Encuentro Internacional de Seguridad Informática – Día 2

Exploiting Encuentro Internacional de Seguridad Informática   Día 2

En el segundo día del Encuentro Internacional de que realiza la Facultad de Ingeniería de la Universidad de Manizales en el Aula Máxima, se evidencia que las empresas y los desarrolladores de software, no se preocupan por la seguridad de su información.

AMBIENTES VIRTUALES SEGUROS:
La conferencia de la PhD RACHEL GREENSTADT de HARVARD, ESTADOS UNIDOS, única mujer ponente del evento, trató la variedad de los proyectos de investigación comercial en la virtualización y de sus implicaciones en la seguridad.

DISEÑO Y CONFIGURACIÓN DE UN FIREWALL HUMANO (NEWNET):
La charla de JAIME AUGUSTO ZULUAGA URREA de COLOMBIA, planteó cómo la información es solamente dato cuando no sufre manipulaciones, pero es realmente información al transformarlo el ser humano quien le imprime significados y propósitos.

Así mismo, propuso un enfoque metodológico para definir un firewall (elemento utilizado en redes de computadoras para controlar las comunicaciones), y luego, ir induciéndolo por analogía, evitando un factor de riesgo y convirtiéndolo en un elemento de control que evite la pérdida de las características de confidencialidad, integridad y disponibilidad de la información.

HACKEANDO CON LA UÑAS:
GUILLERMO JURADO de – NKT, GTI, HACKSTUDIO, mostró una perspectiva sobre diferentes técnicas “aparentemente de bajo nivel técnico”, con las cuales “cualquier individuo inquieto” puede desarrollar estrategias efectivas de ataques informáticos (con una alta capacidad de daño).

La idea, según el experto, es observar con “demos en vivo” cómo sin ser ingeniero, sin ser el “super-hacker”, sin ser el experto programador, puede lograr excelentes resultados de intrusión en empresas y organizaciones “típicas colombianas”.

AN INTRODUCTION TO TOR:
Catalogado por su comunidad como uno de los mejores expertos en la temática de seguridad, ROGER DINGLEDINE de ESTADOS UNIDOS (MIT, BLACKHAT, DEFCON), explicó en el foro que “tor” es un conjunto de herramientas para un amplio abanico de organizaciones y personas que quieren mejorar su seguridad en Internet. Usar tor puede ayudar para que sea anónima la navegación y publicación web, mensajería instantánea, IRC, SSH, entre otras aplicaciones que usa el protocolo TCP.

Tor, también proporciona una plataforma sobre la cual los desarrolladores de programas pueden construir nuevas aplicaciones, que incorporen características de anonimato, seguridad y privacidad.

La herramienta tiene el propósito de servir de defensa contra el análisis de tráfico, una forma de vigilancia que amenaza el anonimato y la privacidad personal, la confidencialidad en los negocios y la seguridad de Estado. Las comunicaciones se transmiten a lo largo de una red distribuida de servidores protegidos de sitios web que crean perfiles con intereses propios y espían datos o clasifican sitios visitados.

FUGA DE INFORMACIÓN Y DELITOS INFORMÁTICOS:
El ingeniero electrónico y físico colombiano, OSCAR EDUARDO RUIZ, afirmó que no se puede arreglar o detener lo que no se puede encontrar rápidamente; por eso, en su intervención sobre fuga de información en las empresas, indicó que con los computadores portátiles, las memorias usb, es muy fácil para un empleado o un infiltrado sacar información de la organización.

Demostró cómo se puede sacar la información oculta en gráficos, e incluso, en archivos words.

En cuanto al análisis forense, expresó que su labor en la fiscalía de Colombia es reconstruir los hechos, realizar investigaciones que determinen cómo fue el proceso y se evidencie a través de pruebas.

A LA “CAZA” DE LOS ERRORES EMPRESARIALES:
En la intervención de HERNÁN RACCIATTI de ARGENTINA (ISECOM – OISSG), se indicó cómo entre más tarde se encuentra un error es más costosa su solución. El argentino insistió que en la actualidad las compañías de software que tienen un producto de salida, su objetivo lo dirigen en aspectos económicos y comerciales, y dejan a un lado el tema de seguridad, arriesgando el negocio desde su inicio.

Afirmó que la oportunidad explícita de los ingenieros está en especializarse para descubrir y reportar errores informáticos empresariales.

TÉRMINOS SEGUROS:
Firewall: Es un cortafuegos (informática), un elemento utilizado en redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas;

Parches: Corrección de errores

Wokshop: Demostraciones en vivo

Criptografía: (del griego kryptos, «ocultar», y graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía propiamente dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los métodos que se utilizan para romper textos cifrados con objeto de recuperar la información original en ausencia de la clave.

La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.

Otro método utilizado para ocultar el contenido de un mensaje es ocultar el propio mensaje en un canal de información, pero en puridad, esta técnica no se considera criptografía, sino esteganografía. Por ejemplo, mediante la esteganografía se puede ocultar un mensaje en un canal de sonido, una imagen o incluso en reparto de los espacios en blanco usados para justificar un texto. La esteganografía no tiene porqué ser un método alternativo a la criptografía, siendo común que ambos métodos se utilicen de forma simultánea para dificultar aún más la labor del criptoanalista.

En la actualidad, la criptografía no sólo se utiliza para comunicar información de forma segura ocultando su contenido a posibles fisgones. Una de las ramas de la criptografía que más ha revolucionado el panorama actual de las tecnologías informáticas es el de la firma digital: tecnología que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo.

CENTRO DE COMUNICACIONES Y PRENSA

BOLETÍN DE PRENSA 02

CASOS REALES DE SEGURIDAD INFORMÁTICA

El 2º Encuentro de Seguridad Informática que se realiza en la Universidad de Manizales, revelará mañana, en su último día de reflexión, casos reales de seguridad.

DELINCUENCIA INFORMÁTICA EN EL ENTORNO COLOMBIANO:
El mayor FREDY BAUTISTA GARCIA de la DIJIN, COLOMBIA disertará mañana sobre Delincuencia Informática en Colombia y presentará la evolución de la investigación de Delitos Informáticos en el País, el compromiso asumido por las autoridades investigativas, el estado actual de la legislación, conceptos y casos propuestos. Implementación de laboratorios de Informática Forense.

CRIPTOGRAFÍA ASIMÉTRICA USANDO CURVAS ELÍPTICAS:
Así tituló su segunda charla, el matemático mexicano: Eduardo Ruiz Duarte, quien mañana hablará sobre la criptografía asimétrica que ha tenido una gran aceptación después de su invento en los últimos 20 años, resolviendo la necesidad de negociar un passphrase o password sobre medios no seguros entre varias personas para poder cifrar la información.

La ponencia pretende que se extienda el uso de la criptografía asimétrica y se promuevan las curvas elípticas para implementarla. Existen esquemas que analizaremos como RSA, Diffie Hellman, entre otros basados en el problema del logaritmo discreto que se puede extender a cualquier grupo abeliano.

Se analizarán campos finitos algebraicos y su uso en criptografía; se conocerá cómo construir grupos “abelianos” (lenguaje estadístico) sobre otros esquemas más complejos como las curvas elípticas.

Tags:


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo