Informe Campus Party 2013
Click here to load reader
-
Upload
carolina-remache -
Category
Education
-
view
58 -
download
1
Transcript of Informe Campus Party 2013
UNIVERSIDAD NACIONAL DE CHIMBORAZO
ESCUELA DE SISTEMAS Y COMPUTACIÓN
SISTEMAS DE INFORMACIÓN GEOGRÁFICA
INFORME VIDEOCONFERENCIAS
CAMPUS PARTY 2013
Realizado por:
Silvia Remache
Quinto Año “A”
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
2
Introducción
Campus Party es el mayor festival tecnológico donde se unen innovación, creatividad,
ciencia y entretenimiento digital. Su objetivo primordial es crear la mayor comunidad Geek
de la tierra y difundir el conocimiento.
Campus Partydurante las 24 horas de una semana, reúne a miles de "campuseros“
(hackers, desarrolladores, jugadores y geeks) equipados con sus ordenadores que acampan
y se sumergen en un ambiente verdaderamente único.
Reconocido como el mayor evento de entretenimiento electrónico online del mundo,
Campus Party reúne a las mentes jóvenes tecnológicas y científicas más brillantes de
Europa y Latinoamérica bajo la idea de que "Internet no es una red de ordenadores, es una
red de personas" además de aprender, crear e interactuarcon algunos de los mayores
nombres del mundo de la ciencia y la tecnología.
El evento cuenta con más de 500 horas de conferencias, debates, talleres, competiciones y
hackathons programadas sobre ciencia, innovación, entretenimiento digital y creatividad.
Además se celebran cientos de eventos que organizan los propios participantes durante las
noches de los cinco días centrales del evento.
En estos 16 años, las 250 personas que asistieron a la primera Campus Party han crecido
hasta convertirse en los más de 220.000 campuseros en todo el mundo y ediciones anuales
que se celebran en Sao Paulo - Brasil, Bogotá - Colombia, España, Quito - Ecuador y
Ciudad de México.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
3
Objetivos
Objetivo General
Aportar al desarrollo de la asignatura y la carrera a través de videoconferencias
presentadas en el Campus Party 2013
Objetivos Específicos
Presentar los temas de interés en las videoconferencias Campus Party 2013
Analizar la seguridad web para desarrolladores
Conocer el campo de acción del Análisis Forense
Determinar la Metodología de desarrollo de los Sistemas de Información
Saber cuáles son los ataques que vulneran las contraseñas y las formas de
protección
Conocer aspectos básicos, funcionalidades y aplicaciones de HTML
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
4
Desarrollo
SEGURIDADES WEB PARA DESARROLLADORES
¿Qué es la seguridad?
La seguridad es una medida, no una característica; es difícil de medirse, no tiene unidades.
Es un problema que está creciendo y que requiere una continua solución evolutiva
Así como el diseño de una aplicación, la seguridad debe de ser considerada todo el tiempo
(especificaciones iniciales, implementación, pruebas y durante el mantenimiento).
Seguridad en el Desarrollo
Existen vulnerabilidades en desarrollos en PHP como:
Ejecución Remota de Código (RemoteCodeExecution)
Cross-site scripting (XSS)
SQL Injection
Ataques al sistema de archivos
Ejecución Remota de Código
Afecta a las aplicaciones que aceptan nombres de archivos por parte del usuario cuando el
sitio web maneja el ingreso y la inclusión de archivos y URLs sin chequeo previo. Las
causas de este problema son:
Deficiente validación antes de invocar los archivos con fopenrequireinclude
Cross-site scripting (XSS)
XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede
realizarse a sitios web, aplicaciones locales e incluso al navegador.En este caso existen
algunas recomendaciones:
Verificar que todos los parámetros en la aplicación sean validados antes de ser
incluidos en la página HTML
La mejor protección para XSS es una combinación de validación “ whitelist” y una
transformación apropiada de todos los datos de salida.
Considerar htmlspecialchars() para convertir los caracteres “, &, < y > en &
“< y >. (PHP tiene otra función htmlentities() que convierte todos los
caracteres que tienen entidades equivalentes HTML)
SQL Injection
Se presenta como un método de infiltración de código intruso que se vale de una
vulnerabilidad informática presente en una aplicación en el nivel de validación de las
entradas para realizar consultas a una base de datos.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
5
Entre las soluciones a esta vulnerabilidad está:
Validar datos antes de usarlos en queries SQL dinámicos
Preferir validación positiva a validación de casos inválidos
Usar PDO (PHP Data Objects)
Usar declaraciones parametrizadasMySQLi’s
Al menos, usar funciones como mysql_real_escape_string()
Tener en cuenta que el uso de addslashes() no es suficiente. magicquotes da una
falsa sensación de seguridad.
