informe campus party 2013
TRANSCRIPT
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERA
ESCUELA SISTEMAS Y COMPUTACIÓN
SISTEMAS DE INFORMACIÓN GEOGRÁFICA-GIS
Informe Campus Party 2013 NOMBRE:
Janneth Guamán Siguenza
DOCENTE:
Ing. Gonzalo Allauca
Quinto Sistemas y Computación
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 2
TEMA
INFORME CAMPUS PARTY 2013-VIDEO-CONFERENCIAS
OBJETIVOS
OBJETIVO GENERAL
Sintetizar y resumir cada video-conferencia para recalcar la
información más relevante que nos facilitara el estudio y conocimientos
en temas de nuestra actualidad tecnológica.
OBJETIVOS ESPECIFICOS
Conocer acerca de la seguridad web para desarrolladores para evitar
vulnerabilidades informáticas.
Aprender cómo se identifica, analiza y visualiza datos informáticos que
sean válidos dentro de un proceso legal.
Conocer las principales metodologías que podemos utilizar para hacer
más eficiente el desarrollo de sistemas de información.
Conocer los diferentes tipos de ataques a nuestras contraseñas para
evitar infiltraciones en la autenticación de cuentas de uso común.
Establecer la semántica principal de HTML 5CSS para actualizar
nuestra Web y potenciar el desarrollo de aplicaciones Web, OnLine y
OffLine.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 3
DESARROLLO
SEGURIDAD WEB PARA DESARROLLADORES
La seguridad web no es una característica, son acciones.
El problema en la seguridad web está en constante crecimiento.
La seguridad debe ser considerada todo el tiempo de desarrollo es decir debe estar
durante todas las etapas.
1. SQL INJECTION
Es un método de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas
para realizar consultas a una base de datos.
Pasos
1. Valores tipo
2. Numero de columna
3. Columna vulnerable
4. Version Myslq
5. Nombre base
6. Nombres de tablas
7. Final nombre de usuario
Soluciones
Validar datos antes de usarlos en el SQL dinámico
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 4
Usar PDO(PHP Data Objects)
Usar declaraciones parametrizadas MySQLi’s
Usar mínimo mysql_real_escape_string.
El uso de addslashes() no es suficiente.
2. CROSS-SITE SCRIPTING (XSS)
XSS es un ataque de inyección de código
malicioso para su posterior ejecución que
puede realizarse a sitios web, aplicaciones
locales e incluso al navegador.
Soluciones
No confiar en datos que se obtienen de usuarios o de cualquier otra fuente de
datos
Saneando los datos.
Escapando los datos htmlspecialchars();
Validaciones de datos de entradas, deben realizarse siempre del lado del
servidor, no sólo en el lado del cliente
3. CROSS-SITE REQUEST FORGERY (CSRF)
Tipo de exploit malicioso de un sitio web en el que comandos no autorizados son
transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es
conocida también por otros nombres como XSRF, enlace hostil, ataque de un click,
cabalgamiento de sesión, y ataque automático.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 5
SOLUCION:
CAptcha.- Los captchas son utilizados para evitar que robots, también llamados
spambots, puedan utilizar ciertos servicios.
ATAQUES QUE VULNERAN LA CONTRASEÑA.
Si tu contraseña es muy obvia, puede resultar fácil para el vecino que quiere colgarse a tu
WiFi adivinar que la contraseña es el número de departamento, o tu apellido, o algo así.
Ataque que vulneran las contraseñas:
1. FUERZA BRUTA
Herramientas de software que se utiliza para vulnerar una contraseña a través de un
diccionario. Este genera caracteres de forma aleatoria y trata de adivinar la contraseña
de usuario. Algunos casos prácticos:
GPU: descifra claves de 6 caracteres en cinco segundo
En diciembre de 2012, en Oslo: se rompieron contraseñas de 8 caracteres en
menos de 6 horas.
Caso real en Twinter
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 6
2. MALWARE
Código malicioso que afecta el computador.
Ejemplo: Dorkbot
Gusano informático que recluta zombis
Más de 15 países de la región afectados
Más de 80000 reportes únicos de los equipos zombis
3. PHISHING
Afectan a lo que es juegos en línea
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 7
4. ATAQUES A SERVIDORES
Métodos de Autenticación.
Algo que se.
