Conferencia

Ponencia 1
Hackeo Ético:

Disclaimer

La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País.

NO nos hacemos responsable del mal uso que se los asistentes puedan darle a la información.

Filosofía: Misión: La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país.

Visión: Ser una organización reconocida a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma.

Definir Riesgo Informático: Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización.

Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware, software ó humanware.

Antecedentes: Economía del hacking - El que sea más difícil de hackear se salva.

Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros.

Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica.

La economía actual se basa más en un sistema númerico que en una moneda física.

Activos a proteger

Servidores

Computadoras escritorio

Laptops y PDAs

Switches y Routers

Application software

Development Tools

Source Code

VPN Access

Backup Tapes

Email

Integridad de información

Todos los archivos en el servidor

Información del cliente

Nodos de red

DHCP

Disponibilidad del sitio web

Reputación

Moral de los empleados

Penetration Testing: Conjunto de pruebas organizadas de forma controlada para probar la seguridad informática y mecanismos de control en un sistema.

Las pruebas de penetración son diferentes a un análisis de vulnerabilidades y la diferencia es el realmente entrar y comprometer el sistema ó la información.

Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en:

1.- IP’s

2.- Servicios: HTTP, DNS, DHCP, FTP.

3.- Bases de datos.

4.- Sistemas Operativos.

5.- Hardware.

Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible.

Cuando se realiza un sabotaje muchas veces solo les bastará con destruir toda la información del servidor.

Algunas veces el objetivo de los atacantes es utilizar nuestros recursos para una botnet controlada por IRC ó la instalación de malware.

Armitage ataque estratégico: La estrategia siempre puede ayudarnos a planear de una manera sincronizada y por tiempos como vamos a atacar y deshabilitar una víctima

Armitage permite usar una interfaz gráfica y una base de datos sólida para almacenar y darle continuidad a un set de ataques.

La seguridad NO es un producto - Es un PROCESO e involucra personas.

Hay que ser preventivos en lugar de ser correctivos

Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud.

Ponencia 2
Estado del arte de la adopción de normas de seguridad de la información en El Salvador:
Sistema Nacional de Calidad

Marco Legal
Diario　Oficial No. 158, Tomo 392 del 26 de agosto 2011


Vigente a partir del 04 de septiembre 2011


Objetivos del Sistema Nacional de Calidad
Integrar la Infraestructura Nacional de la Calidad;

Promover la competitividad de los sectores en general, de bienes y servicios;

Contribuir a proteger los derechos de los consumidores y el goce a un Medio Ambiente sano, garantizando la seguridad y calidad de los productos, incluidos los alimentos y servicios, equipo e instalaciones, procurando la salud de las personas y la salud animal y vegetal.


Principios del Sistema Nacional de Calidad
Transparencia

Trato Nacional

Equivalencia

Participación

Armonización

Innovación　

Sustentabilidad


Consejo Nacional de Calidad


Sector Público: Ministerios de:
Economía
Hacienda;
Educación;
Agricultura y Ganadería;
Salud Pública;
Obras Públicas,
Medio Ambiente;
Turismo; Defensoría del Consumidor; y
Directores de Organismos.
Sector Privado:
Sector Productivo Industrial o Agroindustrial;
Pequeña y Mediana Empresa;
Sector Profesional.
Sector Académico:
Universidad de El Salvador;
Universidades Privadas.
ONG´s vinculadas a la Defensoría del Consumidor.Sector Científico y Tecnológico
Normalización

Actividad que establece, con respecto a problemas reales o potenciales, disposiciones para usos comunes y repetidos, dirigidas a la obtención de un nivel óptimo de ordenamiento en un contexto dado.



Norma Técnica
Documento establecido por consenso y aprobado por un organismo reconocido, que provee, para el uso común y repetitivo reglas, directrices o características para actividades o sus resultados, dirigido a alcanzar el nivel óptimo de orden en un contexto dado.


Consenso
Acuerdo general caracterizado por la ausencia de oposición sostenida a las decisiones emitidas por alguna parte importante de los interesados y por un proceso que supone tener en cuenta la opinión de todas las partes interesadas y reconciliar cualquier argumento conflictivo


Reglamento

Técnico
Contiene los requisitos técnicos ya sea directamente, por referencia ó incorporando el contenido de una norma, especificación técnica o código de buena práctica.

