Sistemas biométricos multimodales que emplean rasgos audio-visuales

Se observa en la actualidad una tendencia muy marcada al empleo de técnicas biométricas (las que incluyen rostro, huellas digitales, geometría de la mano, iris, patrones de retina, firma y voz, entre los más destacados) en los sistemas de identificación/autenticación de personas. Todas estas técnicas presentan diferentes grados de singularidad, permanencia, mensurabilidad, desempeño, aceptacción del usuario y robustez. Por otra parte, diferentes investigaciones sobre sistemas biométricos multimodales han demostrado que mediante su empleo es posible mejorar la carencias de cualquier sistema biométrico unimodal, por lo que desde hace algunos años, proliferan las propuestas para el empleo de dos o más métodos biométricos independientes. En el presente trabajo se analizan aspectos significativos de estos métodos y aproximaciones y se desarrollan breves reseñas, a partir de la búsqueda bibliográfica. Los aspectos abordados incluyen la fusión de información (poniendo el acento especialmente en la identificación y verificación audio-visual de personas), y las técnicas adaptativas y no-adaptativas para la decisión de verificación (utilizando información de habla y de rostro) en condiciones de audio con ruido.Workshop de Arquitecturas, Redes y Sistemas Operativos (WARSO)Red de Universidades con Carreras en Informática (RedUNCI

Análisis de Survivable Networks y evaluación de metodología TRIAD propuesta por el CERT

Los actuales sistemas en red de gran escala altamente distribuidos mejoran la eficiencia y la efectividad de las organizaciones al permitir la integración general de la organización en niveles nuevos. No obstante, tal integración viene acompañada por elevados riesgos de intrusión y compromiso. Estos riesgos pueden ser mitigados mediante la incorporación de capacidades de supervivencia dentro de los sistemas de la organización. Como una disciplina emergente, la supervivencia se apoya en campos de estudio relacionados (por ejemplo, seguridad, tolerancia a fallo, protección, fiabilidad, reutilización, desempeño, verificación, y testeo) e introduce nuevos conceptos y principios.Facultad de Informátic

Análisis de Survivable Networks y evaluación de metodología TRIAD propuesta por el CERT

Los actuales sistemas en red de gran escala altamente distribuidos mejoran la eficiencia y la efectividad de las organizaciones al permitir la integración general de la organización en niveles nuevos. No obstante, tal integración viene acompañada por elevados riesgos de intrusión y compromiso. Estos riesgos pueden ser mitigados mediante la incorporación de capacidades de supervivencia dentro de los sistemas de la organización. Como una disciplina emergente, la supervivencia se apoya en campos de estudio relacionados (por ejemplo, seguridad, tolerancia a fallo, protección, fiabilidad, reutilización, desempeño, verificación, y testeo) e introduce nuevos conceptos y principios.Facultad de Informátic

Seguridad de aplicaciones web: vulnerabilidades en los controles de acceso

No hay dudas respecto de que la seguridad de las aplicaciones web es un tema de interés actual y cotidiano. Las complejas y sensibles funcionalidades de las actuales aplicaciones web ha movido el perímetro de seguridad de las organizaciones, y una parte significativa del mismo ahora reside en las propias aplicaciones web. Y los privilegios de acceso a funcionalidades y datos ya no son uniformes y abiertos, sino que requieren de complejos esquemas., resultando esencial la fortaleza de los mecanismos de control de acceso. Las debilidades en los controles de acceso pueden surgir de diferentes fuentes: un diseño pobre de la aplicación hace muy difícil y hasta imposible el chequeo por accesos no autorizados, un simple descuido puede dejar desprotegidas funcionalidades críticas, o suposiciones erróneas acerca del comportamiento de los usuarios dejan a una aplicación web sin protección y pasible de un quiebre de seguridad. En muchos casos, detectar una brecha en los controles de acceso puede resultar trivial, pero en otros casos, puede ser muy difícil, quedando ocultos defectos sutiles dentro de la lógica de la aplicación, especialmente en aplicaciones complejas y de alta seguridad. La lección más importante es que cuando se chequea la robustez de los controles de acceso se debe mirar en todas direcciones, debiendo ser paciente y testear cada paso particular de todas las funcionalidades de la aplicación.Workshop de Arquitecturas, Redes y Sistemas Operativos (WARSO)Red de Universidades con Carreras en Informática (RedUNCI

