Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
TEMA
Esquema
TEMA 1 – Esquema
Aspectos avanzados sobre redes en entornos móviles y virtualizados
Vulnerabilidades NFC
2
Dependen del tipo de red Vulnerabilidades
Bluetooth Modelo en capas
inalámbrica
WiFi
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación.
Las redes inalámbricas son aquellas que no utilizan un medio físico para la transferencia
de información, sino que lo hacen a través del aire habitualmente mediante ondas
electromagnéticas. En este sentido, al no existir un medio físico al que se deba tener
acceso para interferir la comunicación, son mucho más vulnerables y por tanto se ha de
esmerar la protección sobre las mismas.
» Iridium: es un sistema de comunicación vía satélite muy poco extendido por su alto
coste. Permite comunicación con terminales especiales desde cualquier parte del
mundo.
Como podemos ver con todo este abanico de tecnologías, hablar de seguridad en redes
inalámbricas no es algo genérico, sino que dependerá del tipo de red, tipo de
comunicaciones, dispositivos, etc.
Intentaremos no obstante dar una idea general sobre las diferentes problemáticas que de
manera global todas las tecnologías inalámbricas presentan y nos centraremos de
manera específica en la tecnología WiFi por ser la más extendida y la que mayores
problemas de seguridad plantea.
Los dispositivos móviles han ido ganando importancia en los últimos años adquiriendo
cada vez mayor potencia y funcionalidad, siendo las siguientes sus principales
características:
Por todo ello, los dispositivos móviles son especialmente sensibles a los ataques y se
debe cuidar el tema de la seguridad sobre los mismos de manera detallada. Para
ello y habida cuenta que es muy diferente la seguridad a nivel de red que de sistema
operativo o de usuario, para los dispositivos inalámbricos se define un modelo de
seguridad en capas donde se diferencia en cada una de estas capas los diferentes ataques
que se pueden sufrir y vulnerabilidades de cada una de ellas, así como los mecanismos
de control de los mismos.
Para el estudio de los diferentes ataques contra redes inalámbricas y dispositivos móviles
nos basaremos en el esquema conceptual anterior, estudiando la casuística específica
para cada capa:
» Contra la calidad del servicio (QOS): existe otro tipo de ataque que no intenta
adquirir información de la comunicación sino simplemente impedir la misma. Esto se
hace mediante ataques a la calidad del servicio, en especial mediante los denominados
ataques de denegación de servicio (DoS). Estos ataques son muy típicos tanto en
comunicaciones inalámbricas como cableadas, aunque en los casos de comunicación
inalámbrica existen sistemas específicos de DoS que lo que hacen en incluir ruido en
el espectro de modo que enmascare la potencia de la comunicación impidiendo la
misma o incluso emitiendo en la misma frecuencia una señal de mayor potencia (es lo
que se denomina jamming). Otro modo típico es el de realizar gran número de
peticiones de comunicación a uno de los extremos, de modo que este acaba saturado
al no poder cursar todas a la vez y no permite o retrasa mucho la petición lícita.
» Tecnología bluetooth: especialmente con la llegada del Internet de las Cosas (IOT)
Bluetooth está recibiendo numerosos ataques de todo tipo con destino a hackear o
intervenir estos dispositivos satélites del ordenador o el teléfono móvil. Además de
casos de interceptar la comunicación para por ejemplo escuchar la conversación a
través de un manos libres, el alterar diversos actuadores o medidores que envían o
reciben señal a través de bluetooth u otros protocolos inalámbricos de corta distancia
para actuar sobre dispositivos es una de las grandes preocupaciones de este nuevo
paradigma de comunicación. Cada día son más comunes las pulseras cuantificadoras,
smartwatches y otros muchos dispositivos de medida que controlamos a través de
bluetooth dentro de la nueva tendencia de los wearables. Estas comunicaciones aún
no están estandarizadas y no existen frameworks robustos de seguridad.
