Informe Campus Party 2013

UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERA

ESCUELA SISTEMAS Y COMPUTACIÓN

SISTEMAS DE INFORMACIÓN GEOGRÁFICA-GIS

Informe Campus Party 2013 NOMBRE:

Janneth Guamán Siguenza

DOCENTE:

Ing. Gonzalo Allauca

Quinto Sistemas y Computación

UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA

ESCUELA SISTEMAS Y COMPUTACION

Sistemas de Información Geográfica - GIS 2

TEMA

INFORME CAMPUS PARTY 2013-VIDEO-CONFERENCIAS

OBJETIVOS

OBJETIVO GENERAL

Sintetizar y resumir cada video-conferencia para recalcar la

información más relevante que nos facilitara el estudio y conocimientos

en temas de nuestra actualidad tecnológica.

OBJETIVOS ESPECIFICOS

Conocer acerca de la seguridad web para desarrolladores para evitar

vulnerabilidades informáticas.

Aprender cómo se identifica, analiza y visualiza datos informáticos que

sean válidos dentro de un proceso legal.

Conocer las principales metodologías que podemos utilizar para hacer

más eficiente el desarrollo de sistemas de información.

Conocer los diferentes tipos de ataques a nuestras contraseñas para

evitar infiltraciones en la autenticación de cuentas de uso común.

Establecer la semántica principal de HTML 5CSS para actualizar

nuestra Web y potenciar el desarrollo de aplicaciones Web, OnLine y

OffLine.




DESARROLLO

SEGURIDAD WEB PARA DESARROLLADORES

La seguridad web no es una característica, son acciones.

El problema en la seguridad web está en constante crecimiento.

La seguridad debe ser considerada todo el tiempo de desarrollo es decir debe estar

durante todas las etapas.

1. SQL INJECTION

Es un método de infiltración de código intruso que se vale de una vulnerabilidad

informática presente en una aplicación en el nivel de validación de las entradas

para realizar consultas a una base de datos.

Pasos

1. Valores tipo

2. Numero de columna

3. Columna vulnerable

4. Version Myslq

5. Nombre base

6. Nombres de tablas

7. Final nombre de usuario

Soluciones

Validar datos antes de usarlos en el SQL dinámico




Usar PDO(PHP Data Objects)

Usar declaraciones parametrizadas MySQLi’s

Usar mínimo mysql_real_escape_string.

El uso de addslashes() no es suficiente.

2. CROSS-SITE SCRIPTING (XSS)

XSS es un ataque de inyección de código

malicioso para su posterior ejecución que

puede realizarse a sitios web, aplicaciones

locales e incluso al navegador.

Soluciones

No confiar en datos que se obtienen de usuarios o de cualquier otra fuente de

datos

Saneando los datos.

Escapando los datos htmlspecialchars();

Validaciones de datos de entradas, deben realizarse siempre del lado del

servidor, no sólo en el lado del cliente

3. CROSS-SITE REQUEST FORGERY (CSRF)

Tipo de exploit malicioso de un sitio web en el que comandos no autorizados son

transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es

conocida también por otros nombres como XSRF, enlace hostil, ataque de un click,

cabalgamiento de sesión, y ataque automático.

http://es.wikipedia.org/wiki/Exploit

http://es.wikipedia.org/wiki/Sitio_web

http://es.wikipedia.org/wiki/Comando_%28inform%C3%A1tica%29

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Vulnerabilidad

http://es.wikipedia.org/wiki/XSRF




SOLUCION:

CAptcha.- Los captchas son utilizados para evitar que robots, también llamados

spambots, puedan utilizar ciertos servicios.

ATAQUES QUE VULNERAN LA CONTRASEÑA.

Si tu contraseña es muy obvia, puede resultar fácil para el vecino que quiere colgarse a tu

WiFi adivinar que la contraseña es el número de departamento, o tu apellido, o algo así.

Ataque que vulneran las contraseñas:

1. FUERZA BRUTA

Herramientas de software que se utiliza para vulnerar una contraseña a través de un

diccionario. Este genera caracteres de forma aleatoria y trata de adivinar la contraseña

de usuario. Algunos casos prácticos:

GPU: descifra claves de 6 caracteres en cinco segundo

En diciembre de 2012, en Oslo: se rompieron contraseñas de 8 caracteres en

menos de 6 horas.

Caso real en Twinter

http://es.wikipedia.org/wiki/Bot




2. MALWARE

Código malicioso que afecta el computador.

