Elicitación y trazabilidad de requerimientos utilizando patrones de seguridad

En este trabajo se describe un método para incorporar Patrones de Seguridad en el dominio específico de una aplicación con requerimientos de seguridad. Se utiliza la relación entre un glosario de términos específicos (LEL) y los Escenarios, asociados a casos de uso, para abstraer el conocimiento de ambos dominios: el propio de la aplicación y el de la seguridad. Luego con una nueva versión de la herramienta Baseline Mentor Workbench (BMW), se puede deducir el conjunto de CRC de análisis: clases candidatas. La terna: LEL, Escenario y CRC, son los componentes del modelo que nos permiten representar un Patrón de Seguridad mediante un sub-escenario con su terminología, semántica y comportamiento específicos. La información documentada en el “template” del Patrón de Seguridad, concretamente su comportamiento estático y dinámico, colaboran para conducir y validar el análisis del dominio de la aplicación con requerimientos de seguridad. De este modo el Patrón de Seguridad no sólo se incorpora al modelo de la aplicación de forma natural y controlada, sino que conduce las decisiones a tomar sobre el diseño de la aplicación. Como toda la información sobre el modelo estático y dinámico del Patrón de Seguridad pertenece a la etapa de diseño, y se integra a un modelo contextual de una aplicación perteneciente a la etapa de elicitación y análisis de requerimientos, los elementos del Patrón de Seguridad se dice que traccionan hacia etapas más avanzadas en el proceso de desarrollo de la aplicación. La herramienta extiende el concepto de “forward traceability” sobre los requerimientos de seguridad y permite tener visibilidad entre las CRC y los requerimientos que le dieron origen, sean éstos requerimientos funcionales y de seguridad. Este trabajo se ha organizado de la siguiente manera: en el Capítulo 2 se presentan aspectos relevantes del estado del arte de la producción de software seguro; se discuten algunos temas que apuntan a desarrollar un léxico y marco conceptual apropiado y otros que son motivos de investigación y desarrollo; se revisan los adelantos hechos sobre la elicitación de requerimientos de seguridad. En el Capítulo 3 se presenta el conjunto de elementos utilizados en la descripción del método propuesto: LEL, Escenarios, CRC y Patrones de Seguridad. En este Capítulo se muestra que es factible modelar un Patrón de Seguridad con los elementos descriptos: LEL, Escenario y CRC; lo cual resulta en un valor fundamental para este trabajo. En el Capítulo 4 se describe el método de elicitación de requerimientos utilizando Patrones de Seguridad, primero una síntesis de sus etapas y luego su aplicación en la construcción de una aplicación con requerimientos de seguridad. En el Capítulo 5 se describe la herramienta construida para utilizar el método propuesto. En el Capítulo 6 se presentan métodos relacionados, complementarios al propuesto en este trabajo. En el Capítulo 7 se presentan las conclusiones de este trabajo y para finalizar, en el Capítulo 8 se mencionan posibles futuros trabajos para continuar esta línea de investigación.Facultad de Informátic

Arquitecturas seguras a partir de requerimientos patrones de seguridad y vulnerabilidades

La construcción de software seguro continúa siendo un desafío que trata los requerimientos de seguridad como no funcionales y los resuelve en etapas tardías del proceso de desarrollo de software. En un contexto de Continuous Software Engineering (CSE), considerada como la práctica corriente para la construcción de software, raramente existe una etapa de análisis de una arquitectura que garantice minimizar riesgos de vulnerabilidades conocidas. Esto conduce a la construcción de software inseguro que demanda acciones de detección posterior de vulnerabilidades. En el mejor de los casos serán eliminadas con un gran costo de recursos. O directamente se libera software con vulnerabilidades conocidas que tendrán que ser eliminadas en una etapa de actualización en versiones posteriores. Este trabajo describe las ideas seminales para enfrentar el desafío de construir un método y un sistema de recomendación de arquitecturas seguras de software.Facultad de Informátic

Análisis forense de entornos IoT

Internet de las Cosas (IoT) es un entorno de comunicación que conecta componentes tecnológicos diversos en una arquitectura integrada para el procesamiento y control de funcionalidades del mundo físico y digital. Este contexto, de amplio impacto social, también está a disposición de la delincuencia virtual. En este contexto se propone una guía de acción para el análisis forense cuando se deba buscar evidencia digital en entornos IoT. El trabajo aborda la aplicación de una Guía de Actuación Forense para Entornos IoT en un caso ejemplo que analiza vulnerabilidades y el proceso de recolección de la evidencia digital necesaria, para finalizar con un conjunto de recomendaciones con impacto en la mejora de la calidad de la arquitectura de seguridad del modelo IoT.Sociedad Argentina de Informática e Investigación Operativ

