/project/showfiles.php?group_id=155933
T-BEAR -> http://freshmeat.net/redir/t-bear/67412/url_tgz/tbear.tar.gz
BlueSnarfer -> http://www.alighieri.org/tools/bluesnarfer.tar.gz
BtCrack -> http://www.nruns.com/_en/security_tools_btcrack.php
Blooover 2 -> http://trifinite.org/Downloads/Blooover2.jar
Bluetest -> http://packetstorm.linuxsecurity.com/wireless/bluetest.pl.txt
BtAuding -> http://www.betaversion.net/btdsd/download/bt_audit-0.1.1.tar.gz

La mayoria de estos programas se ejecutan desde linux. La version original del documento en ingles: http://www.security-hacks.com/2007/05/25/essential-bluetooth-hacking-tools

Descarga:Documento de hacking bluetooth

BT Info y BT discover

Se trata de dos aplicaciones para acceder mediante bluetooht a un movil con este sistema. No necesariamente ha de ser conocido por el atacante. Si la victima tiene el mismo activado o bien activado de modo oculto es posible acceder al mismo con privilegios sobre el movil para hacer lo que te plazca. Funciona preferiblemente en sony ericsson aunque es compatible con cualquier telefono. Esta construido en java.
En el video puede verse como funciona. En la descarga se incluye un pequeño manual asi como una version en castellano y todas las versiones previas asi como otra mas nueva que aun no ha sido traducida y otro pequeño programa del mismo creador para buscar dispositivos bluetooth.


Descarga: http://rapidshare.com/files/95985006/bt.rar

Nota: El modo de envitar este tipo de ataques es no tener encendido el bluetooth o bien si es necesario no aceptar conexiones desconocidas o bien conexiones enmascaradas con algun tipo de nick sugerente.

Operator Portable - Navegacion anonima

Se trata del conocido navegador opera con un par de funcionalidades para hacer que este sea totalmente anonimo de cara ala navegacion web. ¿qué quiere decir esto? No se quedaran registrada tu ip en ningun sitio por donde navegues. A parte esta versión esta en español y lleva varios skins para modificar su aspecto. Implmenta un lector de email y un cliente de irc.


Descarga: http://rapidshare.com/files/95958125/OperaTor_v2.4b.rar

Cambiar tonalidad de color en photoshop


Click aqui para ver en tamaño completo
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0"
WIDTH="640" HEIGHT="480" id="CambiarColo">




NAME="CambiarColo" ALIGN="" TYPE="application/x-shockwave-flash"
PLUGINSPAGE="http://www.macromedia.com/go/getflashplayer">

El telepeaje o peaje dinámico

Introducción

  1. Distintas alternativas y funcionamiento
  2. Normativa europea
  3. Sistema de Telepeaje (Toll Collect)

Introducción

En todo el mundo, cada día, aumenta el parque automovilístico, los kilómetros de autopistas construidas y los desplazamientos, tanto de usuarios particulares como de transporte público y de mercancías. El uso de autopistas y/o autovías para los desplazamientos, cortos o largos, se ve favorecido por la mayor seguridad en cuanto a evitar accidentes, la comodidad en la conducción, su menor congestión y el ahorro de tiempo que supone al ser los trazados más idóneos y verse aumentado los límites de velocidad respecto a las carreteras normales.

Pero no todo han de ser ventajas y, así, la construcción de las autopistas hay que pagarlas de una u otra manera: financiándolas a través de los impuestos que pagamos o realizando un pago por uso (peaje). Otra modalidad es la denominada "peaje en la sombra", por la que una empresa privada construye y mantiene la autopista a cambio de una concesión de explotación por un largo periodo de tiempo, corriendo la financiación a cargo de los presupuestos del Estado, con un canon anual en función del tráfico. Dependiendo del país de que se trate, primará una u otra modalidad, pudiendo coexistir ambas. El peaje tiene la ventaja de que paga quién la usa y "la deteriora", por lo que parece una modalidad de financiación más justa que la otra, en la que pagamos todos, pero tiene la desventaja de que en ese caso solamente se construirán las autopistas que se consideren rentables, por lo que la red de autopistas se puede ver muy limitada, lo que redunda en un menor confort, más número de accidentes, más contaminación y más horas perdidas en desplazamientos.

El "Telepeaje", Peaje Dinámico o Peaje Electrónico, como se le viene a llamar en distintos países, es un sistema que permite abonar el peaje sin detenerse en las autopistas ni tener que recoger ticket alguno, evitando largas colas y la necesidad de manejar tarjetas de crédito o dinero en efectivo para ello, lo que resulta una comodidad para los conductores y un ahorro de tiempo.

El Telepeaje consiste en la identificación del usuario que pasa por una vía determinada de la estación de peaje gracias a un pequeño transmisor instalado en su vehículo, que es reconocido por una antena colocada en las vías que aceptan este sistema de pago.

Este pequeño transmisor recibe diferentes denominaciones: TAG, OBE (On Board Equipment), Teletac, OBU (On Board Unit), etc. Pero como el telepeaje no está extendido plenamente y este sistema ha de coexistir con los tradicionales métodos de pago, el dinero en efectivo o las tarjetas de crédito, es por eso que en las estaciones de peaje se habilitan vías específicas para cada uno de ellos y, así, en las vías de la estación de peaje señaladas como vias manuales y, por lo tanto, atendidas por un peajista, se puede abonar el importe del peaje en metálico o con la mayoría de las principales tarjetas magnéticas de pago.

El pago con tarjeta es más cómodo y rápido que el pago con efectivo, ya que reduce el tiempo de espera en la estación de peaje. Además, este sistema permite recibir información detallada sobre los tránsitos realizados por la autopista. Para pagar el importe del peaje con una tarjeta, puede optar por las vías exclusivas para tarjetas de crédito denominadas vias automáticas y señalizadas con el criptograma del encabezamiento, o por las vías denominadas mixtas que incluyan este criptograma. Todas las autopistas informan antes de llegar a la estación de peaje, de las tarjetas que aceptan para el pago del peaje, para que el conductor esté preparado y sepa por cual de las vías acceder al peaje.

Distintas iniciativas y funcionamiento

En España las principales empresas concesionarias de autopistas y las tres grandes redes de medios de pago -Servired, Sistema 4B y Euro 6000- firmaron hace algún tiempo un acuerdo para pactar un sistema único que hiciera posible la extensión del peaje dinámico -el abono del peaje sin tener que parar el vehículo- a todas las autopistas españolas.

Los usuarios que utilicen el sistema de telepeaje, por ejemplo Teletac, pueden, además, adherirse a un programa de descuentos que pueden llegar hasta el 50%, según la utilización del servicio, lo que es una gran ventaja para los usuarios que viajan mucho por estas autopistas.

El telepeaje, que se emplea en numerosos países de todo el mundo, es un procedimiento de pago automático que evita la formación de atascos y retenciones en los accesos y salidas de las autopistas. El nuevo procedimiento de pago se basa en un microchip instalado en el automóvil particular que, al llegar al peaje, se comunica electrónicamente con el sistema de control y le facilita los datos sobre el recorrido realizado por la autopista y sobre la cuenta bancaria de la tarjeta de pago a la que hay que cargar la factura. El conductor, a través de un contrato previo, abona el peaje sin tener que detener el coche y con cargo a su cuenta bancaria.

El transmisor (TAG o tarjeta de RFID), que proporcionan algunas entidades bancarias, se coloca en el parabrisas del vehículo, siguiendo las instrucciones que el emisor del mismo facilita y, en algunos vehículos, se habilita de serie un lugar específico para la colocación del transmisor, para evitar así problemas de recepción que se dan en los vehículos que disponen de parabrisas atérmicos.

La colocación del TAG en el retrovisor no es casual ya que el sistema está diseñado contando con que éste se encuentre a 1,5 metros del suelo y con visión directa hacia una antena que se sitúa encima del carril de entrada en el peaje y con la que se comunica. El TAG, aunque alimentado por pilas, está siempre "dormido", realizando un consumo mínimo que asegura que dure al menos 5 años, y solamente se "despierta" al llegarle una transmisión de la antena de peaje, de la que toma también energía para enviar sus respuestas.

