Informe Campus Party 2013

UNIVERSIDAD NACIONAL DE CHIMBORAZO

ESCUELA DE SISTEMAS Y COMPUTACIÓN

SISTEMAS DE INFORMACIÓN GEOGRÁFICA

INFORME VIDEOCONFERENCIAS

CAMPUS PARTY 2013

Realizado por:

Silvia Remache

Quinto Año “A”

Sistemas de Información Geográfica Campus Party 2013

Escuela de Sistemas y Computación Quinto Año “A”

2

Introducción

Campus Party es el mayor festival tecnológico donde se unen innovación, creatividad,

ciencia y entretenimiento digital. Su objetivo primordial es crear la mayor comunidad Geek

de la tierra y difundir el conocimiento.

Campus Partydurante las 24 horas de una semana, reúne a miles de "campuseros“

(hackers, desarrolladores, jugadores y geeks) equipados con sus ordenadores que acampan

y se sumergen en un ambiente verdaderamente único.

Reconocido como el mayor evento de entretenimiento electrónico online del mundo,

Campus Party reúne a las mentes jóvenes tecnológicas y científicas más brillantes de

Europa y Latinoamérica bajo la idea de que "Internet no es una red de ordenadores, es una

red de personas" además de aprender, crear e interactuarcon algunos de los mayores

nombres del mundo de la ciencia y la tecnología.

El evento cuenta con más de 500 horas de conferencias, debates, talleres, competiciones y

hackathons programadas sobre ciencia, innovación, entretenimiento digital y creatividad.

Además se celebran cientos de eventos que organizan los propios participantes durante las

noches de los cinco días centrales del evento.

En estos 16 años, las 250 personas que asistieron a la primera Campus Party han crecido

hasta convertirse en los más de 220.000 campuseros en todo el mundo y ediciones anuales

que se celebran en Sao Paulo - Brasil, Bogotá - Colombia, España, Quito - Ecuador y

Ciudad de México.



3

Objetivos

Objetivo General

Aportar al desarrollo de la asignatura y la carrera a través de videoconferencias

presentadas en el Campus Party 2013

Objetivos Específicos

Presentar los temas de interés en las videoconferencias Campus Party 2013

Analizar la seguridad web para desarrolladores

Conocer el campo de acción del Análisis Forense

Determinar la Metodología de desarrollo de los Sistemas de Información

Saber cuáles son los ataques que vulneran las contraseñas y las formas de

protección

Conocer aspectos básicos, funcionalidades y aplicaciones de HTML



4

Desarrollo

SEGURIDADES WEB PARA DESARROLLADORES

¿Qué es la seguridad?

La seguridad es una medida, no una característica; es difícil de medirse, no tiene unidades.

Es un problema que está creciendo y que requiere una continua solución evolutiva

Así como el diseño de una aplicación, la seguridad debe de ser considerada todo el tiempo

(especificaciones iniciales, implementación, pruebas y durante el mantenimiento).

Seguridad en el Desarrollo

Existen vulnerabilidades en desarrollos en PHP como:

Ejecución Remota de Código (RemoteCodeExecution)

Cross-site scripting (XSS)

SQL Injection

Ataques al sistema de archivos

Ejecución Remota de Código

Afecta a las aplicaciones que aceptan nombres de archivos por parte del usuario cuando el

sitio web maneja el ingreso y la inclusión de archivos y URLs sin chequeo previo. Las

causas de este problema son:

Deficiente validación antes de invocar los archivos con fopenrequireinclude

Cross-site scripting (XSS)

XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede

realizarse a sitios web, aplicaciones locales e incluso al navegador.En este caso existen

algunas recomendaciones:

Verificar que todos los parámetros en la aplicación sean validados antes de ser

incluidos en la página HTML

La mejor protección para XSS es una combinación de validación “ whitelist” y una

transformación apropiada de todos los datos de salida.

Considerar htmlspecialchars() para convertir los caracteres “, &, < y > en &

“< y >. (PHP tiene otra función htmlentities() que convierte todos los

caracteres que tienen entidades equivalentes HTML)

SQL Injection

Se presenta como un método de infiltración de código intruso que se vale de una

vulnerabilidad informática presente en una aplicación en el nivel de validación de las

entradas para realizar consultas a una base de datos.



5

Entre las soluciones a esta vulnerabilidad está:

Validar datos antes de usarlos en queries SQL dinámicos

Preferir validación positiva a validación de casos inválidos

Usar PDO (PHP Data Objects)

Usar declaraciones parametrizadasMySQLi’s

Al menos, usar funciones como mysql_real_escape_string()

Tener en cuenta que el uso de addslashes() no es suficiente. magicquotes da una

falsa sensación de seguridad.

