CIBSI'09 introdujo una sesión de charlas de cinco minutos donde los participantes pueden exponer sus recientes trabajos como así también sus trabajos en desarrollo. La sesión se realizará antes de la cena de gala y presenta una excelente oportunidad para poder recibir comentarios sobre la presentación durante el evento.
A continuación se listan los trabajos presentados en la sesión, incluyendo Autores, Títulos y las diapositivas de la presentación.
--------------------------------------------------------------------------------
Cross-Layer security Antonio Urbano (España).
Abstract: Con esta ponencia se decribirá brevemente la arquitectura de seguridad actual en las diferentes capas. Se analizará el rendimiento de dicha arquitectura al aplicarla en redes inalámbricas y se propondran mejoras basadas en una arquitectura cross-layer.
Implementación de Honeynets en Organizaciones de la Región. Hugo H. Fernández (Universidad Nacional del Comahue, Argentina). Abstract: El trabajo consiste en efectuar un relevamiento de la infraestructura informática de organizaciones tanto del ámbito público como privado de la región. A partir de ello diseñar una Honeynet virtual implementando una arquitectura "tipo" que refleje los servicios que tengan en común. Finalmente, someter dicha arquitectura a ataques y efectuar un análisis de lo ocurrido para proponer distintos mecanismos para mitigar o reducir el impacto de los eventos de seguridad.
Implementación de Honeynets en Organizaciones de la Región. Carlos Luna (Universidad de la República, UDELAR, Uruguay).
Abstract: Los dispositivos portátiles, tales como teléfonos celulares y asistentes de datos personales, permiten almacenar información confidencial y establecer comunicaciones con entidades externas. Generalmente, los usuarios pueden descargar e instalar nuevas aplicaciones de fuentes no confiables, que conviven junto con las instaladas por el fabricante del dispositivo o proveedor de servicios de comunicación. En este escenario, es importante garantizar la confidencialidad e integridad de los datos almacenados, así como la disponibilidad del servicio, aún cuando una aplicación maliciosa trate de hacer uso indebido de las funciones del dispositivo. La plataforma Java Micro Edition (JME), una tecnología para desarrollo de software Java, provee el estándar Mobile Information Device Profile (MIDP) que facilita el desarrollo de aplicaciones y especifica un modelo de seguridad para el acceso controlado a recursos sensibles del dispositivo. El modelo está construido sobre la noción de dominio de protección, que puede ser concebido como un conjunto de permisos. Un modelo alternativo que extiende los permisos presentes en MIDP ha sido propuesto por Besson, Dufay y Jensen. Este modelo introduce una noción de multiplicidad asociada a los permisos y flexibiliza la forma en la que el usuario puede conceder acceso a los recursos del dispositivo, a las aplicaciones que son utilizadas en el mismo.
En esta charla se comentarán algunos trabajos realizados, en el Instituto de Computación de la UDELAR (Uruguay), sobre la especificación y el análisis formal de componentes de modelos de seguridad para dispositivos móviles interactivos. En particular, se describirán experiencias relacionadas con las tres generaciones de MIDP y se presentará un framework que permite definir y comprar formalmente políticas de control de acceso, que pueden ser aplicadas por variantes de los modelos de seguridad considerados.
Implementación de Honeynets en Organizaciones de la Región. Carlos Luna (Universidad de la República, UDELAR, Uruguay).
Abstract: Los dispositivos portátiles, tales como teléfonos celulares y asistentes de datos personales, permiten almacenar información confidencial y establecer comunicaciones con entidades externas. Generalmente, los usuarios pueden descargar e instalar nuevas aplicaciones de fuentes no confiables, que conviven junto con las instaladas por el fabricante del dispositivo o proveedor de servicios de comunicación. En este escenario, es importante garantizar la confidencialidad e integridad de los datos almacenados, así como la disponibilidad del servicio, aún cuando una aplicación maliciosa trate de hacer uso indebido de las funciones del dispositivo. La plataforma Java Micro Edition (JME), una tecnología para desarrollo de software Java, provee el estándar Mobile Information Device Profile (MIDP) que facilita el desarrollo de aplicaciones y especifica un modelo de seguridad para el acceso controlado a recursos sensibles del dispositivo. El modelo está construido sobre la noción de dominio de protección, que puede ser concebido como un conjunto de permisos. Un modelo alternativo que extiende los permisos presentes en MIDP ha sido propuesto por Besson, Dufay y Jensen. Este modelo introduce una noción de multiplicidad asociada a los permisos y flexibiliza la forma en la que el usuario puede conceder acceso a los recursos del dispositivo, a las aplicaciones que son utilizadas en el mismo.