Ponencia 3
Buenas prácticas y Normas ISO para la Gestión de Sistema de Seguridad de la Información(SGSI"):
 Seguridad: La protección conferida a un sistema de información automatizado con el fin de alcanzar los objetivos aplicables de la preservación de la integridad, disponibilidad y confidencialidad de los recursos de los sistemas informáticos.

Gestión: Es la ausencia y ejercicio de responsabilidades sobre un proceso de la seguridad de la información(es decir sobre un conjunto de actividades.)

Riesgo: Efecto de incertidumbre sobre los objetos.

Aceptación del Riesgo: decisión de aceptar un riesgo y determinar el nivel del riesgo.

Nivel del Riesgo: Magnitud de un riesgo 2.61 expresados de una combinación de secuencias 2.15 y sus probabilidades 2.4

¿Qué Trabajamos en la Seguridad?
Amenazas.
Vulnerabilidad.
Con tanto temas de IP. Como los gestionamos.
Redes.
Firewalls
Voz sobre IP. (Telemática)
CallCenters.
Telefonía Celular
Servidores.
Base de Datos.
Lenguajes de Programación.
Redes inalámbricas.
Dispositivos de Transmisión Telemétrica.
De aquí la importancia de la implementar un sistema de gestión de la seguridad de la información:
Independiente.
Interdependiente.
Sistémico.
Que abone a la información.
Que ayude a la rendición de las cuenta.
Estructura de la norma 27001
Alcance
Referencias normativas
Términos y definiciones
Sistema de gestión de la seguridad de la información
Responsabilidad de la información.
Auditorías internas SGSI
Revisión del SGSI por la dirección
Mejora continua
Anexo a. Objetivos de control y controles
Anexo b. Principios OCDE y de esta norma
Correspondencia entre ISO9001:2000, ISO 14001:2004 y esta norma
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo

Planificar.

Definir el enfoque de evaluación del riesgo de la organización.

Establecer metodología de cálculo del riesgo.

Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo.

Identificar los riesgos asociados al alcance establecido.

Analizar y evaluar los riesgos encontrados.

Planificar.

Identificar y evaluar las opciones de tratamiento de los riesgos.

Aplicar controles.

Aceptarlo de acuerdo a los criterios de aceptación.

Evitarlo.

Transferirlo.

Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.

Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.

Preparar el Enunciado de Aplicabilidad.

Hacer.

Plan de tratamiento del riesgo.

Implementar el plan de tratamiento del riesgo.

Implementar controles seleccionados.

Definir la medición de la efectividad de los controles a través de indicadores de gestión.

Implementar programas de capacitación.

Manejar las operaciones y recursos del SGSI.

Implementar procedimientos de detección y respuesta a incidentes de seguridad.

Revisar.

Procedimientos de monitoreo y revisión para:

Detectar oportunamente los errores.

Identificar los incidentes y violaciones de seguridad.

Determinar la eficacia del SGSI.

Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.

Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.

Realizar revisiones periódicas.

Revisar.

Medición de la efectividad de los controles.

Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.

Realizar auditorías internas al SGSI.

Realizar revisiones gerenciales.

Actualizar los planes de seguridad a partir de resultados del monitoreo.

Registrar las acciones y eventos con impacto sobre el SGSI.

En resumen:
La norma 27001 constituye un conjunto de cualidades que se deben cumplir para garantizar la Seguridad de la Información.
Enmarca los elementos mínimos que se deben cumplir.
Está basada en la PDCA.
Es parte del gobierno corporativo de IT.
Esta norma es parte de otras normas y tienen elementos transversales.
Ponencia 4
La Nanotecnología como una tecnología emergente y convergente en la era digital: caso Costa Rica:
Tecnología convergentes y emergentes:
Fenómeno de inicios del siglo 2.1
Unificación de la ciencia y tecnología en el nivel de la nano escala.
10^{-9m= 1nm.}
Convergencia de la tecnología: combinación sinérgica de la ciencia y la tecnología.

