V 32 N 69 FA

More documents

Recommendations

Info

ARTÍCULO DE INVESTIGACIÓN REVISTA DEL CENTRO DE GRADUADOS E INVESTIGACIÓN. INSTITUTO TECNOLÓGICO DE MÉRIDA. Vol. 32 NÚM. 69. PP. 76-82 DIC. 2017 ISSN 0185-6294 GESTIÓN SEGURA DE RESPALDOS DE DATOS EN LA NUBE. PROOF OF CONCEPT “CRYPTOBOX” Martínez-García, Holzen Atocha Instituto Tecnológico Superior Progreso Academia de Ingeniería en Sistemas Computacionales, Progreso Yucatán, México. CP 97320 Autor de contacto: hmartinez@itsprogreso.edu.mx Recibido: 01/diciembre/2017 Aceptado:26/diciembre/2017 Publicado: 31/diciembre/2017 RESUMEN El presente trabajo consta de un breve análisis de riesgos del modelo de cómputo en nube, llamado también cloud computing, basado en investigaciones realizadas por el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance (CSA), para así determinar las mejores prácticas en la implementación de respaldos que utilizan el nivel de infraestructura como servicio (IaaS, por sus siglas en inglés). Se propone una capa intermedia de seguridad que consta en cifrar los archivos desde el origen, para mantener a salvo los respaldos en caso de robo de los mismos. Se utiliza en primera instancia la nube comercial “Dropbox” y el software PoC (Proof of Concept) CryptoBox, desarrollo propio para demostrar los resultados de la propuesta. Palabras Clave: Archivos Seguros, Cifrado de Datos, Cómputo en Nube, Confidencialidad. ABSTRACT This work consists of a brief risk analysis of the cloud computing model, also called cloud computing, based on research conducted by the National Institute of Standards and Technology (NIST) and the Cloud Security Alliance (CSA), to determine the best practices in the implementation of backups that use the level of infrastructure as a service (IaaS, for its acronym in English). An intermediate layer of security is proposed that consists in encrypting the files from the origin, to keep safe the backups in case of theft of the same. The commercial cloud "Dropbox" and the software PoC (Proof of Concept) CryptoBox are first used to demonstrate the results of the proposal. Key words: Safe Files, Data Encryption, Cloud Computing, Confidentiality. INTRODUCCIÓN De acuerdo con Barrios, Lucero y Veras (2009), Internet “se ha transformado en una de las principales palancas del mundo moderno, convirtiéndose en poco tiempo en la red comunicacional más trascendental en toda la historia si la comparamos con los medios tradicionales ya conocidos por todos” (p. 2). Ellos afirman que, con el avance de las tecnologías e infraestructuras de Internet, también llegó lo que hoy conocemos como cómputo en la nube. El cómputo en la nube, o cloud computing, se define como un modelo que permite el acceso sobre demanda a recursos informáticos de una manera fácil, rápida y con facilidades de servicio dependiente de las necesidades del usuario o grupo de usuarios que hacen uso de este modelo. Además, en este modelo los usuarios utilizan los servicios sin la preocupación de donde se encuentran ejecutándose dichos servicios o cómo estas llegan hasta sus equipos de cómputo. Barrios et al. (2009) indica lo siguiente: La característica básica de la computación en la nube es que los recursos y servicios informáticos, tales como infraestructura, plataforma y aplicaciones, son ofrecidos y consumidos como servicios a través de la Internet sin que los usuarios tengan que tener ningún conocimiento de lo que sucede detrás. Esto debido a que los usuarios no tienen idea alguna sobre la infraestructura que opera para ofrecer los servicios (p. 2). Así, es posible ejemplificar el cómputo en nube con el agua potable, donde el vital líquido es potabilizado y bombeado con una infraestructura propia del proveedor, que le permite llegar a la casa del usuario lista para ser utilizada. El proceso realizado para hacer útil el agua para el consumo humano es transparente para el usuario y no se realiza en su hogar. De igual forma, los servicios de cómputo ofrecidos permiten realizar