Professional Documents
Culture Documents
Autorregulacin
y privacidad
Cifrado en
base de datos
Deteccin de
intrusos
Ciberseguridad en
educacin
Derechos de
autor
Contenido
04
07
11
15
23
27
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Coordinacin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R. , revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu
expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
Editorial
Proteccin de datos
Quehacer de usuarios y profesionales
UNAMCERT
04
caractersticasprincipalesdeben serlaprecisin
y la disponibilidad. En el siguiente nivel est la
informacin de uso interno, comprende toda la
informacin que se intercambia al interior de la
empresa y entre los empleados, es la columna
Procurar estas caractersticas debera ser el
vertebral de las operaciones del negocio, por lo
resumen de un modelo de gestin de laseguridad. tanto las caractersticas que le aplican son la
Para lograrlo hay que apoyarse en algunos
disponibilidad y la integridad. En el ltimo nivel
instrumentos como la poltica de seguridad, la est la informacin de acceso restringido, est
identificacin de activos y el anlisis de riesgos, muy relacionada con el tipo de actividad que
stos deberan ser independientes a buscar
puede incluir, por ejemplo los planes de negocio,
certificaciones en alguna normativa.
informacin de nuevos productos, resultados de
investigaciones o estrategias de mercado. La
principal caractersticadeestetipodeinformacin
La piedra angular: poltica de es su confidencialidad.
seguridad
UNAMCERT
Clasificar la informacin
corporativa
05
UNAMCERT
06
UNAMCERT
Autorregulacin
Es el reconocimiento que debe realizar toda
organizacin que tenga en su posesin datos de
carcter personal (con base en un diagnstico y
una introspeccin o percepcin interna de la
organizacin) para desarrollar la capacidad
reflexiva y as poder observar sus
potencialidades, destrezas, habilidades,
debilidades y oportunidades con relacin a la
proteccin de los datos personales y al
cumplimiento de las disposiciones de la
LFPDPPP.
Autoevaluacin
Constituye un acto consciente de apreciacin y
de valoracin de las actividades realizadas. Est
relacionada con los instrumentos y mecanismos
orientados a identificar, conocer y analizar los
elementos fundamentales utilizados para dar
cumplimiento alaproteccin de datos personales,
a la LFPDPPP y a su Reglamento.
Es por ello que la autoevaluacin sobre la
efectividad de las medidas de proteccin de datos
personales se entiende como una forma tanto de
retroalimentacin como de control sobre la
correcta aplicacin de las medidas fsicas,
tcnicas y administrativas establecidas para la
proteccin de los datos personales, el cumplimiento de la LFPDPPP y su Reglamento, lo que
resulta un requisito esencial para el proceso de
toma de decisiones.
Durante la autoevaluacin se identifica y evala
la existencia de estos mecanismos y su relacin
Acreditacin
Un proceso voluntario mediante el cual una
organizacin es capaz de medir la efectividad de
sus mecanismos de proteccin de datos
personales y los controles establecidos para el
cumplimiento de las disposiciones de la
LFPDPPP, adems del rendimiento de los
mismos frente a estndares reconocidos a nivel
nacional o internacional. El proceso de
acreditacin implica la autoevaluacin de la
organizacin, as como una evaluacin en detalle
por un equipo de expertos externos.
El desarrollo de un esquema de autorregulacin
inicia con un proceso de autoevaluacin en
materia de proteccin de datos personales,
permite establecer un sistema de aseguramiento
integrado por mecanismos para medir la eficacia
en la proteccin de los datos, consecuencias y
medidas correctivas eficaces en caso de
incumplimiento. Este esquema corresponde a la
autorregulacin como mxima expresin del
cumplimiento de la LFPDPPP.
El proceso de autorregulacin comprende ocho
aspectos previos a la autoevaluacin
propiamente dicha, los cuales se especifican a
continuacin:
Diagnstico situacional . Permite producir
conocimientosparalaaccin ytomadedecisiones
adecuadas a la realidad y el contexto sobre la
proteccin de los datos personales.