Seguridad de aplicaciones web: vulnerabilidades en los controles de acceso

No hay dudas respecto de que la seguridad de las aplicaciones web es un tema de interés actual y cotidiano. Las complejas y sensibles funcionalidades de las actuales aplicaciones web ha movido el perímetro de seguridad de las organizaciones, y una parte significativa del mismo ahora reside en las propias aplicaciones web. Y los privilegios de acceso a funcionalidades y datos ya no son uniformes y abiertos, sino que requieren de complejos esquemas., resultando esencial la fortaleza de los mecanismos de control de acceso. Las debilidades en los controles de acceso pueden surgir de diferentes fuentes: un diseño pobre de la aplicación hace muy difícil y hasta imposible el chequeo por accesos no autorizados, un simple descuido puede dejar desprotegidas funcionalidades críticas, o suposiciones erróneas acerca del comportamiento de los usuarios dejan a una aplicación web sin protección y pasible de un quiebre de seguridad. En muchos casos, detectar una brecha en los controles de acceso puede resultar trivial, pero en otros casos, puede ser muy difícil, quedando ocultos defectos sutiles dentro de la lógica de la aplicación, especialmente en aplicaciones complejas y de alta seguridad. La lección más importante es que cuando se chequea la robustez de los controles de acceso se debe mirar en todas direcciones, debiendo ser paciente y testear cada paso particular de todas las funcionalidades de la aplicación.Workshop de Arquitecturas, Redes y Sistemas Operativos (WARSO)Red de Universidades con Carreras en Informática (RedUNCI

Sistemas biométricos multimodales que emplean rasgos audio-visuales

Se observa en la actualidad una tendencia muy marcada al empleo de técnicas biométricas (las que incluyen rostro, huellas digitales, geometría de la mano, iris, patrones de retina, firma y voz, entre los más destacados) en los sistemas de identificación/autenticación de personas. Todas estas técnicas presentan diferentes grados de singularidad, permanencia, mensurabilidad, desempeño, aceptacción del usuario y robustez. Por otra parte, diferentes investigaciones sobre sistemas biométricos multimodales han demostrado que mediante su empleo es posible mejorar la carencias de cualquier sistema biométrico unimodal, por lo que desde hace algunos años, proliferan las propuestas para el empleo de dos o más métodos biométricos independientes. En el presente trabajo se analizan aspectos significativos de estos métodos y aproximaciones y se desarrollan breves reseñas, a partir de la búsqueda bibliográfica. Los aspectos abordados incluyen la fusión de información (poniendo el acento especialmente en la identificación y verificación audio-visual de personas), y las técnicas adaptativas y no-adaptativas para la decisión de verificación (utilizando información de habla y de rostro) en condiciones de audio con ruido.Workshop de Arquitecturas, Redes y Sistemas Operativos (WARSO)Red de Universidades con Carreras en Informática (RedUNCI

