Clase XLVIII - 13/11/2015 - Guía de estudio

de 12

Country / Tiempo Libre y Deportes | 3:32 | | 1 comentarios


Clase XLVII - 11/11/2015 - Talleres extra curriculares

de 10

Country / Tiempo Libre y Deportes | 13:43 | | 1 comentarios



       Ejercicio:

1.Analizar  los siguientes avisos on line de promoción web.
3.Enumerar las partes que componen cada uno de los diseños.
4.Marcar las llamadas a la acción incluidas en cada esquema.

Clase XLVI - 06/11/2015 - Talleres extra curriculares

de 6

Country / Tiempo Libre y Deportes | 3:13 | | 0 comentarios

Respuestas

1.    Una infracción de seguridad tiene uno de los siguientes cuatro objetivos:
·      Acceso a bases de datos y robo o corrupción de datos personales o confidenciales
·      Modificar el código de un sitio web con el fin de cambiar lo que los usuarios ven
·     Interceptar datos personales y confidenciales
·     Ataques de denegación de servicio (DoS / Denial of Service) que deshabilitan la disponibilidad de los servicios


2.    El filtrado es una de las piedras angulares de la seguridad en aplicaciones web. Es el proceso por el cual se prueba la validez de los datos. Si nos aseguramos que los datos son filtrados apropiadamente al entrar, podemos eliminar el riesgo de que datos contaminados y que reciben confianza indebida sean usados para provocar funcionamientos no deseados en la aplicación.
El proceso de filtrado debe estar conformado por los siguientes pasos:
·         Identificar la entrada.
·         Filtrado de la entrada.
·         Distinguir entre datos que ya han pasado por el filtro y los que no.


3.  Muchos sistemas están configurados para bloquear transitoriamente la cuenta de un usuario después de haber intentado conectarse sin éxito una cierta cantidad de veces. En consecuencia, es difícil para un hacker infiltrarse en un sistema de esta manera.
Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas de usuario para accionar una  denegación de servicio.
En la mayoría de los sistemas, las contraseñas se guardan cifradas en un archivo o una base de datos.
Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de craquear una contraseña de usuario en particular o las contraseñas de todas las cuentas de usuario. 



4.   El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.
En general, los métodos de la ingeniería social están organizados de la siguiente manera:
·   Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.
·  Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;
·   Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía.

La ingeniería social puede llevarse a cabo a través de una serie de medios:
·         Por teléfono,
·         Por correo electrónico,
·         Por correo tradicional,
·         Por mensajería instantánea,
·         etc.

La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que:
·         averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);
·         si es posible, verifique la información proporcionada;
·         pregúntese qué importancia tiene la información requerida.
En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.
La Ingeniería social consiste en aprovecharse de la ingenuidad de la gente para obtener información. Así, un hacker puede acceder a la contraseña de una persona al hacerse pasar por un administrador de red o, a la inversa, puede contactar al soporte técnico y pedir reinicializar la contraseña usando como pretexto una situación de emergencia.


5.    Elección de una contraseña
Mientras más larga sea la contraseña, más difícil será craquearla.  Asimismo, una contraseña compuesta sólo por números será mucho más fácil de craquear que una que contenga letras:
Una contraseña de 4 números corresponde a 10.000 posibilidades (104). Aunque esta cifra parezca elevada, un ordenador equipado con una configuración modesta puede craquearla en cuestión de minutos.
Es conveniente usar una contraseña de 4 letras, para la que existen 456.972 posibilidades (264). Con esta misma lógica, una contraseña que combine números y letras o que use mayúsculas y caracteres especiales, será aun más difícil de craquear.
Evite las siguientes contraseñas:
·         su nombre de registro
·         su apellido
·         su nombre o el de una persona querida (pareja, hijo, etcétera)
·         una palabra del diccionario
·         una palabra escrita al revés (las herramientas para craquear contraseñas tienen en cuenta esta posibilidad)
·         una palabra seguida de un número, el año actual o el año de nacimiento (por ejemplo "contraseña1999").

Políticas de contraseñas

El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la seguridad general de toda la organización. Por lo tanto, todas las empresas que deseen garantizar un nivel de seguridad óptimo deben establecer una verdadera política de protección de contraseña. Esto implica, particularmente, que los empleados elijan las contraseñas a partir de ciertos requisitos, por ejemplo:
·         Que la contraseña tenga una longitud mínima
·         Que tenga caracteres especiales
·         Que combinen mayúsculas con minúsculas

Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del tiempo. También es una excelente forma de limitar la duración de la contraseña craqueada.
Por último, es aconsejable que los administradores usen software que craquea contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del marco de la política de protección y con discreción para tener el apoyo de la gerencia y los usuarios.
No es bueno tener sólo una contraseña, como tampoco es bueno usar en su tarjeta bancaria el mismo código que usa para su teléfono móvil y para la entrada a su edificio.
En consecuencia, es aconsejable tener varias contraseñas para cada categoría de uso, dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el código de su tarjeta bancaria sólo debe usarse para ese propósito. Sin embargo, puede usar el mismo código PIN que usa en su teléfono para el candado de una maleta.


De la misma manera, si se subscribe a un servicio en línea que solicita una dirección de correo electrónico, se recomienda que no elija la misma contraseña que usa para esta dirección de mensajería ya que un administrador inescrupuloso podría acceder fácilmente a su vida privada.

Clase XLVI - 06/11/2015 - Talleres extra curriculares

de 6

Country / Tiempo Libre y Deportes | 3:07 | | 0 comentarios



Ejercicio:
1.     Describa qué objetivos puede tener una infracción de seguridad en el uso del producto de su proyecto.
2.     ¿Cómo colabora el filtrado de datos en el control de la seguridad su sitio?
3.     Utilizar el método de rechazo de contraseña (hasta 3 oportunidades) evita que un usuario no identificado pueda entrar al sistema. Los procesos bancarios on line utilizan esta metodología para impedir que un cliente no identificado ingrese al sistema de transacciones on line. ¿Cómo puede un hacker utilizar este recurso para su provecho?
4.     Desarrolle el tema ingeniería social y describa cómo afectaría al usuario de su sistema.

5.     ¿Qué sugerencias le propondría al usuario de su sistema para definir una contraseña al momento de registro?

Clase XLV - 04/11/2015 - Talleres extra curriculares

de 3

Country / Tiempo Libre y Deportes | 19:50 | | 0 comentarios




Ejercicio: Diseñar el pie de página de  su sitio web.

 Incluir enlaces hacia las notas, condiciones de uso, políticas de seguridad y/o avisos legales.
◦ Incorporar enlaces hacia los organismos gubernamentales  u órganos de control que avalan la licitud del sitio web y del uso de la información rcabada a través de él..
◦ Citar los datos del desarrollador o la empresa que realizó el diseño.
◦ Referir los datos de contacto de la organización / empresa propietaria del sitio o de su responsable directo. 
◦ Añadir un menú con los niveles más importantes del sitio.
◦ Anexar un formulario de contacto rápido.
◦ Proponer links a otras webs.

◦ Incluir los isologotipos de la W3C para  mostrar su apoyo a las normas propuestas por el consorcio web. 

Suscribirse a: Entradas (Atom)