Taller de aplicaciones para los negocios 2do examen
PROTECCION DE LA PRIVACIDAD EN INTERNET
¿Cuáles con las distintas técnicas para identificar a los visitantes de un web site?
Control de la procedencia a partir de la dirección IP.
Utilización de cookies.
Usuarios registrados mediante un nombre (log in) y una contraseña (password).
Servicios de navegación anónima.
¿Qué es el control de la procedencia a partir de la dirección IP?
Se trata de un procedimiento muy sencillo, ya que en cada conexión a un servidor WEB el equipo cliente da a conocer su dirección IP. De este modo, registrando las direcciones IP de los visitantes es posible hacer un seguimiento de sus conexiones al servidor web.
¿Cuáles son los factores que influyen para determinar que esta técnica no es muy fiable?
Direcciones IP compartidas a través de un servidor proxy
Direcciones IP asignadas de forma dinámica
Utilización de varios proveedores de acceso a Internet
¿Qué son las cookies?
Las cookies son ficheros que se guardan en el disco duro del equipo del visitante a un determinado Website, con la finalidad de poder registrar datos sobre su navegación por las páginas del servidor Web y poder identificarlo en posteriores conexiones.
¿Cómo funciona la técnica de usuarios registrados y contraseñas?
En este caso se solicita al usuario un registro previo para poder acceder a los servicios del Website, cubriendo para ello los distintos campos de un formulario de inscripción. Sin duda, ésta es la mejor opción, ya que permite identificar a los visitantes aunque naveguen utilizando distintas cuentas de acceso o distintos equipos.
¿Cómo funcionan los servicios de navegación anónima?
Estos servicios de navegación anónima emplean un servidor proxy para realizar las peticiones en nombre del usuario, ocultando la dirección IP de éste e interceptando las cookies.
¿Cuáles son los aspectos a contemplar en la política de privacidad de las organizaciones?
Transparencia en el registro de información sobre el usuario. Se debería dar a conocer qué tipo de información se va a incluir en los registros de actividad (“logs”) de los servidores.
Facultad de elección para el usuario del servicio.
Adopción de las medidas necesarias para garantizar la seguridad e integridad de los datos registrados.
Reconocimiento de los derechos de acceso, rectificación y cancelación de los datospersonales registrados por parte del usuario afectado.
Verificación del cumplimiento de la Política de Privacidad de la organización por parte de otras organizaciones.
Suscripción de Códigos Éticos elaborados por la propia industria.
Menciona ejemplos de estándares para garantizar un adecuado nivel de protección de los datos personales en internet
Estándar de Perfiles Abiertos (OPS, Open Profiling Standard)
Plataforma para las Preferencias de Privacidad (P3P, PlatformforPrivacyPreferences
Anexo V virus
1. ¿Cuáles son las cuatro generaciones distinguibles de virus informático?´
• Virus de ordenador personal que infectan a ficheros ejecutables y sectores de arranque.
• Virus de macro, capaces de infectar a documentos que soportan lenguajes de macros.
• Virus que tienen capacidad para propagarse a través de redes como internet, mediante correo electrónico, servidores conectados a la red etc.
• Virus que pueden afectar a otro tipo de dispositivos: teléfonos móviles, agendas electrónicas, electrodomésticos.
2. A que se le conoce como Core Wars
Son programas informáticos que eran capaces de luchar entre sí con el objetivo de acaparar mayor espacio posible en memoria del sistema informático donde se ejecutaba, desarrollaron técnicas de ataque, defensa, ocultamiento y reproducción que posteriormente adoptaron los virus informático.
3. ¿Porque surge la Computer Virus IndustryAssociation.?
La asociación de la industria de los virus informática por la necesidad de crear conciencia sobre de defender los sistemas informáticos de los ataques desencadenados por virus y otros programas.
4. Nombre del primer virus informático difundido fuera de un laboratorio o centro de investigación.
Brain
5. ¿En qué consiste el virus Chernobyl?
Formateaba el disco duro y rescribía la memoria flash del BIOS con lo cual este no es capaz de arrancar
6. ¿Cuál fue el primer virus de macro?