El TAG o transponder contiene un microchip (EEPROM) en el que se almacenan los datos bancarios del usuario. Una vez que el vehículo se aproxima a la barrera, el sistema envía una serie de ondas con la información necesaria para que el telepeaje anote los datos y pueda cobrase de forma automática. Este mecanismo, por tanto, funciona mediante ondas electromagnéticas, en la banda de 5,8 GHz, que tienen entre otras, propiedades relacionadas con la frecuencia; así, cuanto mayor es esta, más información puede transportar, pero tienen menor poder de penetración a través de obstáculos, aunque son más fáciles de dirigir en forma de haz.

Esto va a permitir emitir un haz de microondas desde la antena a una zona de la vía, con la garantía de que sólo se leerán las ondas procedentes de la propia vía y no la de vías contiguas.

Esta iniciativa está enmarcada en otra más ambiciosa, que persigue pactar un sistema único y común de peaje dinámico para todas las autopistas de la Unión Europea (UE), como veremos. Por ejemplo, en España "Vía T" es la denominación del nuevo sistema de telepeaje interoperable que está siendo implantado por ASETA (Asociación de Sociedades Españolas Concesionarias de Autopistas) en todas las autopistas de peaje, que suman cerca de 3.000 km. Esto supone que con un único transmisor u OBE, el usuario podrá circular por todas las autopistas de peaje de España, no siendo necesario para los más de 7.000 km de autovías y autopistas libres.

Normativa europea

En diciembre de 2003 se aprobó la Directiva Europea de Telepeaje, que puso las bases que regularán el futuro próximo de las autopistas comunitarias de pago. Para el conjunto de la Unión Europea se ha establecido el horizonte 2008-12 como fecha para recomendar la instalación de las nuevas tecnologías de pago que surjan al amparo del programa Galileo, sistema de comunicaciones y posicionamiento por satélite. Entre ellas se encuentras las de microondas de corto alcance (TAG) y las basadas en la combinación de sistemas de satélite y redes celulares, que permiten el paso de vehículos mediante unos dispositivos que se ubican en el propio coche, de manera que las tarifas se cargan directamente sin necesidad de detenerlo.

Como consecuencia de la aplicación de esta Directiva, el reglamento general de la circulación español, aprobado en el BOE el 23 de diciembre de 2003, ya incluye dos señales nuevas de tráfico que identifican las vías de telepeaje y obligan a quien vaya a pagar el importe del peaje por este método, a estar equipado con un OBE válido.

Las señales oficiales representan una T blanca en tres cuerpos sobre fondo azul. La señal redonda identifica las vías de la estación de peaje donde el Telepeaje es el único sistema de pago aceptado que se denominan vías dedicadas. La señal rectangular indica que la vía así señalada es una vía mixta, en la que conviven el pago con el sistema de telepeaje junto con otros métodos que se especifican.

El uso del Telepeaje es sencillo y rápido, pero, en general sólo es válido, hoy por hoy, para vehículos ligeros, salvo en los casos en que se especifique la posibilidad de uso para vehículos pesados. Una vez que el vehículo dispone de un OBE válido, sólo tendrá que fijarse, cuando se aproxime a la estación de peaje, en qué vías se acepta el pago con este sistema y pasar por una de ellas sin preocuparse de nada más. Eso sí, el paso, en la estación de peaje, por una vía de Telepeaje requiere, por motivos de seguridad, no sobrepasar unos límites de velocidad específicamente señalizados en la vía, que suele ser de unos 40 a 60 km/h.

En caso de acceder a un tramo de autopista con peaje cerrado, es decir un tramo de autopista en el que primero se recoge un ticket y se abona a la salida según el recorrido realizado, el usuario que quiera pagar por este método, deberá entrar y salir por vías expresamente señalizadas como de Telepeaje, sin necesidad de detenerse para recoger ticket alguno. Al entrar y salir de la autopista por una vía de Telepeaje, no es necesario realizar ninguna parada.

En Francia el telepeaje con TAG único, lanzado en el año 2000, que ya supera el millón de unidades, es una realidad exitosa y ello permite ahorrar tiempo sea cual sea la empresa concesionaria de la autopista por la que se circula.

Entre las cifras clave del año 2005 cabe destacar: 8.000 km de red equipada, un millón de transacciones registradas cada día y unas 4.000 peticiones de abono por semana, cifras que llegan a sorprender a los propios expertos. Antes de ponerse de acuerdo sobre la idea de un TAG único y de un servicio común -bautizado "Liber T"-, cada empresa concesionaria de autopistas tenía su propio servicio de telepeaje y cada abono tenía validez únicamente en la red de la empresa que lo expedía y a menudo la tecnología era incompatible de una autopista a otra, una situación que obligaba a los usuarios más asiduos a viajar con una colección de tarjetas.

En Italia la empresa Autostrade declara tener 3 millones de TAGs en circulación y su servicio Telepass, que ya tiene 15 años de existencia, parece igual de eficaz que el francés. Ahora, la próxima etapa consistirá en garantizar la compatibilidad entre los TAGs de un país a otro.

En otros países en dónde las autopistas han sido de uso libre, como es el caso de Alemania, a partir de enero de 2005 y tras superar algunos problemas iniciales se ha impuesto un sistema de telepeaje, inicialmente en versión reducida, llamado "Toll Collect", para camiones de más de 12 toneladas, mientras que el sistema con funcionalidad completa se lanzará en 2006. Hay que tener en cuenta que Alemania, por estar en el centro de Europa, es un país de tránsito para muchos vehículos pesados y este canon es una manera de recaudar fondos para mantener las autopistas existentes y crear otras nuevas. Toll Collect es un consorcio de empresas, formado en 2002, por las alemanas Deutsche Telekom, DaimlerChrysler y la francesa Cofiroute.

Sistema de Telepeaje (Toll collect)

En el caso alemán, la tecnología empleada es algo diferente a la española y la francesa, pues no utiliza las microondas, sino que el sistema, más avanzado, consta de un módulo (OBU) compuesto por un receptor GPS que permite marcar en todo momento la ruta seguida por el vehículo en cuestión, un módulo DSRC (Dedicated Short Range Communication) que ahora mediante infrarrojos y en un futuro microondas, para poder interoperar con otros sistemas europeos, transmite información de localización a puentes y vehículos de control, y la ayuda de la telefonía móvil GSM/GPRS para la transmisión de los datos al centro de control, que realiza automáticamente los cálculos para el cobro en toda la red de autopistas federales, que en Alemania superan los 12.000 km, según los kilómetros recorridos, el número de ejes y de la categoría según las emisiones contaminantes. El pago también se puede realizar manualmente en los terminales de peaje o, por adelantado, vía Internet, pero esto, evidentemente, resulta mucho menos cómodo y práctico.

El problema para los usuarios, en sus desplazamientos, puede venir por la falta de interoperabilidad de los distintos sistemas existentes. La Directiva aprobada por el Consejo de la UE permite la percepción electrónica de todos los tipos de cánones de carretera mediante: el sistema de satélites complementado con el GSM móvil; las microondas a 5,8 GHz, y el de "satélites con infrarrojos", pero se pretende que todos los sistemas actuales abandonen la tecnología de microondas (TAG) y pasen a una tecnología basada en la localización por satélite y en las comunicaciones móviles. La Directiva 2004/52/CE, de 29 de abril, prevé que todos los sistemas de la UE sean interoperables a partir del año 2012, cuando sólo esté en funcionamiento el sistema de satélites europeo o "Servicio Europeo de Telepeaje".

La Comisión presentará en 2009 un informe sobre el estado de los sistemas de telepeaje, y si el sistema de satélites europeo Galileo funciona correctamente, se hará obligatorio el cambio a partir de 2012. Además, como muy tarde en el 2005 la mitad de los carriles de pago de cada área de peaje deberán estar equipados con sistemas de pago electrónico.