» Tecnología GSM/LTE: las redes GSM y LTE son redes con potentes algoritmos de
protección que, si bien no son invulnerables, es muy difícil atacarlas para lo que es
necesario tener equipos específicos complejos y altos conocimientos (por ejemplo,
técnicas de suplantación de la estación base), ya que este tipo de redes entran a formar
parte de las infraestructuras críticas de los países. La intervención de comunicaciones,
posicionamiento, etc. suele pasar a través de solicitar acceso a una operadora.
Los dispositivos móviles permiten en la mayoría de los casos desactivar los diferentes
modos de comunicación. Es una buena costumbre desactivar aquellos que no se vayan a
utilizar en el momento para sí prever ataques del tipo anterior.
Los sistemas operativos para entornos móviles son cada vez más similares a los de un
ordenador personal a nivel de complejidad y por tanto tan vulnerables a ataques diversos
como estos.
» Android: es el sistema operativo de código abierto realizado por Google con el que
funcionan la mayoría de los terminales móviles.
» iOS: es el sistema operativo de Apple para su iPhone e iPad.
» Windows Mobile: es el sistema operativo de Microsoft con escasa implantación en
el mercado.
El estudio de los ataques a nivel de sistema operativo en terminales móviles hoy en día
nos lleva a situaciones análogas a los sistemas operativos de escritorio. Siendo los
principales riesgos:
Los sistemas operativos, para intentar aislar los distintos procesos unos de otros, utilizan
técnicas como ejecutar cada uno en un contenedor aislado donde se asignan recursos a
dicho contenedor de manera específica de modo que no puedan interferir con los
recursos de otros procesos. Esto es lo que se denomina técnicas de sandbox o caja de
arena, donde cada aplicación se ejecuta en su propia sandbox. En Android esto se traduce
en que las aplicaciones corren sobre máquinas virtuales. Actualmente Android utiliza la
máquina virtual ART.
Capa de aplicaciones
La capa de aplicaciones es uno de los puntos con mayor vulnerabilidad dentro de los
terminales móviles.
Comoquiera que existen aplicaciones de pago, existen mecanismos para poder instalar
las mismas fuera del método habitual, esto es, a través del propio mercado, ya sea
directamente o bien mediante mercados paralelos. Estos mercados paralelos, no
«filtran» en ningún caso la procedencia de las aplicaciones y su calidad por lo que
podemos instalar apps inseguras o directamente dañinas.
Estas aplicaciones podrán acceder a los diferentes recursos de nuestro sistema de modo
que podrán obtener toda la información relevante que poseamos, desde nuestros
contactos, posición, pasando por información financiera o de tarjetas de crédito,
fotografías, acceso a la cámara, al teléfono, etc. Es evidente el riesgo que este tipo de
ataques conllevan.
Para hacernos conscientes de los recursos a los que accede cada app, los sistemas
operativos nos indican a qué recursos está accediendo cada app y se nos pide permiso a
tal fin.
Ramsomware GrandCrab
Reportado por primera vez en enero de 2018, este tipo de ransomware solo ha ganado
notoriedad desde entonces. El GandCrab ataca a personas en lugar de a empresas, y
emplea principalmente tácticas de phishing para encontrar a sus víctimas.
» Virus.
» Troyanos.
» Keyloggers.
» Backdoors.
» Gusanos.
» Secuestradores de navegador.
» Dialers: muy habituales en dispositivos móviles ya que siempre está en estos
presentes la capacidad de llamar telefónicamente y por tanto de acceso a servicios de
tarificación especial.
Los objetivos principales del malware para Android son el phising, los SMS (para
suscripción a plataforma de pago), las aplicaciones bancarias y la posibilidad de
descargar malware adicional más peligroso.
Para impedir la instalación de software malicioso, los sistemas operativos móviles usan
dos mecanismos principales:
» La protección del superusuario: dentro de los perfiles con los que se pueden ejecutar
las diferentes aplicaciones, el supe usuario está deshabilitado por defecto de modo
que desde las apps no se tiene acceso a las características más peligrosas del sistema.
Otro ataque típico es el clickjacking mediante el cual el usuario no tiene más remedio
que pulsar en un enlace determinado o visitar una página web contra su voluntad ya sea
mediante engaño o dificultando la navegación. Los propios navegadores web cada vez
poseen mayores sistemas de control para evitar este tipo de ataques.