Ataques al sistema de archivos

Entre ellos tenemos:

UploadInjection de archivos locales

Inclusión de un archivo local (tal como /etc/passwd, archivos de configuración, o

logs)

Manipulación de sesiones locales.

La mayoría de los administradores del sitio corren PHP sin usuario (nobody) bajo Apache,

las vulnerabilidades sobre el sistema de archivos local afectan a todos los usuarios dentro

de un host simple.

ANÁLISIS FORENSE

El análisis forense en un sistema informático es una ciencia moderna que permite

reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad.

Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha

llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Se conoce como incidente de seguridad a cualquier acción fuera de la ley o no autorizada:

ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de

correos electrónicos ofensivos, fuga de información confidencial dentro de una

organización, en el cual está involucrado algún sistema telemático de una organización.

En el análisis forense se realiza un análisis posterior de los incidentes de seguridad,

mediante el cual se trata de determinarcómo se ha infiltrado o vulnerado en el sistema. Por

tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes

preguntas:

• ¿Quién ha realizado el ataque?

• ¿Cómo se realizó?

• ¿Qué vulnerabilidades se han explotado?

• ¿Qué hizo el intruso una vez que accedió al sistema?



6

Para lo cual se utilizan técnicas científicas y analíticas especializadas a infraestructura

tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos

dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,

autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes

informáticos.

Las fuentes de información que se utilizan para realizar un análisis forense son diversas:

Correos electrónicos.

IDS / IPS.

Archivo de logs de los cortafuegos.

Archivo de logs de los sistemas.

Entrevistas con los responsables de seguridad y de los sistemas.

Además el análisis forense informático es una prueba clave en diversas ocasiones, por

ejemplo en:

Revelación de secretos, espionaje industrial y confidencialidad

Delitos económicos, societarios o contra el mercado o los consumidores

Delitos contra la propiedad intelectual e industrial

Vulneración de la intimidad

Sabotaje

Uso indebido de equipos

Amenazas, calumnias e injurias

Cumplimiento de obligaciones y contratos

El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:

Estudio preliminar.- Se realiza un estudio inicial medianteentrevistas y documentación

entregada por el cliente con el objetivo detener una idea inicial del problema que nos

vamos a encontrar.

Adquisición dedatos.- Se realiza una obtención de los datos e informaciones esenciales

para la investigación. Se duplican o clonan los dispositivosimplicados para un posterior

análisis.

Análisis e investigación.- Se realiza un estudio con los datos adquiridosen la fase anterior.

Realizacióndelinforme.- En esta fase se elabora el informe que será remitido a la dirección

de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia

que se realice a la autoridad competente.



7

METODOLOGÍA DE DESARROLLO DE LOS SISTEMAS DE INFORMACIÓN

Una Metodología para el Desarrollo de Sistemas de Información es un conjunto de

actividades llevadas a cabo para desarrollar y poner en funcionamiento un Sistema de

Información.

Los Objetivos de las Metodologías de Desarrollo de Sistemas de Información son:

Definir actividades a llevarse a cabo en un Proyecto

Unificar criterios en la organización para el desarrollo

Conseguir un mayor nivel de rendimiento y eficiencia del personal asignado al

desarrollo.

Proporcionar puntos de control y revisión

Satisfacer las necesidades de los usuarios del sistema.

Ajuste a los plazos y costos previstos en la planificación.

Generar de forma adecuada la documentación asociada a los sistemas.

Facilitar el mantenimiento posterior de los sistemas.

Los Métodos del desarrollo de sistemas de información son:

Especificación de requerimientos

Análisis.

Diseño.

Programación.

Pruebas

Implementación.

Los Tipos de Metodologías de Desarrollo de Sistemas son:

Cascada Pura

Ventajas

Secuencia ordenada de métodos.

Está dirigido por documentos.

Detección temprana de errores.

Reduce costos de planificación.

Permite a la organización a generar capital humano.

Desventajas

Avance lento del proyecto.

Resultados palpables solo al final del proyecto.

Exceso de documentación útil.

Volátil en tiempos de entrega.

Costos altos en inversión tecnología.



8

Prueba y error

Características

Poco útil, bastante común.

No requiere definición formal.

Es intuitiva.

De rápido acceso a puesta en producción.

Es eficiente para pequeños proyectos.

No genera documentación.

Excede en confianza.

Método prototipo

Características

Requiere de un usuario experto.

Genera un sistema que funciona.

El requerimiento de información no está bien definido.

Genera un sistema piloto de pruebas.

Garantiza funcionalidad pero no desempeño.