Concept
7. ¿En qué consistía el virus de correo electrónico Nimba, como engañaba a los usuarios?
La modificación en la cabecera del mensaje de correo electrónico, el virus trataba de simular que el contenido adjunto se correspondía con un fichero de audio.
8. ¿En qué año apareció el virus SQL Slammer?
2003
9. ¿En qué consiste el virus SQL Slammer?
Ataca a sistemas de base de datos de las empresas. Se propagó utilizando una vulnerabilidad del sistema gestor de base de datos SQL Server.
10. ¿Cómo es que los virus han atacado en la mayoría de las veces?
Aprovechando la vulnerabilidad de los navegadores, sistemas operativos, servidores u otras aplicaciones informáticas para propagarse.
Ejemplos de ataques contra sistemas informáticos
¿A qué razones se deben los ataques contra sistemas informáticos?
Para obtener información privada de los usuarios y porque dichos sistemas informáticos pueden contener contenido político o ideológico.
Menciona unos ejemplos de ataques DDOS
• En 2002 contra 13 servidores de servicio DNS
• En enero de 2004 algunos virus como “MyDoom” fueron programados para atacar por medio de DDOS contra algunas empresas como SCO y Microsoft
• En marzo de 2004 se produjo un ataque masivo contra servidores IRC Hispano
¿Qué hace un dialer?
Cuando la víctima accede a determinada pagina se instala este “dialer” el cual realiza un cambio de conexión telefónica a internet mientras que la victima pasa desapercibida y absorbe los cargos de internet del atacante.
¿Cuáles son las 3 principales razones que justifican la implantación de los estándares?
1. Suministrar normas de seguridad a los fabricantes de productos.
2. Definir métricas de evaluación, de certificación y acreditación.
3. Transmitir la confianza necesaria a los usuarios y consumidores.
¿Cuáles son las principales organizaciones encargadas de la estandarización?
1. Comisión Electrónica Internacional (IEC)
2. Organización Internacional de Normalización (ISO)
Menciona por lo menos estándares Estadounidenses:
1. TCSEC( Trusted Computer System Evaluartion Criteria)
2. Federal Criteria
3. FISCAM( Federal Information Systems Controls Audition Manua)
Menciona por lo menos estándares Europeos:
1. ITSEC( Information Technology Security Evaluation Criteria)
2. ITSEM(Information Technology Security Evaluation Metodology)
¿Estándar que define un conjunto de guías de seguridad de la información reconocidas y aceptadas internacionalmente, es decir, se trata de un código de buenas prácticas de la seguridad de la información, y unos de sus controles de seguridad son análisis de riesgos y políticas de seguridad? ISO/IEC 17799
Norma aplicada el 14 de octubre de 2005, estableciendo los requisitos para los sistemas de gestión de seguridad de la información, por tanto, es una norma que permite certificar la implantación de un sistema de gestión de seguridad de la información en una organización incorporando los controles de la ISO/IEC 17799:2005. ISO/IEC 27001
¿Cuáles son las partes de la estructura de un documento con la especificación de la norma UNE 71502:2004(Que sirve para evaluar un sistema de gestión de la seguridad de la información)?
• Objeto y campo de aplicación
• Normas para consulta
• Términos y definiciones
• Marco general del SGSI
Que es criptografía simétrica?
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.
Para que se usa criptografía simétrica?
La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican.
¿Cuál es el elemento clave de la criptografia simetrica?
Clave secreta
¿Qué el clave secreta?
Utiliza una clave para la encriptación y desencriptación del mensaje. Esta clave se debe
Intercambiar entre los equipos por medio de un canal seguro. Ambos extremos deben
tener la misma clave para cumplir con el proceso
Menciona 3 principales sistemas criptográficos simétricos
DES (Data Encripted standard)
IDEA (International Data Encryption Algorith)
AES (Advanced Encrypted Standard)
¿Cuál es la principal ventaja de la criptografía simétrica?