Pero no todo en el campo de las aplicaciones es negativo. Existen gran cantidad de ellas
que nos permiten aumentar la seguridad de nuestro dispositivo, desde sistemas de
autenticación más fuerte pasando por filtros antispam o programas antivirus que nos
ayudarán en la labor de securizar nuestro terminal ante aplicaciones con
comportamientos no deseados.
La sencillez de los SDK muchas veces permite que desarrolladores con poca experiencia
trabajen en nuevas apps sin realizar su labor con todas las garantías de seguridad. Es
importante utilizar las herramientas de seguridad que el SDK proporciona y seguir las
guías de codificación segura que se proporcionan. Además, si subimos las apps al market
oficial, estas serán auditadas a nivel de seguridad para garantizar la tranquilidad del
posible usuario final.
Además, todo esto lo puede realizar sin permisos de administrador (root). Otros troyanos
similares necesitan que el dispositivo esté rooteado (tenga acceso root) o realizar dicho
acceso ellos mismos (lo cual no siempre es trivial dependiendo del dispositivo en
cuestión) pero en este caso nada de eso es necesario ya que no necesita perfiles especiales.
Este formato RAT lo que supone además es que no solo consiste en un malware que ataca
dirigido por un grupo más o menos reducido de hackers, sino que es distribuido a través
de la Deep web como un compilador para que quien quiera pueda realizar su propia
versión de SpyNote, difundirla y canalizar la información hurtada hacia su propio
servidor.
Se habla incluso del concepto MaaS (Malware as a Service) donde este tipo de
herramientas pueden ofrecerse como un servicio de pago.
A primera vista, los dispositivos móviles y las aplicaciones pueden parecer seguros, ya
que están respaldados por marcas globales establecidas. Sin embargo, la realidad es
mucho menos segura.
El estudio de fraude de identidad de 2019 realizado por Javelin Strategy & Research
encontró que casi 14,4 millones de personas se convirtieron en víctimas de robos de
identidad en los EE. UU. Gran parte de ellos se produjeron a través de cuentas de
teléfonos móviles comprometidas.
¿Qué es OWASP?
OWASP Mobile Top 10 es una lista que identifica los tipos de riesgos de seguridad que
enfrentan las aplicaciones móviles a nivel mundial. Esta lista, que se actualizó por
última vez en 2016, es una guía de actuación para que los desarrolladores creen
aplicaciones seguras e incorporen las mejores prácticas de codificación. Con casi el
85 %de las aplicaciones probadas por NowSecure que se ven afectadas por al menos
uno de los diez riesgos principales de OWASP, es esencial que los desarrolladores
comprendan cada uno de ellos y adopten prácticas de codificación que anulen su
aparición en la medida de lo posible.
Capa de usuario
» Acceso a los datos a través del propio sistema operativo, a los programas y a los
recursos del mismo: para evitar este tipo de acceso los terminales móviles poseen un
» Borrado de información.
» Uso del dispositivo y suplantación de la identidad del propietario.
» Instalación de código malicioso.
Los sistemas operativos más modernos, así como diversas aplicaciones de seguridad,
permiten también controlar el terminal remotamente para que la información pueda ser
borrada o el terminal localizado una vez sustraído.
efectos perjudiciales. Hemos de ser críticos y analíticos con la información que recibimos
y difundimos, aunque se trate de simples chistes o comentarios en nuestros momentos
de ocio.
En términos simples, la ingeniería social se basa en el engaño a una víctima para que
haga clic en un enlace o descargue un archivo que luego permite a un pirata informático
robar información personal o piratear una cuenta.
Un pirata informático puede obtener acceso a la red de una víctima a través de muchas
otras vías, ya sea descubriendo contraseñas débiles o encontrando brechas de seguridad
en su red.
Pausa. Antes de abrir un correo electrónico o hacer clic en un enlace en un sitio web,
examine la fuente y sus intenciones.
En caso de duda, copie y pegue los enlaces. Si ve un enlace de una fuente que parece
poco confiable, cópielo y péguelo en un motor de búsqueda.
