miércoles, 28 de octubre de 2015

LOPD

EJERCICIO 1: Explica por qué crees que surge la normativa de protección de datos en España. ¿Crees que los datos personales son empleados en alguna ocasión con un fin deshonesto? ¿Crees que los medios de comunicación protegen la intimidad de las personas?

 Bajo mi punto de vista la LOPD surge por la necesidad  salvaguardar los datos personales de las personas, datos privados como pueden ser por ejemplo los bancarios hay que asegurarse de que no va a poder tener acceso a ellos cualquier persona. También debido al avance de las tecnologías cada vez es mas sencillo tener gran cantidad de información alguna de índole altamente confidencial, por lo que era necesario que se estableciera un marco normativo que protegiese el uso de esos datos y las condiciones de su uso. 
A pesar de la existencia de la ley, yo creo que hay muchos aspectos que  normalmente no se cumplen  a la perfección. Por ejemplo, a veces recibimos llamadas comerciales de empresas a las que nunca les hemos dado nuestros datos.
En cuanto a los medios de comunicación, creo que también que no siempre protegen la intimidad de las personas como debieran, muchas veces simplemente por emitir informaciones sin contrastar.



EJERCICIO 2:  Busca como se realiza la notificación de los ficheros por Internet o por soporte mgnético, y explica el proceso. ¿Cuál es el medio recomendado por la AGPD para la notificación de ficheros?
Para realizar la presentación de notificaciones a través de Internet o por soporte magnético, es necesario tener instalado el programa de generación de notificaciones.  Una vez instalado, para entrar en él pulse en Inicio / Programas / R.G.P.D. Privado.

Despues pulse en Notificaciones / Nueva Notificación / Creación.
Hay algunos datos que hay que cubrir obligatoriamente:

  • Responsable: Indica la persona física o jurídica, que decida sobre su finalidad.
  • Sistema de Tratamiento o de información. Puede monopuesto o red.
  • Seguridad: En este apartado se indicará el nivel de seguridad exigible.
  • Estructura: Indica los datos incluidos en el fichero. Normalmente se introducen los siguientes datos: D.N.I./N.I.F., Nombre y apellidos, Dirección y Teléfono.
  • Finalidad: Habrá que indicar la finalidad de los ficheros.
  •  Procedencia:

Una vez rellenado todo el informe guardaremos la información para una posteriormente poder consultar o modificar cualquier dato. Haremos clic sobre la opción de Notificaciones / Guardar como y guardaremos la notificación con el nombre que deseemos. 

 El medio recomendado por la AGPD para la notificación de los ficheros es el uso del formulario NOTA.  Se encuentra disponible en la Sede Electrónica de la Agencia Española de Protección de Datos (sedeagpd.gob.es). Es un nuevo Servicio Electrónico para la notificación de la inscripción de ficheros.

 Formatos de Presentación disponibles: 
  • Telemático, a través de Internet, incorporando la posibilidad de utilizar firma electrónica.
  • En formato papel, cumplimentada mediante el formulario NOTA, incluyendo un código óptico de lectura para agilizar su inscripción.




EJERCICIO 3: En su artículo 19, la LOPD indica con respecto al control de acceso físico: exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los locales dónde se encuentren ubicados los sistemas de información con datos de carácter personal.
¿Qué tipos de medidas deberíamos de tomar para cumplir la normativa? Realiza algunas recomendaciones técnicas.
  • Deberán instalarse en salas o armarios protegidos bajo llave y con sistemas de seguridad.
  • Se podría poner videovigilancia, acceso a través de control por huellas dactilares...
  • Todo fichero automatizado deberá contar con un registro de incidencias en el que poder registrar cualquier anomalía que afecte o pueda afectar a la seguridad e los datos.
  • Controlar el acceso de los usuarios a los datos de carácter personal, permitiéndoles acceder solamente aquellos que pudieran ser necesarios para la realización de sus funciones.
  • Exclusivamente el personal autorizado podrá realizar modificaciones en los datos.

Publicado por en No hay comentarios:

miércoles, 7 de octubre de 2015

CONFIGURACIÓN DE SEGURIDAD Y PRIVACIDAD DE LOS NAVEGADORES


El navegador web es recomendable tenerlo con una correcta configuración , controlas las cookies y el bloqueo de ventanas emergentes, asi como no recordar contraseñas en caso de compartir con otros usuarios el equipo.


  • ¿Qué opciones de seguridad o privacidad permiten configurar los navegadores web?
  • ¿Se aceptan cookies?
  • ¿Recuerdan contraseñas?
  • ¿Cuáles?
  • ¿Bloquean ventanas emergentes?
  • ¿Disponen de restricciones de acceso a determinados sitios web?

