5´ Talks

Llamado a participación

CIBSI'09 introduce una sesión de charlas de cinco minutos donde los participantes pueden exponer sus recientes trabajos como así también sus trabajos en desarrollo. La sesión se realizará antes de la cena de gala y presenta una excelente oportunidad para poder recibir comentarios sobre la presentación durante el evento. Cualquier participante de CIBSI'09 puede proponer exponer una charla de cinco minutos.

Los presentadores deben tratar de usar la mínima cantidad de slides (por ejemplo, tres); después de todo la presentación solo dura cinco minutos! Los resúmenes de las charlas estarán disponibles electrónicamente pero no serán publicados en los proceedings de la conferencia. Las slides deben estar en formato PDF y serán requeridas el mismo día que se realiza la sesión.

Para dar una charla de cinco minutos se debe enviar un email a Alejandro Russo (russo@chalmers.se) indicando el titulo y un resumen (en Español o Ingles) antes del Lunes 9 de Noviembre, 2009. Las charlas son organizadas en el mismo orden en que se van recibiendo los resúmenes.

Trabajos presentados

A continuación se listan los trabajos presentados en la sesión, incluyendo Autores, Títulos y las diapositivas de la presentación.

Antonio Urbano (España). Cross-Layer security

Abstract: Con esta ponencia se decribirá brevemente la arquitectura de seguridad actual en las diferentes capas. Se analizará el rendimiento de dicha arquitectura al aplicarla en redes inalámbricas y se propondran mejoras basadas en una arquitectura cross-layer.

Hugo H. Fernández (Universidad Nacional del Comahue, Argentina). Implementación de Honeynets en Organizaciones de la Región

Abstract: El trabajo consiste en efectuar un relevamiento de la infraestructura informática de organizaciones tanto del ámbito público como privado de la región. A partir de ello diseñar una Honeynet virtual implementando una arquitectura "tipo" que refleje los servicios que tengan en común. Finalmente, someter dicha arquitectura a ataques y efectuar un análisis de lo ocurrido para proponer distintos mecanismos para mitigar o reducir el impacto de los eventos de seguridad.

Carlos Luna (Universidad de la República, UDELAR, Uruguay). Experiencias en la Especificación y el Análisis Formal de Modelos de Seguridad para Dispositivos Móviles Interactivos

Abstract: Los dispositivos portátiles, tales como teléfonos celulares y asistentes de datos personales, permiten almacenar información confidencial y establecer comunicaciones con entidades externas. Generalmente, los usuarios pueden descargar e instalar nuevas aplicaciones de fuentes no confiables, que conviven junto con las instaladas por el fabricante del dispositivo o proveedor de servicios de comunicación. En este escenario, es importante garantizar la confidencialidad e integridad de los datos almacenados, así como la disponibilidad del servicio, aún cuando una aplicación maliciosa trate de hacer uso indebido de las funciones del dispositivo. La plataforma Java Micro Edition (JME), una tecnología para desarrollo de software Java, provee el estándar Mobile Information Device Profile (MIDP) que facilita el desarrollo de aplicaciones y especifica un modelo de seguridad para el acceso controlado a recursos sensibles del dispositivo. El modelo está construido sobre la noción de dominio de protección, que puede ser concebido como un conjunto de permisos. Un modelo alternativo que extiende los permisos presentes en MIDP ha sido propuesto por Besson, Dufay y Jensen. Este modelo introduce una noción de multiplicidad asociada a los permisos y flexibiliza la forma en la que el usuario puede conceder acceso a los recursos del dispositivo, a las aplicaciones que son utilizadas en el mismo.

En esta charla se comentarán algunos trabajos realizados, en el Instituto de Computación de la UDELAR (Uruguay), sobre la especificación y el análisis formal de componentes de modelos de seguridad para dispositivos móviles interactivos. En particular, se describirán experiencias relacionadas con las tres generaciones de MIDP y se presentará un framework que permite definir y comprar formalmente políticas de control de acceso, que pueden ser aplicadas por variantes de los modelos de seguridad considerados.

Esp. Marta Castellaro - MSc. Susana Romaniz (UTN, Facultad Regional Santa Fe, Argentina). De la seguridad como un atributo de calidad del software, al proceso de desarrollo de software seguro

Abstract: En la ponencia que hemos presentado en este Congreso, analizamos la aplicación del Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas; es uno de los productos de un grupo de trabajo interdisciplinario, que se propuso “analizar la seguridad como un atributo organizacional transversal en los sistemas de información”.

Nuestro marco de trabajo asume que la seguridad de un sistema posee su sustento último en las políticas de seguridad de toda la organización, y está presente en todo el ciclo de vida del software. Asímismo, reconoce que la “producción de software seguro” es hoy una disciplina emergente, que presenta conceptos, enfoques, metodologías y tecnologías específicas. Este grupo viene trabajado sobre el tratamiento de la seguridad en el análisis de requerimientos, el modelado y diseño, la implementación, configuración y operación de software seguro. Tiene como meta generar pautas que ayuden a las organizaciones a incluir a la seguridad en las distintas etapas de los proyectos de sistemas de información.