Accionesdemejorainmediata. Son acciones
UNAMCERT
en esta materia.
Anlisis de brecha (gap analisys) sobre el
cumplimiento.
Mejora continua.
Conocer la situacin con relacin al
cumplimiento de la LFPDPPP y su reglamento.
08
Recomendaciones
Convenir esquemas de autorregulacin en
grandes empresas o grupos de empresas.
Focalizar el esfuerzo en la creacin de un
sistema y una cultura de autoevaluacin para
fortalecer los mecanismos de proteccin.
Utilizarlo para conocer la situacin sobre el
cumplimiento de la Ley, su Reglamento y la
UNAMCERT
09
UNAMCERT
Conclusiones finales
10
UNAMCERT
11
UNAMCERT
12
UNAMCERT
13
Recomendaciones generales
sobre cifrado en las bases de
datos
Referencias
UNAMCERT
14
Raspberry Pi
UNAMCERT
15
Raspbian
Es un sistema operativo (SO) libre basado en
Debian (ver imagen 2) optimizado para
Raspberry Pi. La imagen (un archivo que
contiene la copia completa de un sistema
operativo) de este SO se puede obtener desde
su sitio oficial http://www.raspbian.org/
Requerimientos de hardware
Imagen 2. Raspbian.
Requerimientos de software
Imagen del sistema operativo Raspbian.
OpenWIPS-ng 0.1 beta 1 .
Conexin a Internet para descargar el
software necesario para instalar OpenWIPS.
UNAMCERT
OpenWIPS-ng
16
Implementacin
El objetivo del artculo no es explicar cmo se configura Raspbian en la memoria flash SDHC, sin
embargo se recomienda el siguiente enlace al lector en donde se explica cmo poder hacerlo en
Linux, Windows y Mac OS:
Una vez que est instalado el SO en la Raspberry Pi, lo siguiente es descargar el cdigo fuente de
OpenWIPS:
UNAMCERT
17
Como se puede observar en el archivo INSTALL, es necesario contar con software y bibliotecas
adicionales, por lo tanto se deben instalar esos requerimientos:
Imagen 7. Instalacin de software necesario.
Antes de compilar OpenWIPS es necesario que se borre la bandera Werror debido a que lo toma
como un error del archivo openwips-ng-0.1 beta1 /common.mak y obliga a terminar la compilacin
cuando se encuentra un warning o alerta, la eliminacin se puede hacer mediante un editor de texto:
UNAMCERT
Antes de configurar OpenWIPS, se recomienda instalar la suite Aircrack-ng para contar con
herramientas complementarias de auditora en redes inalmbricas. Descargar Aircrack-ng de la
siguiente manera:
18
Para configurar la tarjeta de red en modo monitor se necesita instalar iw (es una utilidad de
configuracin para dispositivos inalmbricos sucesora de iwconfig):
Imagen 15. Instalacin de iw.
Para comprobar que todo funcione correctamente se debe conectar una tarjeta de red
inalmbrica que pueda configurarse en modo monitor (para el desarrollo de este artculo se us
una tarjeta de la marca ALFA Network). Se puede identificar la tarjeta de red inalmbrica de la
siguiente manera:
UNAMCERT
19
Una vez comprobado que se puede configurar en modo monitor la tarjeta de red inalmbrica (se
debe tener en cuenta que fungir como sensor), se configurar OpenWIPS para poder ejecutarlo
posteriormente.
Visualizar el archivo de configuracin de OpenWIPS:
Imagen 20. Visualizacin del archivo de configuracin de OpenWIPS.