Ataques al sistema de archivos
Entre ellos tenemos:
UploadInjection de archivos locales
Inclusión de un archivo local (tal como /etc/passwd, archivos de configuración, o
logs)
Manipulación de sesiones locales.
La mayoría de los administradores del sitio corren PHP sin usuario (nobody) bajo Apache,
las vulnerabilidades sobre el sistema de archivos local afectan a todos los usuarios dentro
de un host simple.
ANÁLISIS FORENSE
El análisis forense en un sistema informático es una ciencia moderna que permite
reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad.
Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha
llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
Se conoce como incidente de seguridad a cualquier acción fuera de la ley o no autorizada:
ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de
correos electrónicos ofensivos, fuga de información confidencial dentro de una
organización, en el cual está involucrado algún sistema telemático de una organización.
En el análisis forense se realiza un análisis posterior de los incidentes de seguridad,
mediante el cual se trata de determinarcómo se ha infiltrado o vulnerado en el sistema. Por
tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes
preguntas:
• ¿Quién ha realizado el ataque?
• ¿Cómo se realizó?
• ¿Qué vulnerabilidades se han explotado?
• ¿Qué hizo el intruso una vez que accedió al sistema?
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
6
Para lo cual se utilizan técnicas científicas y analíticas especializadas a infraestructura
tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos
dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes
informáticos.
Las fuentes de información que se utilizan para realizar un análisis forense son diversas:
Correos electrónicos.
IDS / IPS.
Archivo de logs de los cortafuegos.
Archivo de logs de los sistemas.
Entrevistas con los responsables de seguridad y de los sistemas.
Además el análisis forense informático es una prueba clave en diversas ocasiones, por
ejemplo en:
Revelación de secretos, espionaje industrial y confidencialidad
Delitos económicos, societarios o contra el mercado o los consumidores
Delitos contra la propiedad intelectual e industrial
Vulneración de la intimidad
Sabotaje
Uso indebido de equipos
Amenazas, calumnias e injurias
Cumplimiento de obligaciones y contratos
El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:
Estudio preliminar.- Se realiza un estudio inicial medianteentrevistas y documentación
entregada por el cliente con el objetivo detener una idea inicial del problema que nos
vamos a encontrar.
Adquisición dedatos.- Se realiza una obtención de los datos e informaciones esenciales
para la investigación. Se duplican o clonan los dispositivosimplicados para un posterior
análisis.
Análisis e investigación.- Se realiza un estudio con los datos adquiridosen la fase anterior.
Realizacióndelinforme.- En esta fase se elabora el informe que será remitido a la dirección
de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia
que se realice a la autoridad competente.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
7
METODOLOGÍA DE DESARROLLO DE LOS SISTEMAS DE INFORMACIÓN
Una Metodología para el Desarrollo de Sistemas de Información es un conjunto de
actividades llevadas a cabo para desarrollar y poner en funcionamiento un Sistema de
Información.
Los Objetivos de las Metodologías de Desarrollo de Sistemas de Información son:
Definir actividades a llevarse a cabo en un Proyecto
Unificar criterios en la organización para el desarrollo
Conseguir un mayor nivel de rendimiento y eficiencia del personal asignado al
desarrollo.
Proporcionar puntos de control y revisión
Satisfacer las necesidades de los usuarios del sistema.
Ajuste a los plazos y costos previstos en la planificación.
Generar de forma adecuada la documentación asociada a los sistemas.
Facilitar el mantenimiento posterior de los sistemas.
Los Métodos del desarrollo de sistemas de información son:
Especificación de requerimientos
Análisis.
Diseño.
Programación.
Pruebas
Implementación.
Los Tipos de Metodologías de Desarrollo de Sistemas son:
Cascada Pura
Ventajas
Secuencia ordenada de métodos.
Está dirigido por documentos.
Detección temprana de errores.
Reduce costos de planificación.
Permite a la organización a generar capital humano.
Desventajas
Avance lento del proyecto.
Resultados palpables solo al final del proyecto.
Exceso de documentación útil.
Volátil en tiempos de entrega.
Costos altos en inversión tecnología.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
8
Prueba y error
Características
Poco útil, bastante común.
No requiere definición formal.
Es intuitiva.
De rápido acceso a puesta en producción.
Es eficiente para pequeños proyectos.
No genera documentación.
Excede en confianza.
Método prototipo
Características
Requiere de un usuario experto.
Genera un sistema que funciona.
El requerimiento de información no está bien definido.
Genera un sistema piloto de pruebas.
Garantiza funcionalidad pero no desempeño.
Modelo en espiral
Características
Es un modelo de proceso de software evolutivo, enlaza prototipos y cascada.