Es la facilidad de implementación, ya que permite encriptar y desencriptar cada uno de los bloques de texto de forma independiente
¿Cuáles con las distintas técnicas para identificar a los visitantes de un web site?
Control de la procedencia a partir de la dirección IP.
Utilización de cookies.
Usuarios registrados mediante un nombre (log in) y una contraseña (password).
Servicios de navegación anónima.
¿Qué es el control de la procedencia a partir de la dirección IP?
Se trata de un procedimiento muy sencillo, ya que en cada conexión a un servidor WEB el equipo cliente da a conocer su dirección IP. De este modo, registrando las direcciones IP de los visitantes es posible hacer un seguimiento de sus conexiones al servidor web.
¿Cuáles son los factores que influyen para determinar que esta técnica no es muy fiable?
Direcciones IP compartidas a través de un servidor proxy
Direcciones IP asignadas de forma dinámica
Utilización de varios proveedores de acceso a Internet
¿Qué son las cookies?
Las cookies son ficheros que se guardan en el disco duro del equipo del visitante a un determinado Website, con la finalidad de poder registrar datos sobre su navegación por las páginas del servidor Web y poder identificarlo en posteriores conexiones.
¿Cómo funciona la técnica de usuarios registrados y contraseñas?
En este caso se solicita al usuario un registro previo para poder acceder a los servicios del Website, cubriendo para ello los distintos campos de un formulario de inscripción. Sin duda, ésta es la mejor opción, ya que permite identificar a los visitantes aunque naveguen utilizando distintas cuentas de acceso o distintos equipos.
¿Cómo funcionan los servicios de navegación anónima?
Estos servicios de navegación anónima emplean un servidor proxy para realizar las peticiones en nombre del usuario, ocultando la dirección IP de éste e interceptando las cookies.
¿Cuáles son los aspectos a contemplar en la política de privacidad de las organizaciones?
Transparencia en el registro de información sobre el usuario. Se debería dar a conocer qué tipo de información se va a incluir en los registros de actividad (“logs”) de los servidores.
Facultad de elección para el usuario del servicio.
Adopción de las medidas necesarias para garantizar la seguridad e integridad de los datos registrados.
Reconocimiento de los derechos de acceso, rectificación y cancelación de los datospersonales registrados por parte del usuario afectado.
Verificación del cumplimiento de la Política de Privacidad de la organización por parte de otras organizaciones.
Suscripción de Códigos Éticos elaborados por la propia industria.
Menciona ejemplos de estándares para garantizar un adecuado nivel de protección de los datos personales en internet
Estándar de Perfiles Abiertos (OPS, Open Profiling Standard)
Plataforma para las Preferencias de Privacidad (P3P, PlatformforPrivacyPreferences
Anexo V virus
1. ¿Cuáles son las cuatro generaciones distinguibles de virus informático?´
• Virus de ordenador personal que infectan a ficheros ejecutables y sectores de arranque.
• Virus de macro, capaces de infectar a documentos que soportan lenguajes de macros.
• Virus que tienen capacidad para propagarse a través de redes como internet, mediante correo electrónico, servidores conectados a la red etc.
• Virus que pueden afectar a otro tipo de dispositivos: teléfonos móviles, agendas electrónicas, electrodomésticos.
2. A que se le conoce como Core Wars
Son programas informáticos que eran capaces de luchar entre sí con el objetivo de acaparar mayor espacio posible en memoria del sistema informático donde se ejecutaba, desarrollaron técnicas de ataque, defensa, ocultamiento y reproducción que posteriormente adoptaron los virus informático.
3. ¿Porque surge la Computer Virus IndustryAssociation.?
La asociación de la industria de los virus informática por la necesidad de crear conciencia sobre de defender los sistemas informáticos de los ataques desencadenados por virus y otros programas.
4. Nombre del primer virus informático difundido fuera de un laboratorio o centro de investigación.
Brain
5. ¿En qué consiste el virus Chernobyl?
Formateaba el disco duro y rescribía la memoria flash del BIOS con lo cual este no es capaz de arrancar
6. ¿Cuál fue el primer virus de macro?