Algo que tengo.
Algo que soy.
Construyendo una contraseña fuerte
Usa un mínimo de 8 caracteres.
No repetir las letras y si lo haces procura que alguna esté en mayúscula.
Utilizar todo tipo de caracteres especiales y signos de puntuación.
No usar información personal en la elaboración de estas (nombre de tu mascota o
fecha de cumpleaños).
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 8
METODOLOGÍA DE DESARROLLO DE SISTEMAS DE INFORMACIÓN
Metodología.- Ciencia del método. Conjunto de métodos que se siguen en una
investigación científica o en una exposición doctrinal.
Método.- Modo de decir o hacer con orden.
MÉTODOS DE DESARROLLO DE SISTEMAS DE INFORMACIÓN
1. Son métodos que indican como hacer más eficiente el desarrollo de sistemas de
información. Para ellos suelen estructurar en fases la vida de dichos sistemas con
el fin de facilitar su planificación, desarrollo y mantenimiento.
Proceso
1. Especificación de requerimientos
2. Análisis.
3. Diseño.
4. Programación.
5. Pruebas
6. Implementación.
Objetivos
Asegurar la uniformidad y calidad tanto del desarrollo como del sistema.
Satisfacer las necesidades de los usuarios del sistema.
Conseguir un mayor nivel de rendimiento y eficiencia del personal
asignado al desarrollo.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 9
Ajuste a los plazos y costos previstos en la planificación.
Generar de forma adecuada la documentación asociada a los sistemas.
Facilitar el mantenimiento posterior de los sistemas.
ALGUNAS METODOLOGÍAS
1. CASCADA PURA.
Beneficios.
Secuencia ordenada de métodos.
Está dirigido por documentos.
Detección temprana de errores.
Reduce costos de planificación.
Permite a la organización a generar capital humano.
Desventajas.
Avance lento del proyecto.
Resultados palpables solo al final del proyecto.
Exceso de documentación útil.
Volátil en tiempos de entrega.
Costos altos en inversión tecnología.
2. PRUEBA Y ERROR.
Poco útil, bastante común.
No requiere definición formal.
Es intuitiva.
De rápido acceso a puesta en producción.
Es eficiente para pequeños proyectos.
No genera documentación.
Excede en confianza.
3. MÉTODO PROTOTIPO
Requiere de un usuario experto.
Genera un sistema que funciona.
El requerimiento de información no está bien definido.
Genera un sistema piloto de pruebas.
Garantiza funcionalidad pero no desempeño.
4. MODELO EN ESPIRAL
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 10
Es un modelo de proceso de software evolutivo, enlaza prototipos y
cascada.
Genera un crecimiento incremental de grado de definición e
implementación.
Precisa puntos de retorno.
Provoca toma de decisiones más certeras.
Útil para grandes desarrollos.
5. Scrum
Metodología ágil y flexible.
Muy alto involucramiento del usuario.
Reuniones programadas diarias.
Construye primero la funcionalidad de mayor valor para el cliente.
Entregas parciales funcionales.
Genera capital humano interno a la organización.
ANÁLISIS FORENSE
Cómputo Forense
El cómputo forense, también llamado informática forense, computación forense, análisis
forense digital o examinación forense digital es la aplicación de técnicas científicas y
analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar,
analizar y presentar datos que sean válidos dentro de un proceso legal.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 11
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes
informáticos
El análisis forense informático es una prueba clave en numerosas ocasiones, como por
ejemplo:
Revelación de secretos, espionaje industrial y confidencialidad
Delitos económicos, societarios o contra el mercado o los consumidores
Delitos contra la propiedad intelectual e industrial
Vulneración de la intimidad
Sabotaje
Uso indebido de equipos
Amenazas, calumnias e injurias
Cumplimiento de obligaciones y contratos
PASOS PRINCIPALES
La identificación
Es muy importante conocer los antecedentes.
Preservación.
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia
Análisis.
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por
medio del proceso forense para poder encontrar pruebas de ciertas conductas.
Presentación.
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar
el reporte y la presentación a los abogados.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 12
HTML 5 CSS
Es un estándar que, en sus diferentes versiones, define una estructura básica y un código
(denominado código HTML) para la definición de contenido de una página web, como
texto, imágenes, etc. Incorpora nuevas aplicaciones y Javascript.
