Authorizing Third-Party Applications Served through Messaging Platforms

The widespread adoption of smartphones and the new-generation wireless networks have changed the way that people interact among themselves and with their environment. The use of messaging platforms, such as WhatsApp, has become deeply ingrained in peoples’ lives, and many digital services have started to be delivered using these communication channels. In this work, we propose a new OAuth grant type to be used when the interaction between the resource owner and the client takes place through a messaging platform. This new grant type firstly allows the authorization server to be sure that no Man-in-the-Middle risk exists between the resource owner and the client before issuing an access token. Secondly, it allows the authorization server to interact with the resource owner through the same user-agent already being used to interact with the client, i.e., the messaging platform, which is expected to improve the overall user experience of the authorization process. To verify this assumption, we conducted a usability study in which subjects were required to perform the full authorization process using both the standard authorization code grant type (through a web-browser) and the new grant type defined in this work. They have also been required to fill in a small questionnaire including some demographic information and their impressions about both authorization flows. The results suggest that the proposed grant type eases the authorization process in most cases

Desarrollo de un sistema de identificación biométrico utilizando la señal pletismográfica (PPG), en un entorno de cloud computing

En este proyecto se han analizado las prestaciones de varios esquemas de procesado para su uso en biometría utilizando el PPG. Para dar soporte al proceso de identificación, se ha diseñado e implementado una arquitectura de procesado en la nube, en la que todas las comunicaciones se realizan sobre estándares de comunicación médicos, que permita realizar la identificación en tiempo real

Implementación del grupo Filter de una sonda RMON con Python y LibPCAP

En este trabajo se ha implementado el grupo Filter de una sonda RMON, el cual permite realizar tareas de monitorización utilizando el protocolo SNMP (Simple Network Management Protocol). Además, se ha definido una MIB (Management Information Base) que permita integrar la gestión de las comunidades de acceso al sistema dentro de la arquitectura SNMP. Por último, se ha desarrollado una interfaz gráfica de usuario que facilite el manejo del grupo Filter de RMON

Diseño e implementación de un bot para la plataforma de mensajería Telegram que permita la gestión remota de una cámara de seguridad

En este trabajo se ha desarrollado e implementado un bot conversacional para la plataforma de mensajería Telegram, el cual ofrece un servicio completo para realizar tareas de monitorización y gestión de una cámara de seguridad doméstica

Diseño e implementación de una interfaz gráfica para la gestión de un PHR basado en FHIR utilizando ELK

Actualmente se está produciendo un cambio en el paradigma de la prestación de los servicios sanitarios en todo el mundo debido al desarrollo de las Tecnologías de la Información y Comunicaciones (TIC) en este ámbito. El abaratamiento en los costes de los sensores médicos y el uso de wearables ha incrementado la cantidad de información médica disponible en cada paciente. En este caso, desde un punto de vista de red, cada uno de los pacientes podría considerarse un nodo de red generando información y el médico sería el administrador de esta. Dada esta simetría y el gran número de herramientas existentes para la gestión, manipulación y representación de la información recolectada de los nodos de red, sería interesante analizar su funcionamiento en un escenario médico. Para ello se parte de una aplicación basada en plataformas de mensajería para la recolección de datos médicos de un grupo de pacientes. Esta aplicación se ha extendido para recoger los datos de actividad de Google Fit. Se ha diseñado una arquitectura que permita integrar las arquitecturas de gestión de red y los pacientes utilizando para ello una herramienta de gestión de red, ELK, para el análisis y la representación de la información y un estándar médico, FHIR, para el intercambio de la información de salud. Esta arquitectura tiene como objetivo crear una carpeta personal de salud (PHR), realizando la visualización de los datos mediante la herramienta Kibana de ELK, en la cual se han definido los dashboards que representan la información médica. Dada la sensibilidad de la información médica recolectada y que ELK no proporciona un control de acceso, se ha implementado una arquitectura que mediante el protocolo OAuth garantice el acceso autenticado a los datos. Esto se ha desarrollado implementando un control de acceso a la aplicación utilizando Python y la librería Flask. Este control de acceso garantiza la autenticación del usuario, el acceso únicamente a los recursos a los que tiene permiso y define las operaciones que puede realizar

Desing and evaluation of novel authentication, authorization and border protection mechanisms for modern information security architectures