Ejemplo: Dorkbot

Gusano informático que recluta zombis

Más de 15 países de la región afectados

Más de 80000 reportes únicos de los equipos zombis

3. PHISHING

Afectan a lo que es juegos en línea




4. ATAQUES A SERVIDORES

Métodos de Autenticación.

Algo que se.

Algo que tengo.

Algo que soy.

Construyendo una contraseña fuerte

Usa un mínimo de 8 caracteres.

No repetir las letras y si lo haces procura que alguna esté en mayúscula.

Utilizar todo tipo de caracteres especiales y signos de puntuación.

No usar información personal en la elaboración de estas (nombre de tu mascota o

fecha de cumpleaños).




METODOLOGÍA DE DESARROLLO DE SISTEMAS DE INFORMACIÓN

Metodología.- Ciencia del método. Conjunto de métodos que se siguen en una

investigación científica o en una exposición doctrinal.

Método.- Modo de decir o hacer con orden.

MÉTODOS DE DESARROLLO DE SISTEMAS DE INFORMACIÓN

1. Son métodos que indican como hacer más eficiente el desarrollo de sistemas de

información. Para ellos suelen estructurar en fases la vida de dichos sistemas con

el fin de facilitar su planificación, desarrollo y mantenimiento.

Proceso

1. Especificación de requerimientos

2. Análisis.

3. Diseño.

4. Programación.

5. Pruebas

6. Implementación.

Objetivos

Asegurar la uniformidad y calidad tanto del desarrollo como del sistema.

Satisfacer las necesidades de los usuarios del sistema.

Conseguir un mayor nivel de rendimiento y eficiencia del personal

asignado al desarrollo.




Ajuste a los plazos y costos previstos en la planificación.

Generar de forma adecuada la documentación asociada a los sistemas.

Facilitar el mantenimiento posterior de los sistemas.

ALGUNAS METODOLOGÍAS

1. CASCADA PURA.

Beneficios.

Secuencia ordenada de métodos.

Está dirigido por documentos.

Detección temprana de errores.

Reduce costos de planificación.

Permite a la organización a generar capital humano.

Desventajas.

Avance lento del proyecto.

Resultados palpables solo al final del proyecto.

Exceso de documentación útil.

Volátil en tiempos de entrega.

Costos altos en inversión tecnología.

2. PRUEBA Y ERROR.

Poco útil, bastante común.

No requiere definición formal.

Es intuitiva.

De rápido acceso a puesta en producción.

Es eficiente para pequeños proyectos.

No genera documentación.

Excede en confianza.

3. MÉTODO PROTOTIPO

Requiere de un usuario experto.

Genera un sistema que funciona.

El requerimiento de información no está bien definido.

Genera un sistema piloto de pruebas.

Garantiza funcionalidad pero no desempeño.

4. MODELO EN ESPIRAL




Es un modelo de proceso de software evolutivo, enlaza prototipos y

cascada.

Genera un crecimiento incremental de grado de definición e

implementación.

Precisa puntos de retorno.

Provoca toma de decisiones más certeras.

Útil para grandes desarrollos.

5. Scrum

Metodología ágil y flexible.

Muy alto involucramiento del usuario.

Reuniones programadas diarias.

Construye primero la funcionalidad de mayor valor para el cliente.

Entregas parciales funcionales.

Genera capital humano interno a la organización.

ANÁLISIS FORENSE

Cómputo Forense

El cómputo forense, también llamado informática forense, computación forense, análisis

forense digital o examinación forense digital es la aplicación de técnicas científicas y

analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar,

analizar y presentar datos que sean válidos dentro de un proceso legal.




Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,

autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes

informáticos

El análisis forense informático es una prueba clave en numerosas ocasiones, como por

ejemplo:

Revelación de secretos, espionaje industrial y confidencialidad

Delitos económicos, societarios o contra el mercado o los consumidores

Delitos contra la propiedad intelectual e industrial

Vulneración de la intimidad

Sabotaje

Uso indebido de equipos

Amenazas, calumnias e injurias

Cumplimiento de obligaciones y contratos

PASOS PRINCIPALES

La identificación

Es muy importante conocer los antecedentes.

Preservación.

Este paso incluye la revisión y generación de las imágenes forenses de la evidencia

Análisis.

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por

medio del proceso forense para poder encontrar pruebas de ciertas conductas.

Presentación.

Es el recopilar toda la información que se obtuvo a partir del análisis para realizar

el reporte y la presentación a los abogados.




