Archivo | VARIOS RSS feed for this section

La magia de la fotografía

29 Abr

via laflecha.net

Introducción al Hacking Ético

29 Ene

El día Viernes 28 de enero del 2011  se llevo a cabo la conferencia sobre la Introducción al Hacking Ético en el Auditorio 3 del Octógono de la Universidad Técnica Particular de Loja  a las 10h30 am, la cual fue dictada por el Ingeniero Martin Scattini, consultor de la reconocida empresa Ernest & Young.

Los puntos a tratar fueron:

  • Contexto  actual del Hacking
  • Principales  riesgos
  • Enfoque: Modelo de seguridad
  • Hacking  ético como control de calidad

.

CONTEXTO ACTUAL

En nuestros días al hacking se lo considera una amenaza , sobre todo en las empresas. Pero  como se verá más adelante un hacker puede permitir encontrar las deficiencias en cuanto a la seguridad de la empresa (hacking ético).

Entre las actividades que realizan los hackers tenemos:

  • Atacantes externos protagonizan el mayor número de incidentes, pero con menos impacto. La empresa se cuida más de estos.
  • Los ataques internos son en menor cantidad pero más significativos.
  • 3 de cada 4 ataques no fueron detectados por las víctimas.
  • Se realizan ataques con tarjetas personales o de presentación.
  • La mayoría de ataques no son sofisticados.
  • El 85%  de los objetivos son oportunísticos, y no dirigidos.
  • El 96% de los ataques son prevenidos con buenas políticas y medidas de seguridad

Las causas de los ataques fueron:

  • El 48% de los incidentes son atribuibles a errores de gestión en la seguridad significativos
  • El 40% de los incidentes tuvieron éxito como consecuencia de actividades de hacking
  • El 38% de los incidentes incorporaron código malicioso
  • El 28% de los incidentes guardaron relacióncon explotación de vulnerabilidades
  • El 15% de los incidentes tuvieron como motor una amenaza a la seguridad física

Entre los riesgos que las compañías deben afrontar tenemos:

.

 

PRINCIPALES RIESGOS

► Riesgos asociados a la infraestructura de frontera

  • Ataques de intrusos a servicios públicos o privados (ejemplo Home Banking, Servidores de Correo electrónico)
  • Ataques de virus o gusanos aprovechando vulnerabilidades existentes en los servidores (Windows / Unix)
  • Ataques de denegación de servicio

► Riesgos asociados a la red Interna

  • Ataques de usuarios malintencionados desde la red interna a servidores centrales, estaciones de trabajo de la red LAN o de otras sucursales
  • Propagación de virus a través de la red LAN / WAN debido a sistemas no actualizados con parches de seguridad o antivirus
  • Utilización de recursos de la red en forma inadecuada
  • Captura de información que circula a través de la red para utilizarla con fines fraudulentos

► Riesgos asociados a las aplicaciones

  • Utilización de contraseñas capturadas a través de la red para el acceso no autorizado a aplicaciones y bases de datos
  • Existencia de vulnerabilidades o debilidades en los sistemas que permiten a usuarios internos ejecutar herramientas para acceder con privilegios de administración (Exploits, Backdoors)
  • Utilización de servicios de red innecesarios para acceder a sistemas en forma no autorizada (Servidor web no autorizado, carpetas compartidas)
  • Incorrecta configuración de perfiles de acceso

ENFOQUE

 


.

HACKING ÉTICO COMO CONTROL DE CALIDAD

¿Qué es un Hacker?


Definición 1: Término para designar a alguien con talento, conocimiento, inteligencia e ingeniedad, especialmente relacionadas con las operaciones de computadora, las redes, los problemas de seguridad, etcétera.

Definición 2: Persona que disfruta aprendiendo los detalles de los sistemas de programación y cómo extender sus capacidades, tan intensamente como, al contrario, muchos usuarios prefieren aprender sólo el mínimo necesario.
►Ninguna de estas definiciones define al Hacker como un criminal.
►En el mejor de los casos, son los incentivadores, probadores y aprobadores de las mejores y más nuevas tecnologías. En el peor, los
Hackers pueden ser traviesos, perversos y delincuentes curiosos.