Tenga cuidado con las descargas. Si un correo electrónico procedente de una fuente
externa o de un sitio web que le pide que descargue algo, tenga mucho cuidado.
Sea precavido con los mensajes y enlaces que le infundan un sentido de urgencia o
miedo. Cuando tenemos miedo o nos sentimos presionados para tomar una decisión,
no siempre pensamos con claridad. Los piratas informáticos utilizan estos trucos
psicológicos para llevar a cabo ataques de ingeniería social.
En este caso se trata de un sistema que fue utilizado para desbloquear los terminales
iPhone de Apple que han sido previamente sustraídos.
«Su dispositivo iPhone 6 ha sido encontrado. Hora 06:34 p.m., para ver su ubicación
ingrese en http://verify.appleicloudlocate.com».
Figura 11. Phishing para conseguir las credenciales Apple en un ataque mediante ingeniería social.
En este momento el usuario ya está perdido pues acaba de introducir sus credenciales y
se las ha dado al ladrón, que no solo podrá desbloquear el terminal, sino que tendrá
acceso a toda la información de este incluidas las opciones de pago con lo que la
sustracción del terminal solo será uno de los problemas del propietario.
» Así, por ejemplo, un programador pudo alterar la comunicación con una bomba de
insulina cuya dosis permitía ajustarse de manera inalámbrica y la comunicación no
iba cifrada. Este ajuste puede suponer la muerte del paciente.
» Existen armas de fuego como el rifle TP750 que se controlan con un ordenador
mediante señales WiFi. Se ha conseguido burlar su seguridad y acceder a los
parámetros de configuración del bloqueo del arma.
» Los futuros coches autónomos no han nacido y ya han sido víctimas de hackeos
demostrando lo fácil que será manipular la marcha de los mismos.
Vemos con los ejemplos anteriores la importancia de la seguridad en IoT pero ¿cuál es el
estado actual de desarrollo?
Existe por otro lado la necesidad de seguridad con un primer requisito claro: el cifrado
de las comunicaciones. El principal problema es que el coste computacional del cifrado
es proporcional a la robustez del mismo. De este modo si queremos sistemas sencillos no
podemos utilizar métodos de cifrado muy pesados. A nivel de IoT se demuestra que la
transmisión de datos tampoco es de gran volumen lo cual facilita nuestra labor. En
particular utilizaremos algoritmos ligeros como PRESENT o TRIVIUM.
En definitiva, son muchos los estudios para la creación de un marco seguro para el IoT
pero los diferentes fabricantes imponen cada uno su propia tecnología con lo que se
antoja difícil conseguir un estándar.
¿Qué es la virtualización?
Para lograr esta emulación, es necesario utilizar una capa de abstracción entre los
recursos de hardware del equipo físico (anfitrión) y el sistema virtual. Con la mencionada
capa, es posible generar tantos dispositivos y sistemas como queramos y del tipo que
queramos, en particular cualquiera de los presentes en un entorno sin virtualización,
como por ejemplo, servidores, unidades de almacenamiento, recursos de red y sistemas
operativos.
Hipervisor
La mayor parte de los entornos virtuales cuentan con una plataforma denominada
hipervisor, esta terminología surge con la tecnología de los ordenadores centrales, ya que
su núcleo se denomina supervisor, por lo cual, en un entorno virtualizado, el hipervisor
es el software presente entre el núcleo de la máquina anfitriona y el sistema
virtual.
El hipervisor es un monitor de bajo nivel con inicio previo al de la máquina virtual, siendo
el responsable de monitorizar y administrar las tareas y recursos que utilizan los sistemas
operativos invitados. El hipervisor está contenido en la capa de virtualización, la cual está
situada entre el hardware físico y los sistemas virtualizados, permitiéndoles a los
Podemos distinguir tres tipos de hipervisores, los cuales son clasificados según su
nivel de ejecución:
Máquina Virtual
En su mínima definición, una máquina virtual es un software que emula una maquina
física, ejecutándose en modo de sesión única y dedicada en exclusividad a las
aplicaciones asignadas. Entre las características que han generado su creciente
implantación en diferentes ámbitos destacaremos las siguientes:
Sistema Sistema
Operativo
Aplicación Operativo
Capa de Virtualización
Maquina
Hardware Virtual Hardware
Entorno No Entorno
Virtualizado Virtualizado
Como ejemplo de este tipo de máquinas podemos citar, Xen y KVM, las cuales, junto
con otras plataformas serán desarrolladas más adelante.