ASETA

http://www.aseta.es y http://www.viat.es/

Liber-T _Francia

http://www.area-autoroutes.fr/htm/c10_liberte.htm

Toll Collect_Alemania

http://www.toll-collect.de/

Telepass_Italia

http://www.telepass.it/

La tecnología Tempest blinda los ordenadores para evitar fuga de datos

El Ejército español y empresas privadas la usan para evitar que un espía capte los campos electromagnéticos que generan las máquinas. Los que trabajan con información clasificada han de apantallar las máquinas.

l Ejército español está protegiendo ordenadores y sistemas de comunicaciones que manejan información clasificada para evitar su posible robo o destrucción a través de las ondas electromagnéticas y eléctricas que desprenden automáticamente este tipo de equipos informáticos.

La protección se basa en introducir las unidades críticas de los cuarteles en salas blindadas especiales que cumplen medidas Tempest, una certificación creada hace décadas por Estados Unidos para garantizar la seguridad de los centros de comunicaciones gubernamentales.

¿Por qué es necesario este tipo de seguridad? Los aparatos modernos, aunque deben cumplir normativas de compatibilidad electromagnética, pueden desprender campos electromagnéticos y eléctricos. Por ejemplo, un disco duro emana distintas señales cuando lee un 0 de cuando lee un 1. Un atacante, cómodamente instalado a cientos de metros e incluso a kilómetros, podría captar las ondas y reconstruir la información pertrechado con aparatos adecuados. Los consumidores pueden respirar tranquilos: el vecino espía lo tiene difícil porque acceder a este tipo de materiales es caro, y su manejo, para expertos.

Las salas Tempest son unas habitaciones construidas con materiales especiales. Atenúan los campos electromagnéticos emanados por los aparatos y se vuelven impermeables a las interferencias creadas por centros de transformación de energía, por ejemplo.

La certificación Tempest se consigue cuando la reducción de las ondas sobrepasa los 110 decibelios (DB); por debajo son medidas Soft Tempest. A más decibelios, mayor protección, pero el coste se dispara. Una atenuación de 40 DB representa una efectividad del 99,9%. A pesar de la cifra, es poco seguro; alcanzar los 110 DB exige atenuaciones del 99,999999%: milésimas caras y difíciles de conseguir. Un diminuto poro en los paneles echaría todo al traste. "Ahora también se apantallan ordenadores, ristras de servidores y otro tipo de equipos informáticos", asegura Carmen Ibáñez, responsable de Proysa, empresa burgalesa de seguridad.

Salas Tempest

Proysa está instalando 25 salas Tempest en cuarteles del Ejército español. Son espacios de dos habitáculos: uno para los operadores y otro para almacenar datos. El proyecto también afecta a hangares y zonas de diseño de aviones.

La Marina también ha protegido algunos navíos con estas salas y el Ejército ha preparado en el extranjero camiones de comunicaciones, con cajas Tempest que deben soportar baches y agua sin que se desajuste ni un tornillo, por donde podrían pasar las ondas. Consultado sobre el alcance de estas medidas, el Ministerio de Defensa no ha ofrecido ningún detalle.

No siempre son necesarias las salas Tempest. Para evitar emisiones no deseadas de antenas de telefonía móvil o líneas de media tensión, basta con introducir los equipos informáticos en armarios apantallados. Algunos computadores y periféricos son en sí mismos pequeñas jaulas Tempest: ni irradian ni se ven afectados por las señales.

El mercado Tempest en España es incipiente y se dedican a él pocas empresas. Proysa ha instalado 40 habitaciones blindadas, construye unas 10 al año y en 2004 prevé montar 15 más.

Una instalación puede durar de dos a tres meses y afectar a un edificio entero. Tres empresas de diseño de prototipos de vehículos, dos entidades financieras y un operador de telefonía fija son algunos de sus últimos clientes. El espionaje industrial preocupa cada vez más, pero también los posibles daños de grandes bases de datos a causa de las interferencias.

Advanced Shielding Technology (AST), del grupo Daunert, también trabaja con técnicas Tempest. Ha creado una filial en Alemania y es proveedor de dos grandes multinacionales informáticas norteamericanas en temas de auditoría y apantallamiento de centros de datos europeos. Joseba Calvo, responsable de AST, destaca que ahora existe un mayor interés por este tipo de protección frente a los campos eléctricos y, en algunos casos, electromagnéticos. Sobre todo en aeropuertos, hospitales y oficinas.

Protección cara

En todas las situaciones, el equipo prioritario a salvaguardar es el ordenador, donde residan los datos o el servidor conectado a la Red. No merece la pena blindar teclados, el ratón, impresoras o monitores, señala Ibáñez: "Es como matar pulgas a cañonazos, porque para captar lo que emiten esos aparatos periféricos es necesaria una tecnología muy sofisticada y cara".

Una sala típica cuesta alrededor de 40.000 euros. Apantallar un ordenador, unos 1.500 euros. Los cables de red estándar salen a unos 72 euros el metro. Pero los niveles de contramedidas más altos sólo están al alcance de instalaciones de alta seguridad.

A diferencia de Internet, estos ataques pueden pasar completamente desapercibidos. "Necesitas un detector de campos magnéticos para comprobar cambios, y casi nadie lo tiene", asegura Calvo.

Los equipos certificados Tempest no se encuentran en tiendas de informática, y el material para sabotear la información, tampoco.

Con un presupuesto de 12.000 euros, un manitas puede encontrar en Internet todo lo necesario para construir un equipo de espionaje básico; la efectividad dependerá del desembolso, de los conocimientos técnicos y del objetivo a atacar, afirma Calvo.

jueves, febrero 28, 2008

Windows Vista será más benevolente con los piratas

Pronto los piratas podrán usar Windows Vista sin activar el producto. Sin embargo, hay un pequeño inconveniente. Diario Ti: Microsoft ha anunciado grandes cambios a su solución WGA ((Windows Genuine Advantage) . Entre otras cosas, WGA hace posible usar Windows Vista sin activar el sistema operativo. De esa forma, usuarios piratas podrán instalar y usar el sistema operativo sin una licencia válida, y sin recurrir a los conocidos métodos de cracking que abundan en Internet.

Recordatorio eterno
Una actualización que será publicada con posterioridad al lanzamiento del Service Pack 1 para Windows Vista este mes procurará que la funcionalidad del sistema operativo no sea desactivada después del período de prueba, que continuará siendo de 30 días. Si los usuarios no activan Windows dentro de los 30 días siguientes a su instalación, el sistema presentará el siguiente mensaje cada vez que el usuario de conecte:

(634x516 pixel - 26408 bytes). Al cabo de 15 segundos el mensaje desaparecerá por sí mismo, y el usuario podrá trabajar normalmente con el sistema operativo. Sin embargo, cada una hora el color del fondo del escritorio será sustituido por un color negro, con un recordatorio de la necesidad de activar el sistema.

El siguiente texto será presentado junto con el cambio visual: (564x423 pixel - 14593 bytes). Para el usuario será posible cambiar el color de fondo del escritorio manualmente, pero cada vez que el recordatorio se presente en la pantalla, el color de fondo será negro nuevamente.

Si los usuarios consideran tal situación aceptable, en teoría podrán usar Windows de manera ilimitada, sin activar el sistema operativo.

Los cambios aplicados por Microsoft a su solución WGA no están dirigidos específicamente a los piratas, quienes al parecer de una u otra forma encuentran formas de activar el sistema operativo, sino para el usuario promedio, que por una u otra razón han instalado una versión pirata de Windows Vista. Las intenciones de Microsoft son instar a tales usuarios a comprar una licencia, en lugar de obligarles a hacerlo, como era el caso anteriormente.

Fuente: Blog de Alex Kochis (Senior Product Manager, WGA, Microsoft)

¿cómo funciona un programador de tarjetas?