El mundo de los sombreros


► White Hat: “Los chicos buenos”.- Tienen una ética hacker que se centra en asegurar y proteger los sistemas tecnológicos de información. Estas personas suelen trabajar para empresas de seguridad informática.
Grey Hat: “Mercenarios”.-  Es un hacker intermedio que actúa  a veces de los buenos y a a veces de los malos, quiere decir que actúa a veces legalmente, a veces a voluntad y a veces no
Black Hat: “Los chicos malos”.- Se dedica a violar los sistemas de seguridad de computadoras, colapsando servidores, infectando redes o apoderandoce de ellas. Generalmente realizan estas actividades con el fin de obtener grandes beneficios económicos.

Objetivos

► Realizar un intento de intrusión controlado a los sistemas de información de la compañía, con el objetivo de identificar las vulnerabilidades a las que están expuestas las redes y definir los planes de acción para mitigar los riesgos.
► Emular a todos los tipos posibles de intrusos y obtener evidencias concretas del grado de exposición.

Modalidades de A&P

  • Formal.– El hacking se realiza con conocimiento de la empresa.
  • Informal.– Cuando se realiza sin conocimiento de la empresa

Ambientes de Penetración


  • Caja Blanca (con información del objetivo)
  • Caja Negra (sin información del objetivo)
  • Caja Gris (híbrido)

Tipos de pruebas

  • Externas
  • Internas
  • Wireless
  • Basadas en tiempo y costo

Enfoque metodológico

La metodología que usan es la siguiente:

  • Discovery
  • Identificación y adquisición de hosts
  • Interrogación de DNS: herramienta nslookup
  • Enumeracion
  • Port Scanning de equipos targets
  • Banner Retrieval / Footprinting de equipos targets
  • Identificacion de Vulnerabilidades
  • Identificación de debilidades y vulnerabilidades
  • Scanners de Vulnerabilidades
  • Explotación.
  • Explotación de debilidades y vulnerabilidades
  • Escalación de privilegios
  • Intrusión

Ataques de Seguridad

Exploits
Es un rograma o técnica que aprovecha una vulnerabilidad. El método concreto es usar un error de algún programa para acceder a un sistema informático.

  • Depende de los sistemas operativos y sus configuraciones, de las configuraciones de las aplicaciones que se estén ejecutando y desde donde se esté ejecutando.
  • Dependiendo del bug del que se aproveche, puede llevar a una elevación de privilegios (acceso como root o administrador), una denegación de servicio (DoS) o un robo o destrucción de información.

Denial of Service – DoS
Incidente mediante el cual un usuario o Compañía es privado de un servicio o recurso que normalmente esperan tener.La pérdida del servicio es la inhabilitación de un servicio de red particular para ser accedido temporalmente o la pérdida de todos los servicios de red. Un ataque también podría llegar a destruir programas y archivos en el equipo atacado.

  • Generalmente se ejecuta un DoS con el intento de bloquear la posibilidad de un individuo de acceder a un WebSite o servidor de e-Mail.

► Análisis de tráfico de red (Sniffing)
Consiste en espiar los paquetes de datos que son destinados a otros dispositivos en la red.

  • Riesgos: robos de contraseñas, acceso a información a la cual no se tendría acceso en condiciones normales (ej. contenido de emails).

Robo de Sesiones (Hijacking)
Permite tomar control de una conexión entre dos computadores de una forma similar al ataque “MiM – Man in the Middle”.

  • Este control puede resultar en la transferencia del control de cualquier tipo de sesión.

Mapa Mental: Hacking Ético

28 Ene

Click en la imagen para ampliarla

E-LEARNING

26 Ene

TEMA: E-LEARNING

HORA: 11h00-12h00

FECHA: 26 de Enero del 2011

LUGAR: Teatro Universitario Bolivar – Loja – Ecuador

PONENTE: Andrés Larco


¿QUÉ ES E-LEARNING?