En esta charla se comentarán algunos trabajos realizados, en el Instituto de Computación de la UDELAR (Uruguay), sobre la especificación y el análisis formal de componentes de modelos de seguridad para dispositivos móviles interactivos. En particular, se describirán experiencias relacionadas con las tres generaciones de MIDP y se presentará un framework que permite definir y comprar formalmente políticas de control de acceso, que pueden ser aplicadas por variantes de los modelos de seguridad considerados.
De la seguridad como un atributo de calidad del software, al proceso de desarrollo de software seguro. Esp. Marta Castellaro - MSc. Susana Romaniz (UTN, Facultad Regional Santa Fe, Argentina).
Abstract: En la ponencia que hemos presentado en este Congreso, analizamos la aplicación del Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas; es uno de los productos de un grupo de trabajo interdisciplinario, que se propuso “analizar la seguridad como un atributo organizacional transversal en los sistemas de información”.
Nuestro marco de trabajo asume que la seguridad de un sistema posee su sustento último en las políticas de seguridad de toda la organización, y está presente en todo el ciclo de vida del software. Asímismo, reconoce que la “producción de software seguro” es hoy una disciplina emergente, que presenta conceptos, enfoques, metodologías y tecnologías específicas. Este grupo viene trabajado sobre el tratamiento de la seguridad en el análisis de requerimientos, el modelado y diseño, la implementación, configuración y operación de software seguro. Tiene como meta generar pautas que ayuden a las organizaciones a incluir a la seguridad en las distintas etapas de los proyectos de sistemas de información.
Actualmente ha definido tres ejes a profundizar: los patrones de seguridad, el código seguro y los modelos de madurez de la gestión de software seguro. Esto se basa en la siguiente visión:
. Los patrones de seguridad, cuyo concepto difiere de los tradicionales patrones de diseño, proveen tanto estructuras como comportamientos, es decir, proponen una solución a algo concreto que se sugiera hacer, o un proceso a seguir en determinadas circunstancias. Están surgiendo tanto estándares de presentación como sistemas (o lenguajes) de patrones, y los catálogos existentes se están extendiendo y categorizando, cubriendo casi en su totalidad las fases del ciclo de vida del proceso de desarrollo de software.
. La inspección estática de código creado permite evitar una cantidad importante de errores y potenciales vulnerabilidades, con un esfuerzo e inversión moderada. Por otra parte las metodologías de codificación segura se encuentran en plena evolución.
. El aseguramiento de la calidad de software también ha alcanzado al desarrollo de software seguro, y las buenas prácticas se han ido consolidando, convirtiéndose en frameworks con dominios y prácticas sistematizadas.
K-profiler: recolección de un conjunto de datos públicos para keystroke dynamics. Luciano Bello (Argentina).
Abstract: El experimento K-profiler tiene por objetivo recolectar información de múltiples agentes para poder analizar su patrón de tipeo. Esta información es conocida como keystroke dynamics y trata de caracterizar a las personas por el pequeño tiempo que transcurre entre tecla y tecla al escribir. Es una característica biométrica que requiere nuevos algoritmos para poder distinguir personas. Para el estudio de estos algoritmos hay algunos conjuntos de datos muy populares que se suelen utilizar como compararlos. Pero estos conjuntos de datos fueron recolectados hace varios años y con metodologías no siempre claras y útiles. Por esta razón nos se embarcamos en la tarea de generar un nuevo conjunto de datos.
Automatización de Procesos en Análisis Forense Informático. Martin Barrere Cambrún (Grupo de Seguridad Informática, Instituto de Computación Facultad de Ingeniería, Universidad de la República, Montevideo, Uruguay). Abstract: La recolección de evidencia digital es una tarea delicada, que exige un esfuerzo y una experiencia considerable por parte del analista que realiza la tarea. Una buena disciplina en la ejecución de las tareas, desde el punto de vista técnico,implica mayores oportunidades para que la evidencia sea admisible en un proceso judicial. Contar con herramientas que automaticen el trabajo conlleva a una menor probabilidad de error durante el proceso.
El grupo de seguridad informática de la Facultad de Ingeniería, está desarrollando trabajos de investigación en el área de automatización de procesos. El presente trabajo, actualmente en curso, propone una extensión al lenguaje OVAL (Open Vulnerability and Assessment Language) como mecanismo de especificación de procedimientos de recolección de evidencia volátil y presenta el diseño de una herramienta extensible de recolección de evidencia (XOvaldi), basada en especificaciones OVAL extendidas (XOval).
Un compilador que preserva tipos de seguridad escrito en Haskell. Alberto Pardo (InCO, Uruguay).