Una tarjeta inteligente es un mini ordenador en el que se requiere para ejecutar la programación. A smart card doesn't contain an interface-like display or keyboard, so smart card readers are used to read or update the data to\from smart cards. Una tarjeta inteligente no contiene una interfaz de pantalla o el teclado, como, por lo que los lectores de tarjetas inteligentes se usan para leer o actualizar los datos de \ de las tarjetas inteligentes. Smart cards contain an operating system which provides a platform to run applications. Las tarjetas inteligentes contienen un sistema operativo que proporciona una plataforma para ejecutar aplicaciones.

Smart card operating systems can be divided into two categories. Tarjeta inteligente, los sistemas operativos se pueden dividir en dos categorías.

The first kind of operating system is based on the Disk Drive approach. El primer tipo de sistema operativo se basa en el enfoque Disk Drive. This operating system contains an active memory manager which can load any file or application in the card on demand. Este sistema operativo contiene un administrador de memoria que puede cargar cualquier archivo o aplicación en la tarjeta de demanda. The Card Operating System allows for active file allocation and management (JAVA Card OS is an example of this approach). La tarjeta del sistema operativo permite la asignación de activos y la gestión de archivos (JAVA OS Card es un ejemplo de este enfoque).

The advantage of Disk Drive based operating system is that the substitution cost for cards is less expensive, but the start-up costs are higher. La ventaja de los discos duros basados en el sistema operativo es que el costo de sustitución de las tarjetas es menos costoso, pero los costos iniciales son más elevados. This card requires a lager amount of free memory to cope with future application uploads. Esta tarjeta requiere de un lager cantidad de memoria libre para hacer frente a futuras subidas de solicitud. Due to the heavy use of expensive semiconductors, the cost is higher for these cards. Debido a la utilización masiva de semiconductores caro, el costo es mayor para estas tarjetas. The security infrastructure costs are also higher due to the multiple points of entry to card system functions. Los costos de la infraestructura de seguridad también son más altos debido a los múltiples puntos de entrada al sistema de tarjetas de funciones.

The second approach treats the card as a secure device where, files and permissions to these files are all set by the admin. El segundo enfoque trata de la tarjeta de seguro como un dispositivo en el que, a los permisos de archivos y estos archivos son fijados por el administrador. The only access to the cards is through the operating system. El único acceso a través de las cartas es el sistema operativo. There is no other way to access the file structure. No hay otra forma de acceder a la estructura de archivos. Data can be accessed as per the permissions set by the user. Los datos se puede acceder como por los permisos establecidos por el usuario. These operating systems can then run your applications. Estos sistemas operativos puede correr sus aplicaciones. Commands can be passed to the card via the card reader and then the desired application can be accessed through the smart card. Los comandos se pueden pasar a la tarjeta a través del lector de tarjetas y, a continuación, la aplicación deseada se puede acceder a través de la tarjeta inteligente.

One of the most commonly used smart card operating systems is JavaCard. Uno de los más utilizados sistemas operativos de tarjeta inteligente es JavaCard. It provides standard API to load and run java applets directly on a standard ISO 7816 compliant card. Proporciona API estándar para cargar y ejecutar applets de Java directamente en un estándar ISO 7816 cumplen con tarjeta. JavaCards enable secure and chip-independent execution of various applications. JavaCards permita garantizar chip-independiente y ejecución de diversas aplicaciones.

The following requirement needs to be addressed before starting application development on smart cards: El siguiente requisito es necesario abordar antes de iniciar el desarrollo de aplicaciones sobre tarjetas inteligentes:

  • Smart card reader Lector de tarjetas inteligentes
  • Software to communicate with the reader Software para comunicarse con el lector
  • Software to communicate with the smart card Software para comunicarse con la tarjeta inteligente
  • Smart cards and smart card hardware Las tarjetas inteligentes y tarjetas inteligentes de hardware

Before we address smart card programming, we have to be able to communicate with the reader. Antes de abordar la programación de tarjetas inteligentes, tenemos que ser capaces de comunicarse con el lector. Because there are many different cards, there are many different readers. Debido a que hay muchas tarjetas diferentes, hay diferentes lectores. So proper interface implementation should be used for communication. Así adecuado interfaz de la aplicación se debe utilizar para la comunicación.

Once the above setup is complete, programming and application upload can begin utilizing the smart card. Una vez que la configuración esté completa, la programación y la aplicación de carga puede comenzar la utilización de la tarjeta inteligente. JavaCard allows applications to be loaded on demand. JavaCard permite que las aplicaciones que se cargan en la demanda.

In the early years of smart card development, each software application representing a product on a card was written for a specific card with a specific operating system, which in turn was specific to a hardware application. En los primeros años de desarrollo de tarjetas inteligentes, cada aplicación de software que representa un producto en una tarjeta ha sido escrita para una tarjeta con un sistema operativo específico, que a su vez fue específica a una aplicación de hardware. Sometimes a direct application was also installed without an operating system to make the card very specific to that application. A veces, una aplicación directa también fue instalado sin un sistema operativo para hacer la tarjeta muy concretos de esa solicitud. However, the evolution of multiple application operating systems brought about a new era. Sin embargo, la evolución de las solicitudes múltiples sistemas operativos dado lugar a una nueva era. JavaCard is an open, multi-application operating system for smart cards. JavaCard es una institución abierta, multi-aplicación del sistema operativo para tarjetas inteligentes. Any person can develop applications using Java programming language. Cualquier persona puede desarrollar aplicaciones utilizando lenguaje de programación Java. The java programs can run independently on the card and can be run on any ISO 7816 compliant smart cards. Los programas Java pueden ejecutar independientemente de la tarjeta y se pueden ejecutar en cualquier ISO 7816 compatible con las tarjetas inteligentes. This way applications from various vendors can be combined, yet remain separate from each other. De esta manera las aplicaciones de diversos proveedores se pueden combinar, pero siguen siendo independientes el uno del otro.

The ISO 7816 standard was developed to define the mechanical and electrical characteristics along with the protocol for communication with the card. La norma ISO 7816 se ha desarrollado para definir las características mecánicas y eléctricas, junto con el protocolo para la comunicación con la tarjeta. Unfortunately, the ISO group was unable to baseline a standard for communicating with the reader. Lamentablemente, el grupo no pudo ISO a la base de referencia un estándar para la comunicación con el lector. So, in order to communicate with the smart card it is required to first understand the commands supported by the card. Así, con el fin de comunicarse con la tarjeta inteligente es necesaria para entender los comandos apoyo de la tarjeta. Then these commands need to be encapsulated into ISO standard commands. Luego, estos comandos deben ser encapsulados en la norma ISO comandos.

Now, let's take a look of the APIs which allow us to send commands from an application to a reader. Ahora, echemos un vistazo de la API que nos permiten enviar comandos desde una aplicación a un lector. The reader communicates with the card where the actual processing takes place. El lector se comunica con la tarjeta cuando la transformación se lleve a cabo. From a technical standpoint, the key is a smart card API. Desde un punto de vista técnico, la clave es una tarjeta inteligente API. This is a layer of software that allows an application to communicate with smart cards and readers from more than one manufacturer. Esta es una capa de software que permite a una aplicación para comunicarse con las tarjetas inteligentes y lectores de más de un fabricante. The API allows the programmers or users the ability to select smart cards from multiple vendors. El API permite a los programadores o los usuarios la capacidad de seleccionar las tarjetas inteligentes de múltiples proveedores. Running an application on multiple smart cards encourages competition among card vendors and the benefits of that competition include greater quality and lower prices. Ejecución de una aplicación en múltiples tarjetas inteligentes alienta la competencia entre los proveedores de tarjetas y los beneficios de la competencia que incluya una mayor calidad y precios más bajos.