El e-learning es cualquier medio electrónico de distribución, participación y apoyo al aprendizaje, normalmente, mediante Internet y de servicios de medios electrónicos relacionados como el aprendizaje por ordenador, las aulas virtuales y la colaboración digital.

ACTORES DE E-LEARNING

  • El profesor imparte la enseñanza y presta apoyo.
  • El diseñador reúne todos los elementos del programa.
  • El Equipo técnico garantiza que el sistema funcione satisfactoriamente.
  • El Proveedor  que ofrece productos y servicios nuevos.
  • La Dirección se encarga de que haya financiación y otros recursos disponibles.
  • El Alumno quien está dispuesto  a aprender a través de E-learning.

CARACTERÍSTICAS DEL E-LEARNING

  • Elimina las distancias físicas
  • Permita flexibilidad espacial y horaria
  • Favorece la interacción
  • Facilita el aprendizaje permanente durante toda la vida
  • El profesor no es el depositario del conocimiento
  • Atiende a muchos en grupos reducidos
  • Creación compartida de conocimiento
  • Favorece la integración de colectivos desfavorecidos
  • Reutiliza los contenidos formativos

VENTAJAS DEL E-LEARNING


Para Cabero (2006a, p. 3) , las ventajas son:
•Pone a disposición de los alumnos un amplio volumen de información.
•Facilita la actualización de la información y de los contenidos.
•Flexibiliza la información, independientemente del espacio y el tiempo en el cual se encuentren el profesor y el estudiante.
•Permite la deslocalización del conocimiento.
•Facilita la autonomía del estudiante.
•Propiciaunaformaciónjust in time y just for me.

LIMITACIONES

  • Dificultades derivadas del funcionamiento  de los canales de comunicación.

Lentitud en la transición de la información.
Interrupciones inesperadas de la comunicación.
Coste elevado de las tarifas planas.
Interrupciones en el suministro eléctrico.

  • Dificultades derivadas de la calidad tecnológico- educativa de la información

Obsesión por la generación del contenido literario.
Descuido en la calidad estética.

  • Dificultades derivadas de la calidad del diseño metodológico y organizativo de la acción formativa.

Obsesión por la transmisión de contenidos.
Tendencia al uso de metodologías de naturaleza conductista.
Obsesión por eficiencia de adquisición de conocimientos
Tendencia a la evaluación de resultados.

VISIÓN MUNDIAL

  • La Universidad de Anadolu (Turquía), llega a más de 500 000 estudiantes de educación a distancia, fue creada en el año 1981.
  • La Universidad Abierta de Hong Kong se inauguró en el año 1989 con el objetivo de dar servicio a los residentes de esta enorme área metropolitana
  • En África, la educación a distancia está en un nivel básico
  • China desarrollo un sistema de universidad nacional por radio y televisión
  • Europa:
  • _ Open University del Reino Unido
  • _ La Universidad Nacional de Educación a Distancia de España
  • _ La  Universidad Oberta de Cataluña, UOC de España
  • Estados Unidos:
  • _El proyecto Star Schools (CK-12) que proprcionan instrucción por satélites: IOWA Dakota del Sur

VALORAR LO NUESTRO

  • Las personas de las universidades públicas hacen la gran diferencia: Estudiantes y Profesores
  • Las carreras técnicas como Ingeniería de Sistemas tienen suficiente sustento matemático, computacional, informático y tecnología como para desarrollarse en cualquier campo profesional y además estudiar cualquier maestría.

QUE ESTUDIAR??

Postgrados:

  • Técnicos
  • En gestión
  • Finanzas

Educación Continua

Certificaciones internacionales en:

  • Oracle
  • IBM
  • HP
  • Java

DONDE ESTUDIAR??