Implementación de una infraestructura de clave pública con herramientas de software libre

En el año 2012, en oportunidad de participar en las auditorías de las Autoridades de Certificación de la República Argentina, surgió la propuesta de pensar un laboratorio de firma digital para la Universidad Nacional de Córdoba (UNC). En la Facultad de Ciencias Exactas Físicas y Naturales (FCEFyN), hay una carrera: Ingeniería en Computación, entre cuyos descriptores está contemplada el área de conocimiento de la Seguridad Informática. Desde el año 2004 cuenta con una materia, Criptografía y Seguridad en Redes, donde se aborda el desarrollo de este conocimiento y se realizan experiencias prácticas. Conjuntamente, la Facultad de Ciencias Económicas (FCE) tiene materias como Tecnología de Información I, Auditoría de Sistemas Computarizados y Comercio Electrónico, donde se desarrollan contenidos, referidos a firma digital, pensando en su utilización por parte del usuario final. Un laboratorio de firma digital impactaría directamente con sus servicios a más de mil quinientos alumnos de dos unidades académicas. Esto no descartaba la posibilidad, con la colaboración de la Prosecretaría de Informática (PSI) de la misma Universidad, de pensar en recoger las experiencias del uso de la firma digital en el ámbito académico, para trasladarlas al ámbito de la gestión administrativa de la Universidad. Definitivamente un escenario que potenciaba el valor de un espacio dedicado a brindar servicios de firma digital. En ese contexto, se evaluó la posibilidad de construir una infraestructura de clave pública o “Public Key Infrastructure” (PKI), utilizando software libre, dentro de la Universidad Nacional de Córdoba y aplicar los resultados de su experiencia a los procesos administrativos de la UNC. Para llevar adelante esta propuesta, se la enmarcó en el proyecto de investigación conjunto entre la FCE y la FCEFyN denominado “Firma Digital en la UNC”. La primera Unidad Académica evaluaría la mejor manera y los procesos para introducir la tecnología y la segunda construiría un espacio tecnológico para experimentar con su aplicación. En este trabajo se relata el proceso de construcción de una infraestructura de clave pública, utilizando software libre, para una fase desarrollo y experimentación en el ámbito académico de la UNC. En título 1 presentamos una introducción a los conceptos básicos de PKI, en el título 2 relatamos los pasos previos a la búsqueda de una solución de software; en el 3 describimos las herramientas de software libre por las que optamos; en 4 describimos las experiencias realizadas y por último en el título 5 presentamos algunas conclusiones.Sociedad Argentina de Informática e Investigación Operativ

Implementación de una infraestructura de clave pública con herramientas de software libre

En el año 2012, en oportunidad de participar en las auditorías de las Autoridades de Certificación de la República Argentina, surgió la propuesta de pensar un laboratorio de firma digital para la Universidad Nacional de Córdoba (UNC). En la Facultad de Ciencias Exactas Físicas y Naturales (FCEFyN), hay una carrera: Ingeniería en Computación, entre cuyos descriptores está contemplada el área de conocimiento de la Seguridad Informática. Desde el año 2004 cuenta con una materia, Criptografía y Seguridad en Redes, donde se aborda el desarrollo de este conocimiento y se realizan experiencias prácticas. Conjuntamente, la Facultad de Ciencias Económicas (FCE) tiene materias como Tecnología de Información I, Auditoría de Sistemas Computarizados y Comercio Electrónico, donde se desarrollan contenidos, referidos a firma digital, pensando en su utilización por parte del usuario final. Un laboratorio de firma digital impactaría directamente con sus servicios a más de mil quinientos alumnos de dos unidades académicas. Esto no descartaba la posibilidad, con la colaboración de la Prosecretaría de Informática (PSI) de la misma Universidad, de pensar en recoger las experiencias del uso de la firma digital en el ámbito académico, para trasladarlas al ámbito de la gestión administrativa de la Universidad. Definitivamente un escenario que potenciaba el valor de un espacio dedicado a brindar servicios de firma digital. En ese contexto, se evaluó la posibilidad de construir una infraestructura de clave pública o “Public Key Infrastructure” (PKI), utilizando software libre, dentro de la Universidad Nacional de Córdoba y aplicar los resultados de su experiencia a los procesos administrativos de la UNC. Para llevar adelante esta propuesta, se la enmarcó en el proyecto de investigación conjunto entre la FCE y la FCEFyN denominado “Firma Digital en la UNC”. La primera Unidad Académica evaluaría la mejor manera y los procesos para introducir la tecnología y la segunda construiría un espacio tecnológico para experimentar con su aplicación. En este trabajo se relata el proceso de construcción de una infraestructura de clave pública, utilizando software libre, para una fase desarrollo y experimentación en el ámbito académico de la UNC. En título 1 presentamos una introducción a los conceptos básicos de PKI, en el título 2 relatamos los pasos previos a la búsqueda de una solución de software; en el 3 describimos las herramientas de software libre por las que optamos; en 4 describimos las experiencias realizadas y por último en el título 5 presentamos algunas conclusiones.Sociedad Argentina de Informática e Investigación Operativ