The smart card programming API provides an application layer between the smart card and the application interface. La tarjeta inteligente proporciona una API de programación de nivel de aplicación entre la tarjeta inteligente y la interfaz de aplicación. The unit of exchange with a smart card is the called as Application Protocol Data Unit (APDU) packet. La unidad de intercambio con una tarjeta inteligente, como es el llamado Protocolo de Aplicación de datos Unidad de paquetes (APDU). Communication with the card and the reader is performed using APDUs. La comunicación con la tarjeta y el lector se realiza mediante APDUs. An APDU can be considered a data packet that contains a complete instruction for the card or a complete response from a card. Una APDU puede ser considerado como un paquete de datos que contiene una completa instrucción de la tarjeta o de una respuesta completa de una tarjeta.

The following are some of the classes provided for transporting APDUs and their function: Las siguientes son algunas de las clases previstas para el transporte de APDUs y su función:

  • Response Respuesta
  • Command Comando
  • ISOCommand
  • ISOCardReader interface ISOCardReader interfaz
  • ISOCardReader

Sun has developed the Java Electronic Commerce Framework (JECF), an extension to the core Java platform that allows developers to easily and rapidly develop electronic commerce applications. Sun Java ha elaborado el Marco de Comercio Electrónico (JECF), una extensión de la plataforma Java básico que permite a los desarrolladores desarrollar fácil y rápidamente aplicaciones de comercio electrónico. JECF provides several classes that easily support communication with smart cards. JECF proporciona varias clases de apoyo que fácilmente la comunicación con las tarjetas inteligentes. It can be downloaded free of charge from Sun's website and can be used easily by a smart card programmer. Se puede descargar gratuitamente desde el sitio web de Sun y puede ser utilizado fácilmente por un programador de tarjetas inteligentes.

The smart card application development process includes following steps: La tarjeta inteligente, el desarrollo de aplicaciones de proceso incluye los pasos siguientes:

  • User requirements: What does the user want to accomplish? Las necesidades de los usuarios: ¿Qué significa que el usuario desea lograr?
  • Software requirements: Map user requirements to software requirements. Requisitos de software: mapa de las necesidades de los usuarios de software a las necesidades.
  • Architectural design: Design the architecture of the solution. Diseño arquitectónico: Diseño de la arquitectura de la solución.
  • Code Generation: Create code as per the architecture. Generación de Código: Crear código como por la arquitectura.
  • Emulation: Use emulators to test the code on virtual card. Emulación: Utilizar emuladores para probar el código de la tarjeta virtual.
  • In-card Emulation: Run the code on actual card using card reader. - En la tarjeta de Emulación: Ejecutar el código en efectivo usando la tarjeta de lector de tarjetas.
  • Verification and Validation: It involves the testing. Verificación y Validación: Se trata de los ensayos.
  • Final testing and maintenance. Final de la prueba y el mantenimiento.

miércoles, febrero 27, 2008

Belkin F5D7051 en Linux

Extrañamente no hay ningun tutorial ni nada similar que explique como configurar este dispositivo wireless en Linux. En algunas paginas explican como instalarlo utilizando ndiswrapper (es el unico modo que he conseguido hacerlo hasta ahora). Pero falta informacion. Este ha sido testeado en Mandriva Linux 2006 y funciona sin problemas, al cargar los drivers de windows desde ndiswrapper estos detectan la red sin problemas. El problema viene en otras distros donde extrañamente no detecta el dispositivo debido a un error de configuracion. Aqui van los pasos necesarios para poder instalarlo y funcionar en cualquier distro de Linux:

- Instalar la ultima version estable de ndiswrapper. La que suelen traer de serie en algunas distros da problemas al no detectar ndiswrapper como modulo. Pagina oficial de Ndiswrapper

su
tar -xvf ndiswrapper-XXX.tar.gz
cd ndiswrapper-xxx
./configure
make
make install

- Una vez instalada la ultima version de ndiswrapper procedeos a crear el alias para la conexion wlan
ndiswrapper -m

- Copiamos en un directorio los drivers de windows, en concreto solo son necesarios 3 archivos (bcmrndis.inf, usb8023k.sys y rndismpk.sys). Si no se utiliza windows se pueden descargar los drivers para el dispositivo desde la web de belkin.
cd Belkin
ndiswrapper -i bcmrndis.inf
cp *.sys /etc/ndiswrapper/bcmrndis/
modprobe ndiswrapper

- Con esto ya estaria configurado el dispositivo en un principio en Mandriva 2006, solo seria necesario configurar la ip asi como los demas parametros de conexión.

- En otras distros queda un parametro por configurar del usb que por defecto esta configurado como apagado. Para ello:
echo -n 1 > /sys/bus/usb/devices/xx-xx/bConfigurationValue

- xx-xx, es el id del usb donde se encuentra conectado el dispositivo usb. Para saber este simplemente haciendo un lsusb puede obtenerse la id del mismo.

- Con esto ya fincionaria el dispositivo en cualquier distro de Linux. Problema agregado, la configuracion del dispositivo se reinicia cada vez que el SO se apaga o se reinicia con lo cual el valor de bConfogurationValue habra que cambiarlo cada vez que esto ocurra. Se que se puede configurar mediante udev mediante la creación de ciertas reglas aunque aún no lo he probado.Manual reglas Udev Espero les sirva.

- Es posible que las reglas udev no funcionen. Un metodo facil y rapido para cambiar la configuracion del fichero bConfigurationValue y que se cargue al inicio es:

como root editar el fichero /etc/rc.local y añadir echo -n 1 > /sys/bus/usb/devices/xx-xx/bConfigurationValue.
Esta linea hara que se cargue al inicio el dispostivo wiffi sin necesidad de agregar el valor en cada reinicio o inicio del sistema.

Tarjetas inteligentes

Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), es cualquier tarjeta del tamaño de un bolsillo con circuitos integrados incluidos que permitan la ejecución de cierta lógica programada. Aunque existe un diverso rango de aplicaciones, hay dos categorías principales de TCI. Las Tarjetas de memoria contienen sólo componentes de memoria no volátil y posiblemente alguna lógica de seguridad. Las tarjetas microprocesadoras contienen memoria y microprocesadores.
La percepción estándar de una tarjeta inteligente es una tarjeta microprocesadora de las dimensiones de una tarjeta de crédito (o más pequeña, como por ejemplo, tarjetas SIM o GSM) con varias propiedades especiales (ej. un procesador criptográfico seguro, sistema de archivos seguro, características legibles por humanos) y es capaz de proveer servicios de seguridad (ej. confidencialidad de la información en la memoria).
Las tarjetas no contienen baterías; la energía es suministrada por los lectores de tarjetas.