Tipos de virtualización
Menor Privilegio
Anillo 3
Anillo 2
Anillo 1
Anillo 0
Núcleo Mayor Privilegio
Servicios
Servicios
Aplicaciones
Para solucionar esta problemática y dotar del suficiente nivel de privilegio y ejecución
a las tecnologías que implementan este tipo de virtualización, se introdujo un nuevo
anillo interior, el «anillo -1», en el cual correrá el software de virtualización,
permitiendo al hipervisor o máquina virtual ejecutarse en el «anillo 0». Como
precursores de este tipo de virtualización, destaca inicialmente VT de Intel y AMD con
su AMD-V.
En este ámbito, también debemos tener en cuenta que, si bien la virtualización a nivel
general es una realidad en las empresas, también lo es el BYOD (Bring Your
OwnDevice) o «trae tu propio dispositivo», haciendo referencia al uso de dispositivos
personales (Smartphone, tableta…) en el entorno laboral. La virtualización en este
campo y especialmente en el ámbito de la telefonía móvil supone un gran reto de
seguridad. Es necesario establecer una adecuada estrategia, que permita garantizar la
seguridad en base a la política adoptada y además admita la flexibilidad que requiere
el usuario con su dispositivo personal. Ejemplos de soluciones disponibles:
o Horizon Mobile de VMware.
o XenDesktop y VMware View de Citrix.
o Cloud Desktop de Mikogo.
Software de virtualización.
o Ejecución.
o Integración.
o Costo.
o Madures.
o Escalabilidad.
o Soporte.
Otras ventajas:
» Ventajas:
o Consolidación del hardware de servidores: reduciendo su número y
aumentando su eficiencia.
o Ahorro: reduciendo costes en multitud de ámbitos (instalación, configuración,
administración, energéticos, etc.).
o Optimización de recursos: permitiendo el aprovechamiento eficiente de
recursos como, por ejemplo, CPU, memoria y red.
o Mayor Escalabilidad: la virtualización proporciona mayor escalabilidad que los
entornos físicos tradicionales.
o Migración: migración en caliente de máquinas virtuales sin pérdida de servicio
de un servidor físico a otro.
o Prueba y depuración: permitiendo un entorno más controlado y versátil.
» Desventajas:
o Dependencia: un fallo en el equipo anfitrión genera que la totalidad de su
entorno virtualizado quede comprometido.
o Rendimiento: el nivel de rendimiento es menor al de un entorno físico
tradicional.
o Saturación: la sencillez de creación que permite la virtualización, puede resultar
un problema al generar recursos innecesarios que saturen el sistema.
o Limitación de recursos; como es el caso de la aceleración de video por
hardware, no disponible para la mayoría de las máquinas virtuales.
o Limitación por hipervisor: solo es posible la utilización de hardware soportado
por el hipervisor.
o Seguridad: la falsa percepción de seguridad puede ocasionar un entorno
desprotegido y sin supervisión. Otro aspecto relevante en el ámbito de la seguridad,
son los nuevos riesgos y amenazas que supone la implantación de una nueva
tecnología en la organización.
La propia Unión Europea tomando como referencia al National Institute for Standards
and Technology (NIST) de los Estados Unidos, define al cloud computing o
computación en la nube como un modelo que permite acceder de forma cómoda y ubicua
a petición del usuario a una serie de recursos informáticos compartidos y configurables
(por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden
suministrar con rapidez y distribuir con un esfuerzo mínimo de gestión o interacción del
proveedor de servicios.