OBJETIVO:
Actualizar la Web y potenciar el desarrollo de aplicaciones Web, OnLine y OffLine.
NOVEDADES TÉCNICAS
OFFLINE Y ALMACENAMIENTO.- Aplicaciones más rápidas que funcionen
también sin conexión a internet
CONECTIVIDAD.- Mayor efectividad de transmisión de datos Cliente/Servidor que
permite mejorar la comunicación.
ACCESO A DISPOSITIVOS.- Geo-Localización, Acceso a Webcam, micrófono,
Cámara
RENDIMIENTO E INTEGRACIÓN.- Aplicaciones y Web más veloces.
SEMÁNTICA.- Estructuración semántica, etiquetas Semánticas, RDFA, microdatos,
microformatos y atributos ARIA
SEMÁNTICA
1. ESTRUCTURA SEMÁNTICA
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 13
<HEADER> Representa la cabecera de un documento o una sección de un documento.
<HGROUP> Representa el título de una sección
<NAV> Representa la navegación principal de un documento web
<ARTICLE> Sección de una página que consiste en un bloque de información que se
autoexplique
<SECTION> Es una agrupación temática de los contenidos, por lo general con un
herades y posiblemente con un footer
<ASIDE> Se utiliza para mostrar información complementaria de un artículo
<FOOTER> Representa el pie de un documento o una sección de un documento
<FIGURE> Representa un elemento de contenido dinámico opcionalmente con un
Caption
<DIV> Se utiliza para presentación sin necesidad semántica
El HTML se escribe en forma de «etiquetas», rodeadas por corchetes angulares (<,>).
HTML también puede describir, hasta un cierto punto, la apariencia de un documento, y
puede incluir o hacer referencia a un tipo de programa llamado script, el cual puede
afectar el comportamiento de navegadores web y otros procesadores de HTML.
2. ETIQUETAS SEMÁNTICAS
<time> muestra el tiempo
<mark> marca un texto
<meter> muestra una barra de calificación
<progress> muestra una barra de progreso
3. MICRODATOS
Ademas de los microdatos y los RDFA, Google propone este soporte para introducir
semántica en los documentos.
4. ARIA ATRIBUTES
Roles, su misión es definir el papel que juegan los elementos dentro del documento web.
Estados y propiedades que determinan las características y los valores de cada elemento.
5. MULTIMEDIA
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 14
<AUDIO>, <VIDEO>: incorporar audio y video de forma sencilla y sin necesidad de plugins.
Serán necesarias múltiples fuentes para asegurar la visualización en todos los
navegadores.
6. 3D, GRÁFICOS Y EFECTOS
Svg.- etiqueta que insertas parámetros vectoriales
CAnvas .- Pinta una función javascript
características CSS3.- Nuevas propiedades para fondos, bordes, texto, nuevos
selectores, animaciones, transiciones, modelos de caja.
UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERIA
ESCUELA SISTEMAS Y COMPUTACION
Sistemas de Información Geográfica - GIS 15
CONCLUSIONES
La seguridad web para los desarrolladores son acciones que están en constante
crecimiento por lo que debe ser considerada en todas las etapas de desarrollo de
sistemas web.
HTML 5 CSS es la definición de un contenido de una página web, como texto,
imágenes, este incorpora nuevas aplicaciones y Javascript para el desarrollo de
aplicaciones Web, OnLine y OffLine.
No confiar en datos que se obtienen de usuarios o de cualquier otra fuente de
datos para evitar vulnerabilidades y para que nuestra autenticación no sea
atacada.
Las metodologías de desarrollo de sistemas deben definir objetos, fases, tareas,
productos y responsables necesarios para la correcta realización del proceso y su
seguimiento.
BIBLIOGRAFI A
Analisis forense. La CSI de la informática
http://www.youtube.com/watch?v=rgD46Hz4hBY
Metodología de desarrollo de Sistemas de información
http://www.youtube.com/watch?v=i4v3ZPuf2b8
Diseño con HTML 5
http://www.youtube.com/watch?v=7megqzhhU6s
Seguridad para desarrolladores Web
http://www.youtube.com/watch?v=7megqzhhU6s
¿El fin de las contraseñas?
http://www.youtube.com/watch?v=lKnRJVdzcbI