Historia
Las tarjetas inteligentes fueron inventadas y patentadas en los setenta. Existen algunas discusiones de quién es el "inventor" original; entre los que se encuentran Juergen Dethloff de Alemania, Arimura de Japón y Moreno de Francia. El primer uso masivo de las tarjetas fue para el pago telefónico público en Francia en 1983. Desde los años 70, la historia de tarjetas inteligentes ha reflejado los constantes avances en capacidades técnicas y ámbitos de aplicabilidad.
El mayor auge de las tarjetas inteligentes fue en los noventa, con la introducción de las tarjetas SIM utilizadas en la telefonía móvil GSM en Europa.
Las firmas internacionales MasterCard, Visa, y Europay publicaron un estándar de interoperabilidad para el pago con tarjetas inteligentes en 1996 el que fue revisado en 2000. Este estándar, llamado EMV se ha introducido mundialmente de manera gradual, con la esperanza de reemplazar las tarjetas basadas en cintas magnéticas. Actualmente, las especificaciones EMV son costosas de implementar, con el único beneficio de la reducción del fraude. Algunos críticos aseguran que los ahorros son mucho menores que los costos de implementar EMV y muchos creen que la industria optará por esperar que termine el actual ciclo de vida del EMV para implementar una nueva tecnología sin contacto.
Las tarjetas inteligentes con interfaces sin contacto están transformándose en un medio popular para aplicaciones de pago como el transporte masivo. Estándares de este tipo de interoperabilidad han sido publicados en el Reino Unido [1] y Europa IOPTA.
Las tarjetas inteligentes también se han utilizado para identificar al personal de las empresas. Las tarjetas de identificación, el permiso de conducir están prevaleciendo más y más, y las tarjetas inteligentes sin contacto se han integrado en pasaportes ICAO para asegurar la seguridad para viajes internacionales.
Cronología
En 1970 el Dr Kunitaka Arimura presentó en Japón la primera y única patente en el concepto de tarjeta inteligente.
En 1974 Roland Moreno presentó en Francia la patente original de la tarjeta chip (con un circuito integrado), más tarde bautizado como tarjeta inteligente.
En 1977 tres fabricantes, Bull CP8, SGS Thomson, y Schlumberger comienzan a desarrollar tarjetas chip.
En 1979 Motorola desarrolló el primer chip seguro para su uso en la banca francesa.
En 1982 se realizan en Francia ensayos con tarjetas de memoria para usar en teléfonos (France Telecom; la primera gran prueba de las tarjetas chip.
En 1984 se realizan pruebas con cajeros automáticos con tarjetas chip bancarias con éxito.
En 1986, 14.000 tarjetas equipadas con el Bull CP8 se distribuyeron a los clientes del Banco de Virginia y Maryland National Bank. Además, 50.000 tarjetas Casio se distribuyeron a los clientes de Palm Beach First National Bank y el Mall Bank.
En 1987 se implanta el primer proyecto a gran escala de tarjetas inteligentes en los Estados Unidos con la Peanut Marketing Card del Departamento de Agricultura del país.
En 1988 se crea la primera tarjeta bancaria con el algoritmo criptográfico DES para Carte Bancaire.
En 1992 se lanza un proyecto de monedero electrónico prepago (DANMONT) se inicia en Dinamarca.
En 1993, proyectos piloto de múltiples aplicaciones de tarjetas inteligentes en Rennes, Francia, donde la función Telecarte (para teléfonos públicos) fue habilitado en una tarjeta bancaria.
En 1994 Europay, MasterCard y Visa (EMV) publica la primera versión de las especificaciones de interoperabilidad de las aplicaciones bancarias de las tarjetas inteligentes. Al mismo tiempo, Alemania comienza la emisión de 80 millones de tarjetas con chip de memoria para las tarjetas sanitarias de sus ciudadanos.
En 1995 Más de 3 millones de abonados de teléfonos móviles en todo el mundo (con tajetas chip SIM GSM).
En 1996 Más de 1,5 millones de tarjetas monedero VISACash se emitieron en los Juegos Olímpicos de Atlanta. MasterCard y Visa desarrollan por separado sus tecnologías y participan en EMV para intentar forzar la interoperabilidad: la Java Card respaldada por Visa, y la aplicación de múltiples sistemas operativos (MULTOS) respaldada por MasterCard.
En 1998 la Administración de Servicios Generales y de la Marina de los Estados Unidos unen sus fuerzas y ponen en marcha un sistema administrativo de gestión basado en una tarjeta inteligente para demostrar y evaluar la integración de múltiples aplicaciones de tarjetas inteligentes con otros tipos de tecnología y su aplicabilidad en la administración electrónica en el Gobierno Federal. Además, Francia inicia la aplicación experimental de una tarjeta inteligente de salud para sus 50 millones de ciudadanos.

Clasificaciones

Tipos de tarjetas según sus capacidades
Según las capacidades de su chip, las tarjetas más habituales son:
Memoria: tarjetas que únicamente son un contenedor de ficheros pero que no albergan aplicaciones ejecutables. Por ejemplo, MIFARE. Éstas se usan generalmente en aplicaciones de identificación y control de acceso sin altos requisitos de seguridad.
Microprocesadas: tarjetas con una estructura análoga a la de un ordenador (procesador, memoria volátil, memoria persistente). Éstas albergan ficheros y aplicaciones y suelen usarse para identificación y pago con monederos electrónicos.
Criptográficas: tarjetas microprocesadas avanzadas en las que hay módulos hardware para la ejecución de algoritmos usados en cifrados y firmas digitales. En estas tarjetas se puede almacenar de forma segura un certificado digital (y su clave privada) y firmar documentos o autenticarse con la tarjeta sin que el certificado salga de la tarjeta (sin que se instale en el almacén de certificados de un navegador web, por ejemplo) ya que es el procesador de la propia tarjeta el que realiza la firma. Un ejemplo de estas tarjetas son las emitidas por la Fábrica Nacional de Moneda y Timbre (FNMT) española para la firma digital (véase Ceres-FNMT).

Tipos de tarjetas según la estructura de su sistema operativo
Tarjetas de memoria. Tarjetas que únicamente son un contenedor de ficheros pero que no albergan aplicaciones ejecutables. Disponen de un sistema operativo limitado con una serie de comandos básicos de lectura y escritura de las distintas secciones de memoria y pueden tener capacidades de seguridad para proteger el acceso a determinadas zonas de memoria.
Basadas en sistemas de ficheros, aplicaciones y comandos. Estas tarjetas disponen del equivalente a un sistema de ficheros compatible con el estándar ISO/IEC 7816 parte 4 y un sistema operativo en el que se incrustan una o más aplicaciones (durante el proceso de fabricación) que exponen una serie de comandos que se pueden invocar a través de APIs de programación.
Java Cards. Una Java Card es una tarjeta capaz de ejecutar mini-aplicaciones Java. En este tipo de tarjetas el sistema operativo es una pequeña máquina virtual Java (JVM) y en ellas se pueden cargar dinámicamente aplicaciones desarrolladas específicamente para este entorno.

Tipos de tarjetas según el formato (tamaño)
En el estándar ISO/IEC 7816 parte 1 se definen los siguientes tamaños para tarjetas inteligentes:
ID 000 : el de las tarjetas SIM usadas para teléfonos móviles GSM. También acostumbran a tener este formato las tarjetas SAM (Security Access Module) utilizadas para la autenticación criptográfica mútua de tarjeta y terminal.
ID 00 : un tamaño intermedio poco utilizado comercialmente.
ID 1 : el más habitual, tamaño tarjeta de crédito.

Tipos de tarjetas según la interfaz

Tarjeta inteligente de contacto
Estas tarjetas disponen de unos contactos metálicos visibles y debidamente estandarizados (parte 2 de la ISO/IEC 7816). Estas tarjetas, por tanto, deben ser insertadas en una ranura de un lector para poder operar con ellas. A través de estos contactos el lector alimenta eléctricamente a la tarjeta y transmite los datos oportunos para operar con ella conforme al estándar.

Contactos del chip de una tarjeta con contactos
La serie de estándares ISO/IEC 7816 e ISO/IEC 7810 definen:
La forma física (parte 1)
La posición de las formas de los conectores eléctricos (parte 2)
Las características eléctricas (parte 3)
Los protocolos de comunicación (parte 3)
El formato de los comandos (ADPU's) enviados a la tarjeta y las respuestas retornadas por la misma
La dureza de la tarjeta
La funcionalidad
Los lectores de tarjetas inteligentes de contacto son utilizados como un medio de comunicación entre la tarjeta inteligente y un anfitrión, como por ejemplo un ordenador.