  • Universidad Oberta de Cataluña UOC
  • TEC
  • Carnegie Mellon
  • UNED
  • OPEN-U

VENTAJAS DE ESTUDIAR VIRTUALMENTE

  • Se esta siempre dentro del mercado laboral
  • Se está cerca de la familia
  • Flexibilidad de tiempo y espacio
  • El conocimiento se acerca más rápido al entorno donde nos desarrollamos
  • Las investigaciones o estudios son pertinentes al ámbito local
  • Se disminuyen las fugaas de cerebro

CLAVES PARA EL ÉXITO AL MOMENTO DE ESTUDIAR VIRTUALMENTE

  • Definición clara de que se va a estudiar y por qué?
  • Gestión adecuada del tiempo
  • Estabilidad laboral
  • Estabilidad sentimental
  • Apoyo del circulo cercano al estudiante: Familia – Amigos

RECOMENDACIONES

Informarse adecuadamente

Que todas las universidades esten evaluadas por Bolonia

Realizar una comparación (benchmarking), entre carreras a estudiar y universidades

Financiación factible:

A través del IECE

Buscar becas

  • Comisión Fulbright Ecuador
  • Fundación Carolina
  • SENECYT
  • Las mismas universidades

Aprendan hacer sus papeles  por si mismo

  • Pasaportes
  • Apostillar documentos, etc.

METODOLOGÍAS DE DESARROLLO DE SOFTWARE

26 Ene

TEMA: MANIFIESTO PARA EL DESARROLLO ÁGIL DE SOFTWARE– ARQUITECTURA DSN_XP

HORA: 10h00-11h00

FECHA: 26 de Enero del 2011

LUGAR: Teatro Universitario Bolivar – Loja – Ecuador

PONENTE: Francisco Toscano

Una metodología de desarrollo de software es usada para estructurar, planear y controlar el proceso de desarrollo en sistemas de información. A lo largo del tiempo, una gran cantidad de métodos han sido desarrollados diferenciándose por su fortaleza y debilidad.

EL MANIFIESTO ÁGIL

Estamos descubriendo mejores formas de desarrollar software tanto  por nuestra propia experiencia como ayudando a terceros.

  • A través de este trabajo hemos aprendido a valorar:
  • Individuos e interacciones sobre procesos y herramientas
  • Software funcionando sobre documentación extensiva
  • Colaboración con el cliente sobre negociación contractual
  • Respuesta ante el cambio sobre seguir un plan

Esto es aunque valoramos los elementos de la derecha, valoramos más los de la izquierda.

Estamos cansados de la forma clásica de producir software :o)

Este fue definido por 17 conocedores de las principales metodologías como son: Kent Beck, Mike Beedle, Arie van Bennekum, Alistair Cockburn, Ward Cunningham, Martín Fowler, James Greenning, Jim Highsmith, Andrew Hunt, Ron Jefferies, Jon Kern, Brian Marick, Robert C. Martin, Steve Mellor, Ken Schwaber, Jeff Sutherland, Dave Thomas. En el año 2001.

Los creadores del manifiesto para el desarrollo ágil de software poseen una vasta experiencia en proyectos exitosos de software, sin embargo, todas estas buenas prácticas que han sido descubiertas a lo largo de la existencia de la industria son la base para una nueva filosofía de trabajo:

“El movimiento ágil”

Valores del Manifiesto Ágil:

  1. Valorar más a los individuos y su interacción que a los procesos y las herramientas
  2. Valorar más el software que funciona que la documentación exhaustiva
  3. Valorar más la colaboración con el cliente que la negociación contractual
  4. Valorar más la respuesta al cambio que el seguimiento de un plan.