Abstract: Mostramos los aspectos principales de la implementación, en el lenguaje funcional Haskell, de un compilador que preserva la propiedad de no interferencia entre un lenguaje imperativo sencillo y un código assembler estructurado con primitivas de loop y branch. Lo relevante de la implementación es el uso de características novedosas de Haskell, como lo son los GADTs (Generalised Algebraic Data Types) y las type families. El uso de GADTs nos permite modelar, tanto para el lenguaje fuente como para el lenguaje objeto, el correspondiente sistema de tipos para no interferencia como parte de la descripción de su sintaxis abstracta. Esto hace posible, por un lado, usar el type checker de Haskell para verificar que los programas de dichos lenguajes satisfacen las restricciones de seguridad, y por otro, verificar que el compilador es correcto (en el sentido de preservar la propiedad de seguridad) por construcción.
SINAPSIS: Sistema de Información Nacional Público de Salud para la Inclusión Social. Emilio Hernández (Venezuela).
Abstract: En el marco del diseño de un Sistema de Información de Salud de alcance nacional, centrado en la Historia Clínica de los pacientes, se desea implementar una serie de módulos de software en el contexto de una jerarquía de memoria de tres niveles. En el nivel más bajo estarán los centros de salud desde los que se accede al sistema, en el nivel medio estarán los servidores donde se almacenan los datos, de manera regionalizada y en el nivel superior una plataforma grid que contiene un respaldo (backup) de los datos de todos los servidores. Esta estructura por niveles requiere de investigación y de muchas propuestas y soluciones diseñadas ad hoc, relacionadas con Ingeniería de Software, interoperabilidad, seguridad de datos, garantía de anonimato y manejo de grandes volúmenes de datos (especialmente imágenes y videos médicos), entre otros. El proyecto se desarrolla sobre la base de articular las propuestas que se hagan en todos los ámbitos relevantes al desarrollo del sistema.
Politicas de integridad de datos provista mediante una libreria en Haskell. Alejandro Russo (Chalmers, Suecia). Abstract: Las politizas de integridad de datos buscan prevenir la destrucción, accidental maliciosa, de la información. En esta charla nos focalizamos en tres clases de políticas de integridad útiles cuando se diseña programas: control de acceso (donde se gobierna quien accede a los datos), invariantes de datos (que establecen propiedades que ciertos datos deben cumplir para tener sentido), y control de flujo de la información (que controlan que datos corruptos no afecten componentes sensibles). Presentamos un ejemplo donde estas políticas son aplicadas y brevemente proponemos una librería que, cuando utilizada, pueda garantizar estas clases de políticas de integridad de datos.
Abstract: En la ponencia que hemos presentado en este Congreso, analizamos la aplicación del Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas; es uno de los productos de un grupo de trabajo interdisciplinario, que se propuso “analizar la seguridad como un atributo organizacional transversal en los sistemas de información”.
Nuestro marco de trabajo asume que la seguridad de un sistema posee su sustento último en las políticas de seguridad de toda la organización, y está presente en todo el ciclo de vida del software. Asímismo, reconoce que la “producción de software seguro” es hoy una disciplina emergente, que presenta conceptos, enfoques, metodologías y tecnologías específicas. Este grupo viene trabajado sobre el tratamiento de la seguridad en el análisis de requerimientos, el modelado y diseño, la implementación, configuración y operación de software seguro. Tiene como meta generar pautas que ayuden a las organizaciones a incluir a la seguridad en las distintas etapas de los proyectos de sistemas de información.
Actualmente ha definido tres ejes a profundizar: los patrones de seguridad, el código seguro y los modelos de madurez de la gestión de software seguro. Esto se basa en la siguiente visión:
. Los patrones de seguridad, cuyo concepto difiere de los tradicionales patrones de diseño, proveen tanto estructuras como comportamientos, es decir, proponen una solución a algo concreto que se sugiera hacer, o un proceso a seguir en determinadas circunstancias. Están surgiendo tanto estándares de presentación como sistemas (o lenguajes) de patrones, y los catálogos existentes se están extendiendo y categorizando, cubriendo casi en su totalidad las fases del ciclo de vida del proceso de desarrollo de software.
. La inspección estática de código creado permite evitar una cantidad importante de errores y potenciales vulnerabilidades, con un esfuerzo e inversión moderada. Por otra parte las metodologías de codificación segura se encuentran en plena evolución.
. El aseguramiento de la calidad de software también ha alcanzado al desarrollo de software seguro, y las buenas prácticas se han ido consolidando, convirtiéndose en frameworks con dominios y prácticas sistematizadas.