Concept
7. ¿En qué consistía el virus de correo electrónico Nimba, como engañaba a los usuarios?
La modificación en la cabecera del mensaje de correo electrónico, el virus trataba de simular que el contenido adjunto se correspondía con un fichero de audio.
8. ¿En qué año apareció el virus SQL Slammer?
2003
9. ¿En qué consiste el virus SQL Slammer?
Ataca a sistemas de base de datos de las empresas. Se propagó utilizando una vulnerabilidad del sistema gestor de base de datos SQL Server.
10. ¿Cómo es que los virus han atacado en la mayoría de las veces?
Aprovechando la vulnerabilidad de los navegadores, sistemas operativos, servidores u otras aplicaciones informáticas para propagarse.
Ejemplos de ataques contra sistemas informáticos
¿A qué razones se deben los ataques contra sistemas informáticos?
Para obtener información privada de los usuarios y porque dichos sistemas informáticos pueden contener contenido político o ideológico.
Menciona unos ejemplos de ataques DDOS
• En 2002 contra 13 servidores de servicio DNS
• En enero de 2004 algunos virus como “MyDoom” fueron programados para atacar por medio de DDOS contra algunas empresas como SCO y Microsoft
• En marzo de 2004 se produjo un ataque masivo contra servidores IRC Hispano
¿Qué hace un dialer?
Cuando la víctima accede a determinada pagina se instala este “dialer” el cual realiza un cambio de conexión telefónica a internet mientras que la victima pasa desapercibida y absorbe los cargos de internet del atacante.
¿Cuáles son las 3 principales razones que justifican la implantación de los estándares?
1. Suministrar normas de seguridad a los fabricantes de productos.
2. Definir métricas de evaluación, de certificación y acreditación.
3. Transmitir la confianza necesaria a los usuarios y consumidores.
¿Cuáles son las principales organizaciones encargadas de la estandarización?
1. Comisión Electrónica Internacional (IEC)
2. Organización Internacional de Normalización (ISO)
Menciona por lo menos estándares Estadounidenses:
1. TCSEC( Trusted Computer System Evaluartion Criteria)
2. Federal Criteria
3. FISCAM( Federal Information Systems Controls Audition Manua)
Menciona por lo menos estándares Europeos:
1. ITSEC( Information Technology Security Evaluation Criteria)
2. ITSEM(Information Technology Security Evaluation Metodology)
¿Estándar que define un conjunto de guías de seguridad de la información reconocidas y aceptadas internacionalmente, es decir, se trata de un código de buenas prácticas de la seguridad de la información, y unos de sus controles de seguridad son análisis de riesgos y políticas de seguridad? ISO/IEC 17799
Norma aplicada el 14 de octubre de 2005, estableciendo los requisitos para los sistemas de gestión de seguridad de la información, por tanto, es una norma que permite certificar la implantación de un sistema de gestión de seguridad de la información en una organización incorporando los controles de la ISO/IEC 17799:2005. ISO/IEC 27001
¿Cuáles son las partes de la estructura de un documento con la especificación de la norma UNE 71502:2004(Que sirve para evaluar un sistema de gestión de la seguridad de la información)?
• Objeto y campo de aplicación
• Normas para consulta
• Términos y definiciones
• Marco general del SGSI
Que es criptografía simétrica?
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.
Para que se usa criptografía simétrica?
La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican.
¿Cuál es el elemento clave de la criptografia simetrica?
Clave secreta
¿Qué el clave secreta?
Utiliza una clave para la encriptación y desencriptación del mensaje. Esta clave se debe
Intercambiar entre los equipos por medio de un canal seguro. Ambos extremos deben
tener la misma clave para cumplir con el proceso
Menciona 3 principales sistemas criptográficos simétricos
DES (Data Encripted standard)
IDEA (International Data Encryption Algorith)
AES (Advanced Encrypted Standard)
¿Cuál es la principal ventaja de la criptografía simétrica?
Es la facilidad de implementación, ya que permite encriptar y desencriptar cada uno de los bloques de texto de forma independiente
Comentarios
Publicar un comentario