Como recomendacin, se debe revisar detenidamente el archivo para que se comprenda todo lo
que se puede configurar. Una de las partes importantes a modificar es agregar en una nueva
lnea la direccin MAC del punto de acceso inalmbrico (AP) que se quiera proteger (en este
caso es f4:55:9c:cc:fb:3c) y comentar las lneas que contienen allow_bssid=group1 y allow_
client=group1:
Otra configuracin importante es especificar la bitcora que registrar los eventos ocurridos,
sobre todo las alertas de seguridad, por defecto se guardan en syslog de Raspbian pero se
configurar una ubicacin diferente:
Se pueden realizar diferentes configuraciones segn las necesidades de la red inalmbrica, tales
como cambiar la contrasea de acceso de los sensores, agregar clientes que se conectarn al
AP, habilitar o deshabilitar complementos, entre otras, pero debido al alcance del artculo, las
configuraciones realizadas anteriormente son suficientes para iniciar OpenWIPS.
UNAMCERT
20
En donde,
127.0.0.1 es la direccin IP del servidor OpenWIPS,
9477 es el puerto por donde se est ofreciendo el servicio de OpenWIPS,
sensor1:sensor1 son las credenciales para conectarse con el servidor.
UNAMCERT
21
Mesografa
Imagen 1. Definicin de Raspberry Pi. Recuperado el 21
de abril de 2014, de www.raspberrypi.org
Imagen 2. Caractersticas de Raspbian. Recuperado el
24 de abril de 2014, de www.raspbian.org
Imagen 3. Descripcin de OpenWIPS-ng. Recuperado el
24 de abril de 2014, de www.openwips-ng.org
Imagen 4-27. Capturas de pantalla autora de UNAMCERT. 2014
UNAMCERT
22
Ciber-seguridad para la
educacin online
UNAMCERT
UNAMCERT
24
UNAMCERT
25
UNAMCERT
Referencias
26
UNAMCERT
27
Fortalezas:
UNAMCERT
28
Cifrado
La criptografa constituye una disciplina de
seguridad de la informacin cuyo objetivo es
realizar, a partir de un proceso de cifrado, la
conversin de un mensaje en caracteres
completamente ininteligibles para aquellas
personas o entidades que no tengan las credenciales necesarias para regresarlo a su estado
normal. Entre las aplicaciones de Android que
realizan dicho proceso encontramos a SSE Universal Encryption, Encryption Manager y File
encryption + [4], entre otras. Estas aplicaciones
soportan una gran cantidad de algoritmos de
cifrado y por lo general crean un nuevo archivo
que contendr los datos cifrados con la
contrasea establecida por el usuario,
respetando el archivo original.
Fortalezas:
Ocultamiento de archivos
Otra alternativa que se ha vuelto sumamente
popular consiste en aplicaciones que funcionan
como una caja fuerte, permitiendo al usuario
elegir qu archivos desea ocultar dentro de su
dispositivo.
UNAMCERT
Fortalezas:
Esconde los archivos de accesos no autorizados, especialmente cuando un tercero consigue
acceso fsico al dispositivo.
Si quieres saber ms consulta:
Referencias
[1] Gartner. Gartner Says Annual Smartphone Sales
Surpassed Sales of Feature Phones for the First Time in
2013. Recuperado el 27 de junio de 2014. Disponible:
http://www.gartner.com/newsroom/id/2665715
Actualmente en Google Play no existe un sistema de proteccin para las personas interesadas en preservar la propiedad intelectual sobre
sus imgenes que sea confiable. Sin embargo,
UNAMCERT
Debilidades:
Es posible obtener permisos de sper usuario
en los dispositivos a travs de la explotacin de
algunas vulnerabilidades de Android, lo que
permitira al usuario acceder a cualquier
directorio del sistema operativo y obtener los
archivos protegidos.
Una vez obtenido el archivo, no hay manera
de validar la propiedad intelectual.
Al igual que las anteriores, las tcnicas de
recuperacin de archivos nos permitirn realizar
un escaneo de la unidad de almacenamiento y
encontrar el archivo original sin proteccin.
30
UNAMCERT
UNAMCERT