Redes Virtuales
» Redes definidas por software (SDN). Otro concepto relacionado con la red
virtual, es el paradigma SDN (Software Defined Networking), conocido
habitualmente como «Redes Definidas por Software». Si en primer término
definimos a la virtualización de red como la abstracción del hardware de red
mediante software. En segundo término, al SDN lo podemos catalogar como el
conjunto de técnicas orientadas a conseguir que la coordinación y gestión de esta
infraestructura se haga de forma automatizada, y lo más independientemente posible
de dicha infraestructura, gracias al uso de interfaces estándares y de software que
permita controlar completamente la infraestructura de manera externa a la misma,
consiguiendo así un comportamiento de la red más simplificado y eficiente. Un
elemento fundamental en este tipo de arquitectura y al cual debemos prestar especial
atención, es el controlador, el cual gestiona toda la red y esta circunstancia supone
por tanto un riesgo, ya que un ataque al controlador condiciona toda la red.
Varios son los mecanismos necesarios para proteger la red en tipo de entornos, uno de
ellos es el switch virtual para segmentar los dispositivos y trafico según la política
establecida, otro de vital importancia es la instalación de cortafuegos virtuales. Al igual
que un cortafuego tradicional, es un dispositivo de seguridad situado entre dos redes, por
el cual circula todo el tráfico intercambiado, con la capacidad de implementar una
política de seguridad definida, para identificar y filtrar los diferentes tipos de datos.
Como consideraciones fundamentales en la implementación del firewall, se deben
considerar los siguientes aspectos:
3 Documentar.
Hipervisor
Máquinas virtuales
Otro aspecto fundamental son las máquinas virtuales orientadas al exterior, las cuales
representan por sí mismas una amenaza, pero si además están combinadas con
máquinas orientadas al interior, el riesgo es exponencial.
En este sentido, también es importante analizar y adoptar los controles oportunos, ante
el riesgo que supone la limitada visibilidad del tráfico interno entre máquinas virtuales.
Este concepto debe ser aplicado a toda la virtualización de red y sus controles deben
igualar como mínimo a los considerados necesarios en el entorno físico.
Código malicioso
Otra de las amenazas de mayor riesgo, tanto en entornos virtualizados como sin
virtualizar y con independencia de la capa a considerar, son los códigos maliciosos.
65,89%
25,12%
En cualquier caso nuestra seguridad debe estar enfocada tanto para los entornos físicos
como para los virtuales. En el caso de sistemas virtuales y protección contra código
malicioso, una buena práctica de seguridad es la implementación de software
antimalware en cada uno de los sistemas virtualizados.
Material complementario
Lecciones magistrales
No dejes de leer…
Redes WiFi
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://recursostic.educacion.es/observatorio/web/es/cajon-de-sastre/38-cajon-de-
sastre/961-monografico-redes-wifi
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://www.synchrotech.com/support/faq-3g-wireless-pcmcia-pc_cards.html#Q002A
López, J., Oller, A., Alcober, J., Pujal, J., Flaminio, M., Fanning, C. (2009). Escritorios
remotos en máquinas virtuales aplicados en grandes corporaciones. RedIRIS, 85-86, 42-
49.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://www.rediris.es/difusion/publicaciones/boletin/85-86/ponencias85-5.pdf
No dejes de ver…
Qué es NFC, para qué sirve y cuáles son sus usos actualmente
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=NJ0OcR9FmHQ
Iridium NEXT
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=GShOalJu1tA
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=js7FgbubLRk
A fondo
Borrador de especificaciones 5G
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.itu.int/md/R15-SG05-C-0040/en
Android malware
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://forensics.spreitzenbarth.de/android-malware/
Enlaces relacionados
Iridium
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.iridium.com
LTE Specifications
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.3gpp.org/technologies/keywords-acronyms/98-lte
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.ieee802.org/11/
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://developer.android.com/index.html
Firewall
Página web con múltiples enlaces relacionados con cortafuegos y seguridad informática.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.firewall.com/
Test
2. El jamming es:
A. Un ataque de denegación de servicio.
B. Un ataque típico en redes WiMax.
C. Introducir ruido en una comunicación con objeto de impedirla.
D. Todas las anteriores son ciertas.