Genera un crecimiento incremental de grado de definición e implementación.
Precisa puntos de retorno.
Provoca toma de decisiones más certeras.
Útil para grandes desarrollos.
Scrum
Características
Metodología ágil y flexible.
Muy alto involucramiento del usuario.
Reuniones programadas diarias.
Construye primero la funcionalidad de mayor valor para el cliente.
Entregas parciales funcionales.
Genera capital humano interno a la organización.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
9
ATAQUES QUE VULNERAN LAS CONTRASEñAS
Los principales tipos de ataque para vulnerar nuestras contraseñas son:
“La fuerza bruta”, consiste en un diccionario que introduce palabras, números y signos o
sus combinaciones hasta dar con la contraseña.
Los malware, son códigos maliciosos que se introducen en nuestros equipos y roban
información entre otros posibles daños.
Phishing, es un método muy usado, en el cual el usuario recibe un correo falso de una
entidad, casi siempre bancaria, en el que se nos pide validar información a través de un
enlace fraudulento.
Los ataques a servidores es otra forma de robar nuestros datos, cuando la empresa
responsable de mantener nuestra privacidad no ha tomado las precauciones necesarias.
Conductas inseguras del usuario
Uso de una contraseña única para todos los servicios
Contraseñas idénticas para uso laboral y personal
Uso de contraseñas cortas
Utilización de contraseñas fáciles de adivinar
Contraseñas anotadas en papeles y documentos
Sistemas de autenticación
Los sistemas de autentificación son todos aquellos métodos diseñados para verificar la
identidad de un usuario con el objetivo de otorgarle acceso a un recurso protegido según
corresponda. Siempre requieren del uso de al menos un factor de autenticación para poder
reconocer a la persona.
Factor de conocimiento (algo que sé)
Se trata de algo que el usuario sabe y conoce. Por ejemplo: contraseñas, números PIN,
patrones, secuencia, etc.
Factor de posesión (algo que tengo)
Es algo que el usuario posee como un teléfono inteligente, una tarjeta ATM, etc. Estos
dispositivos suelen utilizarse para el envío de códigos que sirven para identificar al usuario
en un sistema.
Factor de inherencia (algo que soy)
Se trata de rasgos conductuales y físicos intrínsecos al ser humano y que permiten
identificarlo unívocamente a través de la biometría. Por ejemplo las huellas dactilares, el
iris, el rostro y la retina.
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
10
Sistema de doble autenticación
Los sistemas de doble autenticación, son aquellos que requiere del ingreso de dos de los
tres factores de autenticación para poder identificar y permitir el acceso de un usuario a un
recurso o servicio. A diferencia de la autenticación simple busca evitar que un atacante
pueda adulterar y suplantar su identidad ingresando credenciales robadas.
Para una contraseña segura se debe considerar los siguientes puntos:
Usa un mínimo de 8 caracteres.
No repetir las letras y si lo haces procura que alguna esté en mayúscula.
Utilizar todo tipo de caracteres especiales y signos de puntuación.
No usar información personal en la elaboración de estas (nombre de tu mascota o
fecha de cumpleaños).
HTML
Es un estándar que, en sus diferentes versiones, define una estructura básica y un código
(denominado código HTML) para la definición de contenido de una página web, como
texto, imágenes, etc.
El HTML se escribe en forma de «etiquetas», rodeadas por corchetes angulares (<,>).
HTML también puede describir, hasta un cierto punto, la apariencia de un documento, y
puede incluir o hacer referencia a un tipo de programa llamado script, el cual puede afectar
el comportamiento de navegadores web y otros procesadores de HTML.
Para crear una página web se pueden utilizar varios programas especializados
Estructura de los documentos de HTML
Un documento escrito en HTML contiene las siguientes etiquetas en el siguiente orden:
<HTML>
<HEAD>
<TITLE> Título de mi página de Internet </TITLE>
</HEAD>
<BODY>
<H1><CENTER>Primerapagina</CENTER></H1>
<HR>
Sistemas de Información Geográfica Campus Party 2013
Escuela de Sistemas y Computación Quinto Año “A”
11
Conclusiones
Campus Party 2013 con sus conferencias permitió fortalecer los conocimientos de
cada uno de los temas considerándose de gran aporte para la carrera de Sistemas y
Computación.
Eventos de tecnología incrementan el desarrollo estudiantil mediante nuevos
campos explorados con métodos no tradicionales que ayudan a una mejor
comprensión.
Recomendaciones
Promover la asistencia a eventos de este tipo procurando la mejora educativa mediante la
adquisición de nuevo conocimiento.
Bibliografía
VideoConferencias del Campus Party 2013