Vamos a tomar como ejemplo el navegador de Internet explorer.
  • Si no está activa la barra de menú la activamos con el botón derecho.
  • Para acceder a la configuración vamos a herramientas >> opciones de internet. Nos sale la siguiente ventana.



    • Si vamos a la pestaña de seguridad se puede elegir la zona de seguridad que se quiere personalizar y el nivel de seguridad que deseamos para esa zona. 

    • Si accedemos al nivel personalizado nos permite hacer una configuración más detallada.

    • Si  accedemos a la pestaña privacidad se nos muestra lo siguiente.

    • Aquí podemos bloquear los elementos emergentes. El bloqueador de elementos emergentes limita o bloquea los elementos emergentes en los sitios que visite. Puede elegir el nivel de bloqueo que prefiere, activar o desactivar las notificaciones cuando se bloquean los elementos emergentes o crear una lista de sitios en la que no quiere que se bloqueen los elementos emergentes. La configuración del bloqueador de elementos emergentes solo se aplica a Internet Explorer para el escritorio.

    • Si accedemos a sitios se nos abre la siguiente ventana que nos permite bloquear o permitir páginas concretas.

    • Por defecto las cookies vienen activadas pero esta configuración se puede  cambiar desde la pestaña de privacidad  a través de la opción avanzados.  Ahí escogemos la opción que más nos interese.



    • En cuanto a las contraseñas de los sitios web. Cuando se visita un sitio web que requiere que se inicie sesión en la cuenta, como un correo electrónico, banca o sitio de compras, Internet Explorer preguntará si se desea que recuerde el  nombre de usuario y contraseña. La próxima vez que  se visite el sitio al comenzar a escribir el nombre de usuario, Internet Explorer terminará de llenar la información de la cuenta. El guardado de la contraseña está activado de manera predeterminada en Internet Explorer, pero del siguiente modo se  puede activarlo o desactivarlo:


    1. En la pantalla de inicio, pulsar  Internet Explorer para abrir Internet Explorer.
    2. Pulsa Configuración.
    3. Pulsa o haz clic en Opciones y en Contraseñasactiva Ofrecer guardar contraseñas cuando inicio sesión en los sitios.
    4. Para desactivar el guardado de contraseñas, desactiva Ofrecer guardar contraseñas cuando inicio sesión en los sitios.
    Publicado por en No hay comentarios:

    WEB HISPASEC. VULNERABILIDADES Y AMENAZAS


    Múltiples vulnerabilidades en productos Kaspersky


    A través del enlace anterior accedemos a la noticia que  trata de las vulnerabilidades de los productos Kaspersky debido a desbordamientos de bufer y del tratamiento de archivos comprimidos lo que permite ejecutar codigo arbitrario con permisos del sistema. Kansperky ya trabaja en su solución  y ha resuelto las vulnerabilidades al tratar archivos Android DEX y documentos Microsoft CHM al descomprimir formatos UPX y Yoda Protector.
    Debido a que los productos antivirus interceptan el tráfico de red y el sistema de archivos, bastaba con visitar un sitio web o recibir un archivo de correo para explotar la vulnerabilidad. Sin llegar a ser necesario abrir o leer el correo malicioso.



    Archivos robados en los servicios en la nube


    http://unaaldia.hispasec.com/2015/08/nubes-tormentosas-archivos-robados.html

    Desde el enlace anterior accedemos a una nopticia que trata de las vulmnerabilidades de los servicios en la nube. un atacante podría acceder aa Dropbox, Google Drive o One Drive sin necesidad de introducir siquiera la contraseña del usuario. 
    Estos ataques se han bautizado como "man in the cloud" (hombre en la nube). Permiten al atacante obtener acceso a los archivos e infectarlos son malware sin conocimientos del usuario legítimo. Incluso el atacante podrá actuar como el dueño de la cuenta, si modifica la contraseña impedirá al usuario legítimo acceder a su cuenta, quedando bajo el control total del atacante.
    Este ataque se diferencia de los ya conocidos de hombre en el medio, en los que se interfiere la comunicación entre dos servidores o usuarios, ya que en esta ocasión se aprovecha una vulnerabilidad en el diseño del sistema de sincronización de archivos ofrecido por diversos servicios de este tipo, como Dropbox, Box, OneDrive o Google Drive. Sin usar ningún exploit, simplemente con una sencilla reconfiguración de los servicios se puede conseguir una herramienta de ataque devastadora y difícilmente detectable.
    El ataque reside en conseguir el token de contraseña, un pequeño archivo que para mayor comodidad se localiza en el dispositivo del usuario, para evitar tener que introducir la contraseña cada vez que el servicio quiera sincronizarse. Una vez que se consigue el token, para lo que puede emplearse cualquier otro tipo de ataque (p.ej. phishing o drive-by), se puede emplear para engañar a un nuevo equipo y convertir al atacante en el dueño de la cuenta. A partir de aquí ya está todo hecho, el atacante podrá acceder y robar los archivos del usuario, añadir malware en la nube del usuario, emplear la cuenta de ese usuario para otros ataques…