Caso de éxito de método que aplica patrones de seguridad en la Ingeniería en Computación

Incorporar patrones de seguridad en etapas tempranas del proceso de desarrollo de sistemas de software es la forma más eficaz de construir sistemas seguros. Las preguntas que nos hacemos son uno: qué tan temprano es posible tenerlos en cuenta?; dos: qué método utilizar para minimizar el impacto de su incorporación?; tres: qué aporta la incorporación temprana de un patrón de seguridad al momento de la implementación.? En este trabajo presentamos un caso de éxito de un método para elicitar requerimientos de seguridad en etapas tempranas del proceso de desarrollo, mapearlos sobre patrones de seguridad y guiar las etapas posteriores del proceso de desarrollo de sistemas embebidos. Aplicando el método se construyó un “hardlock authenticator” utilizando un PIC, como práctica de laboratorio de la materia Sistemas de Computación de la carrera de Ing. en Computación de la Universidad Nacional de Córdoba.Presentado en el VII Workshop Ingeniería de Software (WIS)Red de Universidades con Carreras en Informática (RedUNCI

Caso de éxito de método que aplica patrones de seguridad en la Ingeniería en Computación

Incorporar patrones de seguridad en etapas tempranas del proceso de desarrollo de sistemas de software es la forma más eficaz de construir sistemas seguros. Las preguntas que nos hacemos son uno: qué tan temprano es posible tenerlos en cuenta?; dos: qué método utilizar para minimizar el impacto de su incorporación?; tres: qué aporta la incorporación temprana de un patrón de seguridad al momento de la implementación.? En este trabajo presentamos un caso de éxito de un método para elicitar requerimientos de seguridad en etapas tempranas del proceso de desarrollo, mapearlos sobre patrones de seguridad y guiar las etapas posteriores del proceso de desarrollo de sistemas embebidos. Aplicando el método se construyó un “hardlock authenticator” utilizando un PIC, como práctica de laboratorio de la materia Sistemas de Computación de la carrera de Ing. en Computación de la Universidad Nacional de Córdoba.Presentado en el VII Workshop Ingeniería de Software (WIS)Red de Universidades con Carreras en Informática (RedUNCI

¿Qué te gustaría saber sobre seguridad informática? Recomendaciones en contexto de pandemia

El Programa Educación en Ciencia y Tecnología de Extensión UNC organizó el Conversatorio “¿Qué te gustaría saber sobre seguridad informática?” donde un grupo de expertos en la temática respondieron consultas al respecto. La actividad se realizó el martes 5 de mayo de 2020 a las 18:00 a través de la plataforma virtual Google Meet y estuvo a cargo del Dr. Nicolás Wolovick, Lic. Joshep Joel Cortéz Sánchez e Ing. Miguel Ángel Solinas. El objetivo fue brindar información al público en general sobre la temática de seguridad informática ya que, en este contexto de pandemia, las herramientas digitales han tomado preponderancia en la vida cotidiana de todas las personas. Por ello es importante considerar el buen uso, protección de la información e identificación de posibles amenazas.Fil: Wolovick, Nicolás. Universidad Nacional de Córdoba. Facultad de Matemática, Astronomía, Física y Computación. Centro de Computación de Alto Desempeño; Argentina.Fil: Cortéz Sánchez, Joshep Joel. Universidad Nacional de Córdoba. Facultad de Matemática, Astronomía, Física y Computación; Argentina.Fil: Solinas, Miguel Ángel. Universidad Nacional de Córdoba. Facultad de Ciencias Exactas, Físicas y Naturales; Argentina.Fil: Maldonado Vélez, María Zoe. Universidad Nacional de Córdoba. Secretaría de Extensión. Programa de Educación en Ciencia y Tecnología; Argentina.Fil: Maldonado Vélez, María Zoe. Universidad Nacional de Córdoba. Facultad de Ciencias Exactas, Físicas y Naturales; Argentina