HTML 5 CSS

Es un estándar que, en sus diferentes versiones, define una estructura básica y un código

(denominado código HTML) para la definición de contenido de una página web, como

texto, imágenes, etc. Incorpora nuevas aplicaciones y Javascript.

OBJETIVO:

Actualizar la Web y potenciar el desarrollo de aplicaciones Web, OnLine y OffLine.

NOVEDADES TÉCNICAS

OFFLINE Y ALMACENAMIENTO.- Aplicaciones más rápidas que funcionen

también sin conexión a internet

CONECTIVIDAD.- Mayor efectividad de transmisión de datos Cliente/Servidor que

permite mejorar la comunicación.

ACCESO A DISPOSITIVOS.- Geo-Localización, Acceso a Webcam, micrófono,

Cámara

RENDIMIENTO E INTEGRACIÓN.- Aplicaciones y Web más veloces.

SEMÁNTICA.- Estructuración semántica, etiquetas Semánticas, RDFA, microdatos,

microformatos y atributos ARIA

SEMÁNTICA

1. ESTRUCTURA SEMÁNTICA




<HEADER> Representa la cabecera de un documento o una sección de un documento.

<HGROUP> Representa el título de una sección

<NAV> Representa la navegación principal de un documento web

<ARTICLE> Sección de una página que consiste en un bloque de información que se

autoexplique

<SECTION> Es una agrupación temática de los contenidos, por lo general con un

herades y posiblemente con un footer

<ASIDE> Se utiliza para mostrar información complementaria de un artículo

<FOOTER> Representa el pie de un documento o una sección de un documento

<FIGURE> Representa un elemento de contenido dinámico opcionalmente con un

Caption

<DIV> Se utiliza para presentación sin necesidad semántica

El HTML se escribe en forma de «etiquetas», rodeadas por corchetes angulares (<,>).

HTML también puede describir, hasta un cierto punto, la apariencia de un documento, y

puede incluir o hacer referencia a un tipo de programa llamado script, el cual puede

afectar el comportamiento de navegadores web y otros procesadores de HTML.

2. ETIQUETAS SEMÁNTICAS

<time> muestra el tiempo

<mark> marca un texto

<meter> muestra una barra de calificación

<progress> muestra una barra de progreso

3. MICRODATOS

Ademas de los microdatos y los RDFA, Google propone este soporte para introducir

semántica en los documentos.

4. ARIA ATRIBUTES

Roles, su misión es definir el papel que juegan los elementos dentro del documento web.

Estados y propiedades que determinan las características y los valores de cada elemento.

5. MULTIMEDIA




<AUDIO>, <VIDEO>: incorporar audio y video de forma sencilla y sin necesidad de plugins.

Serán necesarias múltiples fuentes para asegurar la visualización en todos los

navegadores.

6. 3D, GRÁFICOS Y EFECTOS

Svg.- etiqueta que insertas parámetros vectoriales

CAnvas .- Pinta una función javascript

características CSS3.- Nuevas propiedades para fondos, bordes, texto, nuevos

selectores, animaciones, transiciones, modelos de caja.




CONCLUSIONES

La seguridad web para los desarrolladores son acciones que están en constante

crecimiento por lo que debe ser considerada en todas las etapas de desarrollo de

sistemas web.

HTML 5 CSS es la definición de un contenido de una página web, como texto,

imágenes, este incorpora nuevas aplicaciones y Javascript para el desarrollo de

aplicaciones Web, OnLine y OffLine.

No confiar en datos que se obtienen de usuarios o de cualquier otra fuente de

datos para evitar vulnerabilidades y para que nuestra autenticación no sea

atacada.

Las metodologías de desarrollo de sistemas deben definir objetos, fases, tareas,

productos y responsables necesarios para la correcta realización del proceso y su

seguimiento.

BIBLIOGRAFI A

Analisis forense. La CSI de la informática

http://www.youtube.com/watch?v=rgD46Hz4hBY

Metodología de desarrollo de Sistemas de información

http://www.youtube.com/watch?v=i4v3ZPuf2b8

Diseño con HTML 5

http://www.youtube.com/watch?v=7megqzhhU6s

Seguridad para desarrolladores Web


¿El fin de las contraseñas?

http://www.youtube.com/watch?v=lKnRJVdzcbI

http://www.youtube.com/watch?v=rgD46Hz4hBY

http://www.youtube.com/watch?v=i4v3ZPuf2b8



http://www.youtube.com/watch?v=lKnRJVdzcbI

Informe Campus Party 2013

Education

Transcript of Informe Campus Party 2013