    El token de autenticación se almacena en el sistema del usuario en el registro o en un archivo. Después de la autenticación, no se necesitan más credenciales explícitas (o almacenadas) para acceder a la cuenta del usuario. Además este token de sincronización es independiente de la máquina, puede utilizarse el mismo en máquinas diferentes.



    Publicado por en No hay comentarios:

    jueves, 1 de octubre de 2015

    RESUMEN AMENAZAS


    SEGÚN QUIEN LAS PROVOQUE:



    • AMENAZAS PROVOCADAS POR PERSONAS: Pueden ser intencionadas o no. Distinguimos varios grupos:
      • Desde dentro de la organización: Pueden ser ataques intencionados o accidentales, bien por error o desconocimiento de las normas básicas de seguridad. 
      • Hacker: Experto en aspectos técnicos. Hay varios subtipos:
        •  White hat: Sus acciones son de caracter contructivo o informativo. 
        • Black hat: Realiza acciones intrusivas.
        • Grey hat: Transpasa los limites entre las dos categorias anteriores.
        • Newbie: hacker novato.
        • Wannaber: Les interesa el tema del hacker pero no son reconocidos.
        • Lammer oScript-Kiddies: Tienen pocos conocimientos de informatica.
        • Luser: Termino que usan los hackers para referirse a usuarios comunes.
      • Pirata informatico o ciberdelincuente: Realizan actos delictivos perseguidos legalmente.

    • AMENAZAS FÍSICAS:  Suponen el primer nivel de seguridad a proteger. Afectan a las instalaciones y/o el hardware contenido en ellas.  Por ejemplos: robos, subidas y bajadas bruscas de suministro eléctrico, condiciones atmosféricas adversas, catástrofes naturales o artificiales, interferencias electromagnéticas  que afecten al normal comportamiento de circuitos y comunicaciones....
    • AMENAZA LÓGICA:  Software que puede dañar nuestro sistema. puede ser creado específicamente para ello (malware) o por error (bugs o agujeros).
      • Herramientas de seguridad: Usar el software de solucionar fallos en sistemas para atacarlos.
      • Rogueware: Falsos antivirus.
      • Puertas traseras o backdoors: "Atajos" de acceso o administración con poco nivel de seguridad.
      • Virus: Secuencia de un fichero ejecutable (huésped) que se ejecuta junto con el archivo. 
      • Gusano: Programa que se propaga a si mismo .
      • Troyano: Aplicación que parece realizar las tareas correctas pero que realmente lleva órdenes para realizar funciones ocultas sin el conocimiento del usuario.
      • Programa conejo o bacterias: Se dedican a reproducurse hasta acabar con los recursos del sistema.
      • Canales cubiertos: Un proceso transmite información a otros  no autorizados violando la política de seguridad del sistema.

    SEGÚN LA TÉCNICA EMPLEADA PARA EL ATAQUE:

    • Malware: Programas malintencionados(virus, troyano..) que intentan controlar el sistema.
    • Ingeniería social: obtener información confidencial a través de la manipulación y la confianza de los usuarios legítimos.
    • Scam: Estafa electrónica por medio de engaños.
    • Spam: Correo basura habitualmente no solicitado. Es una técnica de ingeniería social  empleada para la difusión de scam, phishing, malware...
    • Sniffing: Monitorizar el trafico de una red para conseguir información confidencial.
    • Spoofing: Suplantación de la identidad.
    • Pharming: Redirigir un domain name a otra maquina distinta falsificada.
    • Phishing: Suplantación de la identidad para conseguir acceso ilícito a cuentas bancarias o comercio electrónico.
    • Password cracking: Descifrar contraseñas de sistemas.  Puede ser mediante snnifing, shoulder surfing (observando la introducción de las credenciales), fuerza bruta...
    • Botnet: Conjunto de robots informáticos que se ejecutan de manera autónoma y automática en host infectados  para controlarlos de forma remosta  con el fin de rastrear información confidencial o cometer delitos.
    • Denegación del servicio (DoS): Causar que un servicio sea inaccesible para usuarios legítimos.



    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)