Tarjetas Inteligentes sin Contacto
El segundo tipo es la tarjeta inteligente sin contacto en el cual el chip se comunica con el lector de tarjetas mediante inducción a una tasa de transferencia de 106 a 848 Kb/s).
El estándar de comunicación de tarjetas inteligentes sin contacto es el ISO/IEC 14443 del 2001. Define dos tipos de tarjetas sin contacto (A y B), permitidos para distancias de comunicación de hasta 10 cm. Ha habido propuestas para la ISO 14443 tipos C, D, E y F que todavía tienen que completar el proceso de estandarización. Un estándar alternativo de tarjetas inteligentes sin contacto es el ISO 15693, el cual permite la comunicación a distancias de hasta 50 cm. Las más abundantes son las tarjetas de la familia MIFARE de Philips, las cuales representan a la ISO/IEC 14443-A.
Un ejemplo del amplio uso de tarjetas inteligentes sin contacto es la tarjeta Octopus en Hong Kong, la cual usa el estándar anterior al ISO/IEC 14443. La siguiente tabla muestra las tarjetas inteligentes utilizadas por el transporte público.
Lugar
Tarjeta
Proveedor
Introducción
Hong Kong
Octopus
Bogotá
Angelcom
Angelcom
2000
Córdoba
Redbus
Siemens
2007
Mendoza
Redbus
Siemens
2006
Buenos Aires
SubteCard
1999
Malasia
Touch 'n Go
Teras Technologi Sdn Bhd
1997
Washington, D.C.
SmarTrip
Cubic Transportation Systems
1999
Medellín
Cívica
UT Equant-Smart N IT para Metro de Medellín
2007
Taipei
EasyCard
Taipei Smart Card Corporation
marzo de 2000
Nottingham
EasyRider
Nottingham City Transport
septiembre de 2000
Singapur
EZ-Link
2001
París
Navigo Pass
RATP
octubre de 2001
Tokio
Tarjeta Suica
JR East
noviembre de 2001
Santiago de Chile
Multivía
Indra Sistemas para Metro de Santiago
2003
Santiago de Chile
Tarjeta bip!
Transantiago
2006
Chicago
Chicago Card
Chicago Transit Authority
2002
Nagasaki
Nagasaki Smart Card
enero de 2002
Londres
Oyster card
Transport for London
enero de 2004
Dublín
Luas
ITS
marzo de 2005
Minneapolis
Go-To card
Metro Transit (Minnesota)
Perth
SmartRider
Transperth y Wayfarer
enero de 2006
Boston
Charlie Card
Massachusetts Bay Transportation Authority
2006
Melbourne
2007
Toronto
GTA Farecard
GO Transit
2007
Guernsey
Multi Journey "Wave & Save"
Island Coachways
São Paulo
Bilhete Unico
Prefeitura de São Paulo
2004
San Francisco
TransLink
Metropolitan Transportation Commission
en pruebas desde 2002
V Región de Chile
Metro Valparaíso
Indra Sistemas para EFE
2005
Una tecnología sin contacto relacionada es RFID (identificación por radio frecuencia - radio frequency identification). En algunos casos puede ser utilizado para aplicaciones similares a las tarjetas inteligentes sin contacto, como el peaje electrónico. Las RFID generalmente no incluyen memoria de escritura o micro controladores como las tarjetas inteligentes sin contacto.

Tarjetas híbridas y duales
Una tarjeta híbrida es una tarjeta sin contacto (contactless) a la cual se le agrega un segundo chip de contacto. Ambos chips pueden ser o chips microprocesadores o simples chips de memoria. El chip sin contacto es generalmente usado en aplicaciones que requieren transacciones rápidas. Por ejemplo el transporte, mientras que el chip de contacto es generalmente utilizado en aplicaciones que requieren de alta seguridad como las bancarias. Un ejemplo es la tarjeta de identificación llamada MyKad en Malasia, que usa un chip Proton de contacto y un chip sin contacto MIFARE (ISO 14443A).
Una tarjeta de interfaz dual es similar a la tarjeta híbrida en que la tarjeta presenta ambas interfaces con y sin contacto. La diferencia más importante es el hecho de que la tarjeta de interfaz dual tiene un solo circuito integrado. Un ejemplo es la Oberthur Cosmo Card Dual-Interface.

Aplicaciones comerciales
Las dos aplicaciones fundamentales de las tarjetas inteligentes son:
Identificación del titular de la misma.
Pago electrónico de bienes o servicios mediante dinero virtual.
Almacenamiento seguro de información asociada al titular.
Las aplicaciones de las tarjetas inteligentes incluyen su uso como tarjeta de crédito, SIM para telefonía móvil, tarjetas de autorización para televisión por pago, identificación de alta seguridad, tarjetas de control de acceso y como tarjetas de pago del transporte público.
Las tarjetas inteligentes también son muy utilizadas como un monedero electrónico. Estas aplicaciones disponen normalmente de un fichero protegido que almacena un contador de saldo y comandos para decrementar e incrementar el saldo (esto último sólo con unas claves de seguridad especiales, obviamente). Con esta apliación, el chip de la tarjeta inteligente puede ser 'cargado' con dinero los que pueden ser utilizados en parquímetros, máquinas expendedoras u otros mercados. Protocolos criptográficos protegen el intercambio de dinero entre la tarjeta inteligente y la máquina receptora.
Cuando las tarjetas son criptográficas las posibilidades de identificación y autenticación se multiplican ya que se pueden almacenar de forma segura certificados digitales o características biométricas en ficheros protegidos dentro de la tarjeta de modo que estos elementos privados nunca salgan de la tarjeta y las operaciones de autenticación se realicen a través del propio chip criptográfico de la tarjeta.
De un modo más particular, las aplicaciones más habituales son:
Identificación digital: este tipo de aplicaciones se utilizan para validar la identidad del portador de la tarjeta en un sistema centralizado de gestión.
Control de acceso: este tipo de aplicaciones se utilizan para restringir o permitir el acceso a una determinada área en función de distintos parámetros que pueden estar grabados en la tarjeta o pueden ser recuperados de un sistema central de gestión a partir de la identidad grabada en la tarjeta. Este tipo de aplicaciones suelen estar ligadas a puertas o tornos automatizados que permiten/impiden el paso físico de una persona a una determinada área, si bien también tiene sentido este servicio en el ámbito de la autenticación en sistemas informáticos (webs, sistemas operativos, etc.). En este último caso, la frontera entre las aplicaciones de identificación y de control de acceso es difusa.
Monedero electrónico (Electronic Purse o Electronic Wallet (ePurse' y eWallet): esta aplicación se utiliza como dinero electrónico. Se puede cargar una cierta cantidad de dinero (en terminales autorizados que dispongan de las claves de seguridad oportunas) y luego, sobre esta cantidad de dinero se pueden realizar operaciones de débito o consulta de modo que puede ser utilizado para el pago o cobro de servicios o bienes.
Firma Digital: este tipo de aplicaciones permiten almacenar un certificado digital de forma segura dentro de la tarjeta y firmar con él documentos electrónicos sin que en ningún momento el certificado (y más concretamente su clave privada) salgan del almacenamiento seguro en el que están confinados. Con estas aplicaciones se abre todo un abanico de posibilidades en el campo de la Administración electrónica.
Fidelización de clientes: Este tipo de aplicación sirve a las empresas que ofrecen servicios o descuentos especiales para clientes que hacen uso de la tarjeta para poder validar la identidad del cliente, y para descentralizar la información. Suponiendo que se tiene un sistema de puntos acumulables canjeables por bienes o servicios, en el cual participan varias empresas, esto simplifica mucho el tratamiento de los datos, evitando tener que compartir una gran base de datos o tener que realizar réplicas de las distintas bases (los puntos se podrían guardar en la propia tarjeta).
Sistemas de Prepago: En estos sistemas, un cliente carga su tarjeta con una cierta cantidad de servicio su tarjeta, la cual va siendo decrementada a medida que el cliente hace uso del servicio. El servicio puede variar desde telefonía móvil hasta TV por cable, pasando por acceso a sitios web o transporte público.
Tarjetas sanitarias: En algunos hospitales y sistemas nacionales de salud ya se está implementando un sistema de identificación de pacientes y almacenamiento de los principales datos de la historia clínica de los mismos en tarjetas inteligentes para agilitar la atención. Actualmente la capacidad de almacenamiento es muy limitada, pero en un futuro quizás se podría almacenar toda la historia dentro de la tarjeta.
Nótese, en cualquier caso, que todos estos servicios pueden ser derivados de los tres puntos planteados inicialemnte (identificación, pago y almacenamiento seguro).