COBIT

26 Ene

TEMA: COBIT: Una buena práctica de gestión de procesos de TIC´s

HORA: 9h00-10h00

FECHA: 26 de Enero del 2011

LUGAR: Teatro Universitario Bolivar – Loja – Ecuador

PONENTE: Ing. Bolivar Palán

COBIT (Governance, Control and Audit for Information and Related Technology)

  • Tiene las mejores prácticas aceptadas internacionalmente
  • Está orientado a la administración
  • Está soportado por herramientas y entrenamiento
  • Está disponible libremente como un estándar abierto
  • Permite compartir y extraer el comportamiento de voluntarios expertos
  • Evoluciona continuamente
  • Es mantenido por una organización no lucrativa y de gran reputación
  • Mapea el 100% con COSO.
  • Mapea fuertemente con todos los principales estándares relacionados
  • Es una referencia no una medicina “lista para tomar”

Las empresas necesitan analizar los requerimientos de control y adaptar COBIT basado en los siguientes aspectos de la empresa:

  • Conductores de valor
  • Perfil de riesgo
  • Infraestructura de TI, organización y portafolio de proyectos

Ventajas

  • Algunas de las ventajas de adoptar COBIT son:
  • COBIT está alineado con otros estándares y mejores prácticas y podrían ser usados junto con ellos
  • El marco de trabajo de COBIT y las mejores prácticas que lo apoyan brinda un ambiente de TI flexible y bien administrado en una organización
  • COBIT brinda un ambiente de control que responde a las necesidades de negocio y le sirve a las funciones gerenciales y de auditoría en términos de sus responsabilidades de control
  • COBIT brinda herramientas para ayudar a administrar las actividades de TI

Características de un marco de control

COBIT se enfoca en la mejora del gobierno de las TI en las organizaciones
COBIT brinda un marco de trabajo para administrar y controlar las actividades de TI y sustenta cinco requerimientos para un marco de control

Enfoque en el negocio

  • COBIT consigue un enfoque fuerte en el negocio al alinear TI con los objetivos del negocio
  • La medición del desempeño de TI debe enfocarse sobre la contribución de TI para ser posible y expandir la estrategia de negocios
  • COBIT, sustentado en métricas apropiadas enfocadas en el negocio, puede asegurar que el punto focal primario es la entrega de valor y no la excelencia técnica como un fin en sí mismo

Orientación a procesos

  • Cuando las organizaciones implementan COBIT su enfoque es más orientado a procesos
  • Los incidentes y problemas ya no desvían la atención de los procesos
  • Las excepciones pueden ser claramente definidas como parte de un procesos estándar
  • Con la propiedad de los procesos definida, asignada y aceptada, la organización está mejor capacitada para mantener el control durante los períodos de cambios rápidos o crisis organizacional

Aceptación General

  • COBIT es un estándar probado y globalmente aceptado para incrementar la contribución de TI al éxito organizacional
  • El marco de trabajo continúa mejorando y desarrollándose para mantenerse al ritmo de las mejores prácticas
  • Los profesionales de TI de todo el mundo contribuyen con sus ideas y tiempo en reuniones periódicas de revisión.

Requerimientos Regulatorios

  • Los escándalos corporativos recientes han incrementado las presiones regulatorias sobre la junta directiva para informar su estado de asegurar que los controles internos son apropiados. Esto abarca también los controles de TI
  • Las organizaciones constantemente necesitan mejorar el desempeño de TI y demostrar que los controles sobre las actividades de TI son adecuados
  • Muchos gerentes de TI, asesores y auditores están cambiando a COBIT como la respuesta de facto a los requerimientos regulatorios sobre TI

Lenguaje común

  • Un marco de trabajo ayuda a tener a todos “sintonizados en el mismo canal” al definir términos críticos y brindar un glosario
  • La coordinación dentro y a través de los equipos de proyectos y las organizaciones pueden jugar un rol clave en el éxito de cualquier proyecto.
  • Un lenguaje común construye seguridad y confianza

El marco de referencia COBIT
Las principales características de COBIT son:

  • Enfocado de negocio
  • Orientado a los procesos
  • Basado en los controles
  • Guiado por la medición

El acrónimo COBIT proviene de Control Objetives for Information an related Technology (Objetivos de Control para la Información y Tecnología Relacionada)

Los  componentes principales del marco de trabajo de COBIT son:

•Recursos de TI

•Procesos de TI

•Requerimientos del negocio.