¿Por qué es bueno lo pequeño?
Rápido.
Liviano.
Se puede desarmar.
Barato.
Energéticamente más eficiente.
Diferentes propiedades a pequeña escala.
¿Por qué las propiedades se mejoran?

*Gran relación área superficial respecto al volumen.

*Alta fracción de superficie atómica que está en el medio.

*Propiedades de los materiales que dependen del tamaño.

¿Por qué nano? A pesar de que los nanos materiales tiene múltiples aplicaciones…

Nano-partículas: Son pequeños cristales entre más pequeños más se comportan como una molécula.

Definición de Nanotecnología: La nanotecnología consiste en modificar átomos o moléculas para fabricar productos.

*La nanotecnología trabaja a nivel atómico y molecular.   Origen de La Nanotecnología.

Richard Feynman: teórico cuántico y premio nobel, en 1954 fue el primero en hablar en nanotecnología.

"¿Qué pasaría si nosotros pudiéramos arreglar los átomos uno por uno de la manera en que nosotros queremos?

¿Cómo hacer algo muy pequeño?
Top-down　(‘de arriba abajo’) y　bottom-up　(‘de abajo arriba’) son estrategias de procesamiento de información características de las　ciencias de la información, especialmente en lo relativo al　software. Por extensión se aplican también a otras ciencias sociales y exactas.

Ponencia 5
Microsoft Loves Linux :
Tipos de Nubes:

La computación en la nube

¿Por qué considerar la nube?

Velocidad

Escalabilidad

Economía

Confiable

Eficiente


¿Qué es Azure?
Azure es una plataforma de nube abierta y flexible que permite compilar, implementar y administrar aplicaciones rápidamente, en una red global de centros de datos administrados por Microsoft.  Puede compilar aplicaciones en cualquier lenguaje, herramienta o marco.

Puede integrar sus aplicaciones de nube públicas con el entorno de TI existente.

Azure ofrece un contrato de nivel de servicio de procesos del 99,95 %

Permite ejecutar soluciones en la misma nube que se utiliza en Skype, Office 365, Bing y Xbox Live.
Siempre disponible.
Abierta
Servidores ilimitados. Almacenamiento ilimitado.
Gran capacidad Ponencia 6
Impresión 3D:
¿Qué es la impresión en 3D?

El concepto de impresión está demostrando no tener límites; hoy las posibilidades han rebasado a la tinta y el papel. Esta tecnología también llamada, fabricación por edición, consiste en lo siguiente: un objeto es diseñado en una computadora, luego el boceto es enviado de modo virtual a una máquina , esta lee el modelo y comienza a imprimirlo capa por capa hasta completar un figura tridimensional.

Métodos y Técnicas impresión en 3D.

Partes de la Impresora 3D:  Extrusor
Hotend
Cama caliente
Ejes , X, Y, Z
Electrónica

¿Cómo funciona la impresora 3D?

Se crea un diseño 3D con un programa de computadora como CAD, Solidworks, 3ds max, etc.

Estos datos se envían a la impresora que creara la pieza en el material plastic  




 

Robot Nao

Nao (pronunciado ahora) es un robot humanoide autónomo, programable desarrollado por Aldebaran Robotics, una empresa de robótica francesa con sede en París. El desarrollo del robot comenzó con el lanzamiento del Proyecto Nao en 2004. El 15 de agosto de 2007, Nao reemplazado de Sony perro robot Aibo como el robot utilizado en la RoboCup Estándar Plataforma League (SPL), una competición internacional de fútbol de robots. La Nao era utilizado en RoboCup 2008 y 2009, y el NaoV3R fue elegido como la plataforma para el SPL a RoboCup 2010. Varias versiones del robot han sido puestos en libertad desde 2008. La Nao Académicos Edition fue desarrollado para las universidades y laboratorios con fines de investigación y educación. Fue lanzado a las instituciones en 2008, y se hizo disponible al público en 2011. Más recientes mejoras a la plataforma Nao incluye el 2011 Nao Next Gen y el 2014 Nao Evolution. Robots Nao se han utilizado con fines de investigación y educación en numerosas instituciones académicas de todo el mundo. A partir de 2015, más de 5.000 unidades Nao,