Hacia la Ingeniería de Software Seguro

La criticidad de los actuales sistemas de información en diferentes dominios de la sociedad determina que, si bien es importante asegurar que el software se desarrolla de acuerdo a las necesidades del usuario (requerimientos funcionales), también lo es garantizar que el mismo sea seguro. Hasta hace poco tiempo la Ingeniería de Software y la Ingeniería de Seguridad venían desarrollándose de forma independiente, limitando la posibilidad de que la seguridad sea considerada como parte del proceso de desarrollo de sistemas de software seguros. Si no se dispone de una definición precisa de lo que significa seguridad y cómo debe comportarse un software, no tiene sentido alguno preguntarse si el mismo es seguro o no. Es necesario revisar la terminología y definir un conjunto de conceptos de manera más rigurosa, considerar y comparar diferentes metodologías de tratamiento de la seguridad pasibles de ser articuladas con las metodologías para el proceso del ciclo de vida del desarrollo de software ya existentes, y considerar los modelos de madurez y aseguramiento de calidad. Este artículo presenta una revisión de la taxonomía existente en ese dominio, y un análisis sobre metodologías actuales conducentes hacia una disciplina denominada Ingeniería de Software Seguro.I Workshop Innovación en Sistemas de Software (WISS)Red de Universidades con Carreras en Informática (RedUNCI

Modelado de arquitecturas interoperables seguras

Web Service es una de las tecnologías y estándares comúnmente usada para implementar SOA. Pero, aplicar una capa de Web Service sobre aplicaciones legadas o componentes, no garantiza las propiedades SOA requeridas. Es necesario disponer de un enfoque sistemático y completo que tenga en cuenta los requerimientos de negocio y siga las prácticas recomendadas. La interoperabilidad es el principal problema a resolver a la hora de diseñar y desarrollar sistemas basados en servicios, pero esta facilidad de inter-operar no está completa si no se consideran los aspectos de seguridad en esta interoperación. En este trabajo se realiza primeramente un análisis y selección de propuestas para el modelado de arquitecturas basadas en servicios. Luego se analizan propuestas existentes para tratar el aspecto de seguridad en arquitecturas de software interoperables, y se discuten algunas propuestas para modelar específicamente la seguridad en arquitecturas de software. Del análisis se desprende que una manera adecuada para lograr modelar un esquema de interoperabilidad.Sociedad Argentina de Informática e Investigación Operativa (SADIO

Patrones de seguridad aplicados a la función autorización

La característica de “software seguro” reside en la naturaleza de los procesos y las prácticas utilizadas para especificar, diseñar, desarrollar y desplegar el software. Un proceso mejorado para la seguridad incorpora prácticas para reducir el número de errores y debilidades explotables. Los patrones de seguridad constituyen un aporte para salvar el vacío entre teoría y práctica, y pueden emplearse en organizaciones con distinto grado de madurez. Este trabajo se centra en patrones de seguridad asociados al diseño y considera la inclusión de funciones relativas al control de acceso. En particular trata la autorización de los privilegios de usuarios: proceso en que se determina qué acciones puede ejecutar un usuario autenticado, tanto sobre las funciones propias del software como sobre los datos que éstas manipulan. Se analiza un prototipado del patrón ROLE-BASED ACCESS CONTROL (RBAC), aplicado a sistemas de información de la gestión universitaria.Eje: Workshop de seguridad informática (WSI)Red de Universidades con Carreras en Informática (RedUNCI

Patrones de seguridad aplicados a la función autorización

La característica de “software seguro” reside en la naturaleza de los procesos y las prácticas utilizadas para especificar, diseñar, desarrollar y desplegar el software. Un proceso mejorado para la seguridad incorpora prácticas para reducir el número de errores y debilidades explotables. Los patrones de seguridad constituyen un aporte para salvar el vacío entre teoría y práctica, y pueden emplearse en organizaciones con distinto grado de madurez. Este trabajo se centra en patrones de seguridad asociados al diseño y considera la inclusión de funciones relativas al control de acceso. En particular trata la autorización de los privilegios de usuarios: proceso en que se determina qué acciones puede ejecutar un usuario autenticado, tanto sobre las funciones propias del software como sobre los datos que éstas manipulan. Se analiza un prototipado del patrón ROLE-BASED ACCESS CONTROL (RBAC), aplicado a sistemas de información de la gestión universitaria.Eje: Workshop de seguridad informática (WSI)Red de Universidades con Carreras en Informática (RedUNCI