Actualmente ha definido tres ejes a profundizar: los patrones de seguridad, el código seguro y los modelos de madurez de la gestión de software seguro. Esto se basa en la siguiente visión:

Los patrones de seguridad, cuyo concepto difiere de los tradicionales patrones de diseño, proveen tanto estructuras como comportamientos, es decir, proponen una solución a algo concreto que se sugiera hacer, o un proceso a seguir en determinadas circunstancias. Están surgiendo tanto estándares de presentación como sistemas (o lenguajes) de patrones, y los catálogos existentes se están extendiendo y categorizando, cubriendo casi en su totalidad las fases del ciclo de vida del proceso de desarrollo de software.
La inspección estática de código creado permite evitar una cantidad importante de errores y potenciales vulnerabilidades, con un esfuerzo e inversión moderada. Por otra parte las metodologías de codificación segura se encuentran en plena evolución.
El aseguramiento de la calidad de software también ha alcanzado al desarrollo de software seguro, y las buenas prácticas se han ido consolidando, convirtiéndose en frameworks con dominios y prácticas sistematizadas.

Luciano Bello (Argentina). K-profiler: recolección de un conjunto de datos públicos para keystroke dynamics

Abstract: El experimento K-profiler tiene por objetivo recolectar información de múltiples agentes para poder analizar su patrón de tipeo. Esta información es conocida como keystroke dynamics y trata de caracterizar a las personas por el pequeño tiempo que transcurre entre tecla y tecla al escribir. Es una característica biométrica que requiere nuevos algoritmos para poder distinguir personas. Para el estudio de estos algoritmos hay algunos conjuntos de datos muy populares que se suelen utilizar como compararlos. Pero estos conjuntos de datos fueron recolectados hace varios años y con metodologías no siempre claras y útiles. Por esta razón nos se embarcamos en la tarea de generar un nuevo conjunto de datos.

Martin Barrere Cambrún (Grupo de Seguridad Informática, Instituto de Computación Facultad de Ingeniería, Universidad de la República, Montevideo, Uruguay). Automatización de Procesos en Análisis Forense Informático

Abstract: La recolección de evidencia digital es una tarea delicada, que exige un esfuerzo y una experiencia considerable por parte del analista que realiza la tarea. Una buena disciplina en la ejecución de las tareas, desde el punto de vista técnico,implica mayores oportunidades para que la evidencia sea admisible en un proceso judicial. Contar con herramientas que automaticen el trabajo conlleva a una menor probabilidad de error durante el proceso.

El grupo de seguridad informática de la Facultad de Ingeniería, está desarrollando trabajos de investigación en el área de automatización de procesos. El presente trabajo, actualmente en curso, propone una extensión al lenguaje OVAL (Open Vulnerability and Assessment Language) como mecanismo de especificación de procedimientos de recolección de evidencia volátil y presenta el diseño de una herramienta extensible de recolección de evidencia (XOvaldi), basada en especificaciones OVAL extendidas (XOval).

Alberto Pardo (InCO, Uruguay). Un compilador que preserva tipos de seguridad escrito en Haskell.

Abstract: Mostramos los aspectos principales de la implementación, en el lenguaje funcional Haskell, de un compilador que preserva la propiedad de no interferencia entre un lenguaje imperativo sencillo y un código assembler estructurado con primitivas de loop y branch. Lo relevante de la implementación es el uso de características novedosas de Haskell, como lo son los GADTs (Generalised Algebraic Data Types) y las type families. El uso de GADTs nos permite modelar, tanto para el lenguaje fuente como para el lenguaje objeto, el correspondiente sistema de tipos para no interferencia como parte de la descripción de su sintaxis abstracta. Esto hace posible, por un lado, usar el type checker de Haskell para verificar que los programas de dichos lenguajes satisfacen las restricciones de seguridad, y por otro, verificar que el compilador es correcto (en el sentido de preservar la propiedad de seguridad) por construcción.

Emilio Hernández (Venezuela). SINAPSIS: Sistema de Información Nacional Público de Salud para la Inclusión Social

Abstract: En el marco del diseño de un Sistema de Información de Salud de alcance nacional, centrado en la Historia Clínica de los pacientes, se desea implementar una serie de módulos de software en el contexto de una jerarquía de memoria de tres niveles. En el nivel más bajo estarán los centros de salud desde los que se accede al sistema, en el nivel medio estarán los servidores donde se almacenan los datos, de manera regionalizada y en el nivel superior una plataforma grid que contiene un respaldo (backup) de los datos de todos los servidores. Esta estructura por niveles requiere de investigación y de muchas propuestas y soluciones diseñadas ad hoc, relacionadas con Ingeniería de Software, interoperabilidad, seguridad de datos, garantía de anonimato y manejo de grandes volúmenes de datos (especialmente imágenes y videos médicos), entre otros. El proyecto se desarrolla sobre la base de articular las propuestas que se hagan en todos los ámbitos relevantes al desarrollo del sistema.

Alejandro Russo (Chalmers, Suecia). Politicas de integridad de datos provista mediante una libreria en Haskell

Abstract: Las politizas de integridad de datos buscan prevenir la destrucción, accidental maliciosa, de la información. En esta charla nos focalizamos en tres clases de políticas de integridad útiles cuando se diseña programas: control de acceso (donde se gobierna quien accede a los datos), invariantes de datos (que establecen propiedades que ciertos datos deben cumplir para tener sentido), y control de flujo de la información (que controlan que datos corruptos no afecten componentes sensibles). Presentamos un ejemplo donde estas políticas son aplicadas y brevemente proponemos una librería que, cuando utilizada, pueda garantizar estas clases de políticas de integridad de datos.