En los últimos años, las vidas real y digital de las personas están más entrelazadas que nunca, lo que ha dado lugar a que la información de los usuarios haya adquirido un valor incalculable tanto para las empresas como para los atacantes. Mientras tanto, las consecuencias derivadas del uso inadecuado de dicha información son cada vez más preocupantes. El número de brechas de seguridad sigue aumentando cada día y las arquitecturas de seguridad de la información, si se diseñan correctamente, son la apuesta más segura para romper esta tendencia ascendente.Esta tesis contribuye en tres de los pilares fundamentales de cualquier arquitectura de seguridad de la información—autenticación, autorización y seguridad de los datos en tránsito—mejorando la seguridad y privacidad provista a la información involucrada. En primer lugar, la autenticación tiene como objetivo verificar que el usuario es quien dice ser. Del mismo modo que otras tareas que requieren de interacción por parte del usuario, en la autenticación es fundamental mantener el balance entre seguridad y usabilidad. Por ello, hemos diseñado una metodología de autenticación basada en el fotopletismograma (PPG). En la metodología propuesta, el modelo de cada usuario contiene un conjunto de ciclos aislados de su señal PPG, mientras que la distancia de Manhattan se utiliza para calcular la distancia entre modelos. Dicha metodología se ha evaluado prestando especial atención a los resultados a largo plazo. Los resultados obtenidos muestran que los impresionantes valores de error que se pueden obtener a corto plazo (valores de EER por debajo del 1%) crecen rápidamente cuando el tiempo entre la creación del modelo y la evaluación aumenta (el EER aumenta hasta el 20% durante las primeras 24 horas, valor que permanece estable desde ese momento). Aunque los valores de error encontrados en el largo plazo pueden ser demasiado altos para permitir que el PPG sea utilizado como una alternativa de autenticación confiable por si mismo, este puede ser utilizado de forma complementaria (e.g. como segundo factor de autenticación) junto a otras alternativas de autenticación, mejorándolas con interesantes propiedades, como la prueba de vida.Tras una correcta autenticación, el proceso de autorización determina si la acción solicitada al sistema debería permitirse o no. Como indican las nuevas leyes de protección de datos, los usuarios son los dueños reales de su información, y por ello deberían contar con los métodos necesarios para gestionar su información digital de forma efectiva. El framework OAuth, que permite a los usuarios autorizar a una aplicación de terceros a acceder a sus recursos protegidos, puede considerarse la primera solución en esta línea. En este framework, la autorización del usuario se encarna en un token de acceso que la tercera parte debe presentar cada vez que desee acceder a un recurso del usuario. Para desatar todo su potencial, hemos extendido dicho framework desde tres perspectivas diferentes. En primer lugar, hemos propuesto un protocolo que permite al servidor de autorización verificar que el usuario se encuentra presente cada vez que la aplicación de terceros solicita acceso a uno de sus recursos. Esta comprobación se realiza mediante una autenticación transparente basada en las señales biométricas adquiridas por los relojes inteligentes y/o las pulseras de actividad y puede mitigar las graves consecuencias de la exfiltración de tokens de acceso en muchas situaciones. En segundo lugar, hemos desarrollado un nuevo protocolo para autorizar a aplicaciones de terceros a acceder a los datos del usuario cuando estas aplicaciones no son aplicaciones web, sino que se sirven a través de plataformas de mensajería. El protocolo propuesto no lidia únicamente con los aspectos relacionados con la usabilidad (permitiendo realizar el proceso de autorización mediante el mismo interfaz que el usuario estaba utilizando para consumir el servicio, i.e. la plataforma de mensajería) sino que también aborda los problemas de seguridad que surgen derivados de este nuevo escenario. Finalmente, hemos mostrado un protocolo donde el usuario que requiere de acceso a los recursos protegidos no es el dueño de estos. Este nuevo mecanismo se basa en un nuevo tipo de concesión OAuth (grant type) para la interacción entre el servidor de autorización y ambos usuarios, y un perfil de OPA para la definición y evaluación de políticas de acceso. En un intento de acceso a los recursos, el dueño de estos podría ser consultado interactivamente para aprobar el acceso, habilitando de esta forma la delegación usuario a usuario. Después de unas autenticación y autorización exitosas, el usuario consigue acceso al recurso protegido. La seguridad de los datos en tránsito se encarga de proteger la información mientras es transmitida del dispositivo del usuario al servidor de recursos y viceversa. El cifrado, al tiempo que mantiene la información a salvo de los curiosos, también evita que los dispositivos de seguridad puedan cumplir su función—por ejemplo, los firewalls son incapaces de inspeccionar la información cifrada en busca de amenazas. Sin embargo, mostrar la información de los usuarios a dichos dispositivos podría suponer un problema de privacidad en ciertos escenarios. Por ello, hemos propuesto un método basado en Computación Segura Multiparte (SMC) que permite realizar las funciones de red sin comprometer la privacidad del tráfico. Esta aproximación aprovecha el paralelismo intrínseco a los escenarios de red, así como el uso adaptativo de diferentes representaciones de la función de red para adecuar la ejecución al estado de la red en cada momento. En nuestras pruebas hemos analizado el desencriptado seguro del tráfico utilizando el algoritmo Chacha20, mostrando que somos capaces de evaluar el tráfico introduciendo latencias realmente bajas (menores de 3ms) cuando la carga de la red permanece suficientemente baja, mientras que podemos procesar hasta 1.89 Gbps incrementando la latencia introducida. Teniendo en cuenta todo esto, a pesar de la penalización de rendimiento que se ha asociado tradicionalmente a las aplicaciones de Computación Segura, hemos presentado un método eficiente y flexible que podría lanzar la evaluación segura de las funciones de red a escenarios reales.<br /