Estructura de una tarjeta inteligente microprocesada
Internamente, el chip de una tarjeta inteligente microprocesada se compone de:
CPU (Central Processing Unit): el procesador de la tarjeta; suelen ser de 8 bits, a 5 MHz. y 5 voltios. Pueden tener opcionalmente módulos hardware para operaciones criptográficas.
ROM (Read-Only Memory): memoria interna (normalmente entre 12 y 30 KB) en la que se incrusta el sistema operativo de la tarjeta, las rutinas del protocolo de comunicaciones y los algoritmos de seguridad de alto nivel por software. Esta memoria, como su nombre indica, no se puede reescribir y se inicializa durante el proceso de fabricación (véase apartado siguiente).
EEPROM: memoria de almacenamiento (equivalente al disco duro en un ordenador personal) en el que está grabado el sistema de ficheros, los datos usados por las aplicaciones, claves de seguridad y las propias aplicaciones que se ejecutan en la tarjeta. El acceso a esta memoria está protegido a distintos niveles por el sistema operativo de la tarjeta.
RAM (Random Access Memory): memoria volátil de trabajo del procesador.

Proceso de fabricación
La fabricación de tarjetas inteligentes abarca normalmente los siguientes pasos:
Fabricación del chip, o muchos chips en una oblea. Vario miles de chips de circuito integrado se fabrican a la vez en la forma de obleas de silicio con aproximadamente 3.000 a 4.000 unidades.
Empaquetado de los chips individuales para su inserción en una tarjeta. Una vez que se termina una oblea, cada chip se prueba individualmente, se divide la oblea y se realizan las conexiones eléctricas del chip.
Fabricación de la tarjeta. La tarjeta está compuesta de cloruro de polivinilo o de un material similar. Las características químicas y las dimensiones de la tarjeta y sus tolerancias son reguladas por estándares internacionales. El material de la tarjeta se produce en una hoja grande, plana del grosor prescrito. Para muchos tipos de tarjetas producidas en serie, estas hojas entonces se imprimen con los elementos gráficos comunes a todas las tarjetas. Las tarjetas individuales entonces se cortan de esta hoja plana y los bordes de cada tarjeta se lijan.
Inserción de el chip en la tarjeta. Una vez que el chip y la tarjeta estén preparados, los dos se unen: se hace un agujero en la tarjeta, y el chip se pega en él con pegamento.
Pre-personalización. Una vez la tarjeta está completa, la mayoría de los usos inteligentes de la misma requieren que ciertos ficheros de los programas o de datos estén instalados en cada chip (tarjeta) antes de que la tarjeta se pueda personalizar para un titular específico. Esta preparación general del software o de los archivos en la tarjeta se hace con una operación llamada la pre-personalización, que se hace a través de los contactos del chip y por lo tanto puede proceder solamente a la velocidad proporcionada por esa interfaz.
Personalización. El procedimiento de la personalización implica el poner de la información tal como nombres, perfiles o números de cuenta en la tarjeta; a partir de la realización de este proceso la tarjeta está asignada a una persona en particular. Normalmente esta personalización será gráfica (estampando o troquelando datos personales del titular sobre la superficie plástica de la tarjeta) y/o eléctrica (grabando información personal del titular en algún fichero de la tarjeta).

Seguridad
La seguridad es una de las propiedades más importantes de las tarjetas inteligentes y se aplica a múltiples niveles y con distintos mecanismos. Cada fichero lleva asociadas unas condiciones de acceso y deben ser satisfechas antes de ejecutar un comando sobre ese fichero.
En el momento de personalización de la tarjeta (durante su fabricación) se puede indicar qué mecanismos de seguridad se aplican a los ficheros. Normalmente se definirán:
Ficheros de acceso libre
Ficheros protegidos por claves: Pueden definirse varias claves con distintos propósitos. Normalmente se definen claves para proteger la escritura de algunos ficheros y claves específicas para los comandos de consumo y carga de las aplicaciones de monedero electrónico. De ese modo la aplicación que intente ejecutar comandos sobre ficheros protegidos tendrá que negociar previamente con la tarjeta la clave oportuna.
Ficheros protegidos por PIN: El PIN es un número secreto que va almacenado en un fichero protegido y que es solicitado al usuario para acceder a este tipo de ficheros protegidos. Cuando el usuario lo introduce y el programa se lo pasa a la operación que va a abrir el fichero en cuestión el sistema valida que el PIN sea correcto para dar acceso al fichero.
Finalmente, indicar que la negociación de claves se realiza habitualmente apoyándose en un Módulo SAM, que no deja de ser otra tarjeta inteligente en formato ID-000 alojada en un lector interno propio dentro de la carcasa del lector principal o del TPV y que contiene aplicaciones criptográficas que permiten negociar las claves oportunas con la tarjeta inteligente del usuario. Operando de este modo se está autenticando el lector, la tarjeta y el módulo SAM involucrados en cada operación.

Modelos de programación
Al aproximarse a la programación de tarjetas inteligentes hay que distinguir dos ámbitos claramente diferenciados:
Programación de aplicaciones para el chip de la tarjeta, es decir, de aplicaciones que se almacenan y ejecutan dentro del chip de la tarjeta cuando ésta recibe alimentación eléctrica de un lector.
Programación de aplicaciones para los sistemas en los que se utiliza la tarjeta, esto es, aplicaciones que se ejecutan en ordenadores (en un sentido genérico, ya que pueden ser TPVs empotrados, cajeros automáticos, PCs de escritorio, etc.) a los que se conecta un lector de tarjetas en el que se inserta (o aproxima si es un lector sin contactos) una tarjeta inteligente. Estas aplicaciones se comunican con el lector, el cual se comunica con la tarjeta y sus aplicaciones.

Programación de aplicaciones para el chip de la tarjeta
Este tipo de programación es de muy bajo nivel y depende normalmente del tipo y proceso de fabricación de las propias tarjetas. En la mayoría de las tarjetas inteligentes el sistema operativo de la tarjeta y las aplicaciones que van dentro del chip se cargan en el propio proceso de fabricación y no pueden ser luego modificadas una vez que la tarjeta ha sido fabricada.
Una excepción clara a este caso pueden ser las Java Cards, que son tarjetas que en el proceso de fabricación incorporan un sistema operativo y una máquina virtual Java específica para este entorno. Una vez fabricada la tarjeta, los desarrolladores pueden implementar mini-aplicaciones (applets) Java para ser cargadas en la tarjeta (mediante un procedimiento que garantice la seguridad del sistema).

Programación de aplicaciones para los sistemas en los que se utiliza la tarjeta
Existen varias APIs de programación estandarizadas para comunicarse con los lectores de tarjetas inteligentes desde un ordenador. Las principales son:
PC/SC (Personal Computer/Smart Card), especificado por el PC/SC Workgroup. Existe una implementación para Microsoft Windows y también el proyecto MUSCLE [2] proporciona una implementación casi completa de esta especificación para los sistemas operativos GNU Linux-UNIX.
OCF (OpenCard Framework), especificado por el grupo de empresas OpenCard. Este entorno intenta proporcionar un diseño orientado a objetos fácilmente extensible y modular. El consorcio OpenCard publica el API y proporciona una implementación de referencia en Java. Existe un adaptador para que OCF trabaje sobre PC/SC.
En ambos casos, el modelo de programación que utilizan las tarjetas inteligentes está basado en protocolos de petición-respuesta. La tarjeta (su software) expone una serie de comandos que pueden ser invocados. Estos comandos interactúan con los ficheros que subyacen a cada aplicación de la tarjeta y proporcionan un resultado. Desde el terminal se invocan estos comandos a través de cualquiera de las APIs antes descritas componiendo APDUs (Application Protocol Data Unit - comandos con parámetros) que son enviados a la tarjeta para que ésta responda.

Referencias de fabricantes de tarjetas y lectores
Sandisk (Microelectronica)
Gemplus
Schlumberger
Bull
Oberthur
Orga
Solaic
De la Rue (Philips)
Fábrica Nacional de Moneda y Timbre (FNMT)

Bibliografía de referencia
Smart Card Application Development Using Java [3]
Programmazione Delle Smart Card [4]
Smart Card Handbook [5]
Smat Card Developers Kit [6]