Los tres componentes del marco de trabajo de COBIT se combinan para formar un método holístico de análisis y definición de los requerimientos de TI en una organización.

El cubo COBIT: Procesos del TI

COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios:
•Planear y organizar
•Adquirir e implementar
•Entregar y dar soporte
•Monitorear y evaluar
Procesos son series de actividades con cortes de control naturales. Existen 34 procesos a través de los cuatro dominios. Estos procesos especifican lo que el negocio necesita para lograr sus objetivos. La entrega de información es controlada a través de 34 objetivos de control de alto nivel, uno para cada proceso.
Actividades son acciones que se requieren para obtener resultados medibles. Además, las actividades tienen ciclos de vida e incluyen varias tareas discretas

Dominios

COBIT define las actividades de TI en un modelo genérico de procesos dentro de cuatro dominios:

•Planificar y organizar

•Adquirir e implementar

•Entregar y dar soporte

•Monitorear y evaluar

INTRODUCCIÓN AL DESARROLLO DE APLICACIONES EN OPEN-ERP

26 Ene

TEMA: INTRODUCCIÓN AL DESARROLLO DE APLICACIONES EN OPEN-ERP

HORA: 8h00-9h00

FECHA: 26 de Enero del 2011

LUGAR: Teatro Universitario Bolivar – Loja – Ecuador

PONENTE: Ing. Miltón Labanda

OPEN ERP


OpenERP es un software completo de gestión empresarial, libre y OpenSource. Maneja:
● Contabilidad
● CRM
● Gestión de Ventas
● Fabricación
● Gestión de proyectos
● Recursos Humanos
● Inventarios, etc.
● Es completamente modular, permite agregar rápidamente nuevas características y construir soluciones poderosas y altamente integradas.
● OpenERP está presente en más de 45 países, existen más de 350 módulos, y diariamente se realizan al rededor de 700 instalaciones.
● Está construido sobre el RAD OpenObject
● Licencia: GPL V3

El Framework OpenObject

Plataforma RAD de OpenERP, basado en el patrón MVC: PostgreSQL-Python-XML

Características principales
● Modulos
● ORM
● Workflows
● Migraciones y test automatizados
● Diseñador de Reportes
● Estadísticas
● Web Services
Flexibilidad
● Gestor de módulos visual, integrado
● Cientos de módulos disponibles
● Web-services XML – RPC
● Integración con Asterisk, OSCommerce, Magento, GoogleCalendar
● Reportes integrados con MSOffice y OpenOfice

Construcción de módulos

Estructura de un Módulo de OpenERP
|–moduloopenerp
|——|——– demo/ Datos para pruebas y demostraciones
|——– i18n/ Archivos de localización (traducción)
|——– report/ Definiciones de reportes
|——– security/ Declaración de grupos y derechos de acceso
|——– view/ Vistas: formularios, listas, arboles, menus, acciones
|——– wizard/ Definiciones de Asistentes
|——– workflow/ Definiciones de flujos de trabajo
|——– __init__.py Inicialización de paquete de python (obligatorio)
|——– __terp__.py Declaración de módulo (obligatorio)
|——– modulo.py Clases python (objetos del modulo)

.
● modulo.py: Objetos de Negocio declarados en Python y extendidos de osv.osv
● view/: archivos xml con declaración de vistas y flujos de trabajo(workflow)
● data/: Archivos xml, cvs con datos de configuración de módulos y también datos de prueba
● wizard/: Ventanas de diálogo para mayo ayuda de los usuarios.
● report/: Plantillas RML, MAKO u OpenOffice que generan reportes en HTML, ODT o PDF.

Herramientas de la Comunidad

Sitio Web: http://www.openerp.com
Foros: http://www.openobject.com/forum
Videos: http://www.openerp.com/tv

Enlace: ww.openerpargentina.com.ar