Modelo en espiral

Características

Es un modelo de proceso de software evolutivo, enlaza prototipos y cascada.

Genera un crecimiento incremental de grado de definición e implementación.

Precisa puntos de retorno.

Provoca toma de decisiones más certeras.

Útil para grandes desarrollos.

Scrum

Características

Metodología ágil y flexible.

Muy alto involucramiento del usuario.

Reuniones programadas diarias.

Construye primero la funcionalidad de mayor valor para el cliente.

Entregas parciales funcionales.

Genera capital humano interno a la organización.



9

ATAQUES QUE VULNERAN LAS CONTRASEñAS

Los principales tipos de ataque para vulnerar nuestras contraseñas son:

“La fuerza bruta”, consiste en un diccionario que introduce palabras, números y signos o

sus combinaciones hasta dar con la contraseña.

Los malware, son códigos maliciosos que se introducen en nuestros equipos y roban

información entre otros posibles daños.

Phishing, es un método muy usado, en el cual el usuario recibe un correo falso de una

entidad, casi siempre bancaria, en el que se nos pide validar información a través de un

enlace fraudulento.

Los ataques a servidores es otra forma de robar nuestros datos, cuando la empresa

responsable de mantener nuestra privacidad no ha tomado las precauciones necesarias.

Conductas inseguras del usuario

Uso de una contraseña única para todos los servicios

Contraseñas idénticas para uso laboral y personal

Uso de contraseñas cortas

Utilización de contraseñas fáciles de adivinar

Contraseñas anotadas en papeles y documentos

Sistemas de autenticación

Los sistemas de autentificación son todos aquellos métodos diseñados para verificar la

identidad de un usuario con el objetivo de otorgarle acceso a un recurso protegido según

corresponda. Siempre requieren del uso de al menos un factor de autenticación para poder

reconocer a la persona.

Factor de conocimiento (algo que sé)

Se trata de algo que el usuario sabe y conoce. Por ejemplo: contraseñas, números PIN,

patrones, secuencia, etc.

Factor de posesión (algo que tengo)

Es algo que el usuario posee como un teléfono inteligente, una tarjeta ATM, etc. Estos

dispositivos suelen utilizarse para el envío de códigos que sirven para identificar al usuario

en un sistema.

Factor de inherencia (algo que soy)

Se trata de rasgos conductuales y físicos intrínsecos al ser humano y que permiten

identificarlo unívocamente a través de la biometría. Por ejemplo las huellas dactilares, el

iris, el rostro y la retina.



10

Sistema de doble autenticación

Los sistemas de doble autenticación, son aquellos que requiere del ingreso de dos de los

tres factores de autenticación para poder identificar y permitir el acceso de un usuario a un

recurso o servicio. A diferencia de la autenticación simple busca evitar que un atacante

pueda adulterar y suplantar su identidad ingresando credenciales robadas.

Para una contraseña segura se debe considerar los siguientes puntos:

Usa un mínimo de 8 caracteres.

No repetir las letras y si lo haces procura que alguna esté en mayúscula.

Utilizar todo tipo de caracteres especiales y signos de puntuación.

No usar información personal en la elaboración de estas (nombre de tu mascota o

fecha de cumpleaños).

HTML

Es un estándar que, en sus diferentes versiones, define una estructura básica y un código

(denominado código HTML) para la definición de contenido de una página web, como

texto, imágenes, etc.

El HTML se escribe en forma de «etiquetas», rodeadas por corchetes angulares (<,>).

HTML también puede describir, hasta un cierto punto, la apariencia de un documento, y

puede incluir o hacer referencia a un tipo de programa llamado script, el cual puede afectar

el comportamiento de navegadores web y otros procesadores de HTML.

Para crear una página web se pueden utilizar varios programas especializados

Estructura de los documentos de HTML

Un documento escrito en HTML contiene las siguientes etiquetas en el siguiente orden:

<HTML>

<HEAD>

<TITLE> Título de mi página de Internet </TITLE>

</HEAD>

<BODY>

<H1><CENTER>Primerapagina</CENTER></H1>

<HR>



11

Conclusiones

Campus Party 2013 con sus conferencias permitió fortalecer los conocimientos de

cada uno de los temas considerándose de gran aporte para la carrera de Sistemas y

Computación.

Eventos de tecnología incrementan el desarrollo estudiantil mediante nuevos

campos explorados con métodos no tradicionales que ayudan a una mejor

comprensión.

Recomendaciones

Promover la asistencia a eventos de este tipo procurando la mejora educativa mediante la

adquisición de nuevo conocimiento.

Bibliografía

VideoConferencias del Campus Party 2013

Informe Campus Party 2013

Education

Transcript of Informe Campus Party 2013