K-profiler: recolección de un conjunto de datos públicos para keystroke dynamics. Luciano Bello (Argentina).
Abstract: El experimento K-profiler tiene por objetivo recolectar información de múltiples agentes para poder analizar su patrón de tipeo. Esta información es conocida como keystroke dynamics y trata de caracterizar a las personas por el pequeño tiempo que transcurre entre tecla y tecla al escribir. Es una característica biométrica que requiere nuevos algoritmos para poder distinguir personas. Para el estudio de estos algoritmos hay algunos conjuntos de datos muy populares que se suelen utilizar como compararlos. Pero estos conjuntos de datos fueron recolectados hace varios años y con metodologías no siempre claras y útiles. Por esta razón nos se embarcamos en la tarea de generar un nuevo conjunto de datos.
Automatización de Procesos en Análisis Forense Informático. Martin Barrere Cambrún (Grupo de Seguridad Informática, Instituto de Computación Facultad de Ingeniería, Universidad de la República, Montevideo, Uruguay). Abstract: La recolección de evidencia digital es una tarea delicada, que exige un esfuerzo y una experiencia considerable por parte del analista que realiza la tarea. Una buena disciplina en la ejecución de las tareas, desde el punto de vista técnico,implica mayores oportunidades para que la evidencia sea admisible en un proceso judicial. Contar con herramientas que automaticen el trabajo conlleva a una menor probabilidad de error durante el proceso.
El grupo de seguridad informática de la Facultad de Ingeniería, está desarrollando trabajos de investigación en el área de automatización de procesos. El presente trabajo, actualmente en curso, propone una extensión al lenguaje OVAL (Open Vulnerability and Assessment Language) como mecanismo de especificación de procedimientos de recolección de evidencia volátil y presenta el diseño de una herramienta extensible de recolección de evidencia (XOvaldi), basada en especificaciones OVAL extendidas (XOval).
Un compilador que preserva tipos de seguridad escrito en Haskell. Alberto Pardo (InCO, Uruguay).
Abstract: Mostramos los aspectos principales de la implementación, en el lenguaje funcional Haskell, de un compilador que preserva la propiedad de no interferencia entre un lenguaje imperativo sencillo y un código assembler estructurado con primitivas de loop y branch. Lo relevante de la implementación es el uso de características novedosas de Haskell, como lo son los GADTs (Generalised Algebraic Data Types) y las type families. El uso de GADTs nos permite modelar, tanto para el lenguaje fuente como para el lenguaje objeto, el correspondiente sistema de tipos para no interferencia como parte de la descripción de su sintaxis abstracta. Esto hace posible, por un lado, usar el type checker de Haskell para verificar que los programas de dichos lenguajes satisfacen las restricciones de seguridad, y por otro, verificar que el compilador es correcto (en el sentido de preservar la propiedad de seguridad) por construcción.
SINAPSIS: Sistema de Información Nacional Público de Salud para la Inclusión Social. Emilio Hernández (Venezuela).
Abstract: En el marco del diseño de un Sistema de Información de Salud de alcance nacional, centrado en la Historia Clínica de los pacientes, se desea implementar una serie de módulos de software en el contexto de una jerarquía de memoria de tres niveles. En el nivel más bajo estarán los centros de salud desde los que se accede al sistema, en el nivel medio estarán los servidores donde se almacenan los datos, de manera regionalizada y en el nivel superior una plataforma grid que contiene un respaldo (backup) de los datos de todos los servidores. Esta estructura por niveles requiere de investigación y de muchas propuestas y soluciones diseñadas ad hoc, relacionadas con Ingeniería de Software, interoperabilidad, seguridad de datos, garantía de anonimato y manejo de grandes volúmenes de datos (especialmente imágenes y videos médicos), entre otros. El proyecto se desarrolla sobre la base de articular las propuestas que se hagan en todos los ámbitos relevantes al desarrollo del sistema.
Politicas de integridad de datos provista mediante una libreria en Haskell. Alejandro Russo (Chalmers, Suecia). Abstract: Las politizas de integridad de datos buscan prevenir la destrucción, accidental maliciosa, de la información. En esta charla nos focalizamos en tres clases de políticas de integridad útiles cuando se diseña programas: control de acceso (donde se gobierna quien accede a los datos), invariantes de datos (que establecen propiedades que ciertos datos deben cumplir para tener sentido), y control de flujo de la información (que controlan que datos corruptos no afecten componentes sensibles). Presentamos un ejemplo donde estas políticas son aplicadas y brevemente proponemos una librería que, cuando utilizada, pueda garantizar estas clases de políticas de integridad de datos.
No hay comentarios:
Publicar un comentario