Historia: Aldebaran Robotics fue establecido en 2005 por Bruno Maisonnier, que había comenzado con anterioridad el desarrollo del robot en 2004. Seis prototipos de Nao fueron diseñados entre 2005 y 2007. En marzo de 2008, la primera versión de producción del robot, la Nao RoboCup Edición , fue puesto en libertad a los concursantes de RoboCup de ese año. La Nao Académicos Edition fue lanzado a las universidades, institutos de educación y laboratorios de investigación a finales de 2008. En el verano de 2010, Nao fue noticia a nivel mundial con una rutina de baile sincronizado en la Expo de Shanghai en China. En octubre de 2010, la Universidad de Tokio compró 30 robots Nao Nakamura por su laboratorio, con la esperanza de desarrollar los robots en activo ayudantes de laboratorio. En diciembre de 2010, un robot Nao se demostró haciendo una rutina de comedia stand-up, y una nueva versión del robot fue puesto en libertad, con los brazos esculpidos y motores mejorados. En mayo de 2011, Aldebarán anunció que iba a liberar el código fuente de control de Nao al público como software de código abierto. En junio de 2011, Aldebarán recaudó US $ 13 millones en una ronda de financiación de la empresa dirigida por Intel Capital. En 2013 , Aldebarán fue adquirida por la japonesa SoftBank Mobile por US $ 100 millones. En diciembre de 2011, lanzó el Aldebaran Nao Next Gen, que ofrece mejoras de hardware y software, tales como cámaras de alta definición, la mejora de la robustez, sistemas anticolisión y una velocidad de caminar más rápido. La Nao Evolution, que ofrece una mayor durabilidad, la mejora de la síntesis de voz multilingüe, mejora de forma y de detección facial y reconocimiento usando nuevos algoritmos, y una mejor ubicación de la fuente de sonido con cuatro micrófonos direccionales, fue lanzado en junio de 2014. Desde 2011, más de 200 instituciones académicas de todo el mundo han hecho uso del robot, incluyendo el Instituto Indio de Tecnología de la Información, Allahabad, la Universidad de Tokio, el Instituto Indio de Tecnología de Kanpur, Universidad del Rey Fahd de Arabia Saudita del Petróleo y minerales, y la Universidad Estatal de Montana En 2012, donó robots Nao se utilizaron para enseñar a los niños autistas en una escuela del Reino Unido.; algunos de los niños encontraron los, robots expresivos infantiles más fácil identificarse que los seres humanos. En un contexto más amplio, los robots Nao han sido utilizados por numerosas escuelas británicas para introducir a los niños a los robots y la industria de la robótica. A finales de 2014, más de 5.000 robots Nao estaban en uso con las instituciones educativas y de investigación en 70 países.

Diseño: Las distintas versiones de la robótica característica plataforma Nao ya sea 14, 21 o 25 grados de libertad (DOF). Un modelo especializado con 21 DOF y sin manos accionadas fue creado para la competición Robocup. Todas las versiones cuentan con un Académicos Nao unidad de medición inercial con acelerómetro, girómetro y cuatro sensores ultrasónicos que proporcionan Nao con la estabilidad y posicionamiento en el espacio. Las versiones patas incluyeron ocho resistencias de fuerza de detección y dos topes. La versión más reciente del robot, el 2014 Nao Evolution, cuenta con juntas metálicas fuertes y un mejor agarre y un sistema de localización de la fuente de sonido mejorada que utiliza cuatro micrófonos direccionales. El robot Nao es controlado por un sistema operativo basado en Linux especializada, llamada Naoqi. Los poderes OS del sistema multimedia del robot, que incluye cuatro micrófonos (para el reconocimiento de voz y la localización del sonido), dos altavoces (por multilingüe de texto a síntesis de voz) y dos cámaras de alta definición (por visión artificial, incluyendo el reconocimiento facial y forma). El robot también viene con un paquete de software que incluye una herramienta gráfica de programación ("chorégraphe"), software de simulación y un kit de desarrollo de software. Nao es, además, compatible con el Microsoft Robotics Studio, Cyberbotics Webots y el Gostai Urbi Studio.