en línea todos los procesos de usuario y almacenamiento de información en lugar de realizarlo en una computadora local. Esto trae como consecuencia que los equipos de cómputo locales no deben ser obligatoriamente sofisticados y el consiguiente ahorro en el costo del equipo, consumo de energía y software de aplicación. El modelo de nube aparece cada vez con mayor frecuencia en todos los ámbitos. Son muchas ya las empresas que proveen sus servicios basados en este modelo, entre las cuales es posible mencionar algunas de alta injerencia como Amazon, Google o Microsoft. Hoy en día es posible utilizar recursos alojados completamente en la nube, con mínimos T E C N O L Ó G I C O N A C I O N A L D E M É X I C O . I . T . M É R I D A
GESTIÓN SEGURA DE RESPALDOS DE DATOS EN LA NUBE. PROOF OF CONCEPT “CRYPTOBOX” costos, reducción de espacios físicos y con el uso de la tecnología prácticamente desde cualquier dispositivo. Marco de referencia A continuación, se proporcionan datos de algunos eventos de seguridad relevantes basados en el modelo de computación en la nube. Esto con el propósito de poner al lector en un contexto definido en cuanto a la propuesta se refiere. En diciembre de 2009, investigadores de seguridad descubren que operaba sobre Amazon EC2 (Elastic Compute Cloud, nube de cómputo elástica) el botnet Zeus. El artífice o centro de control de este malware aprovechaba las bondades de la infraestructura cloud que Amazon Web Services ofrece. Los hackers penetraron la infraestructura y vulneraron primeramente un sitio web almacenado en Amazon, y seguidamente instalaron secretamente el control de mando del botnet. Zeus ha sido catalogado como un malware que roba datos confidenciales para suplantación de identidad y que ha sido responsable de fraudes bancarios estimados en más de 100 millones de dólares. Años más tarde, en enero de 2011, el investigador alemán Thomas Roth anuncia que ha sido capaz de entrar en una red inalámbrica cifrada con el acceso protegido WPA-PSK con la ayuda de un software de fuerza bruta diseñado por él y con soporte sobre la infraestructura de Amazon EC2, lo cual le llevó veinte minutos, con una mejora en el tiempo en un segundo intento, el cual disminuyó a 6 minutos. En la presentación de su herramienta en Black Hat 2011, la cual es una convención de hackers, investigadores e interesados por la seguridad informática, ha mencionado que es posible entrar a una red cifrada con tan solo dos dólares, según los precios de Amazon Web Services. Durante el mes de febrero de 2011, el servicio de correo de Google, llamado Gmail, reinició por accidente las cuentas de 150,000 usuarios, con borrados de los mensajes y contactos de todos ellos. Todo se debió a una actualización del sistema que contenía un bug, que impidió el acceso a los buzones, lo que forzó a deshacer los cambios. Durante 30 horas no se pudo visualizar los mensajes de las cuentas afectadas, como consecuencia de que los respaldos fueron borrados también. Se procedió al backup de cinta, el cual siempre es la última opción por el tiempo prolongado de su restauración, como solución a esta problemática. En el mes de abril de 2011, el servicio EC2 de Amazon Web Services se ve involucrado de nuevo en un ataque contra Play Station Network, propiedad de la multinacional Sony Corporation. Los atacantes registraron una cuenta falsa para rentar el servicio y lanzar el ataque desde ahí. Esto repercutió en 70 millones de víctimas con sus datos en manos de personas desconocidas. Se criticó a Amazon sus políticas de verificación de datos en el registro. Sony por su parte creó el puesto de jefe de seguridad de la información y reestructuró el esquema de seguridad de Play Station Network. En julio de 2012, el servicio de almacenamiento en la nube conocido como Dropbox sufre un robo de contraseña de uno de sus empleados, lo cual logró dejar al descubierto la lista de correos electrónicos de cientos de usuarios que recibieron propaganda sobre casinos en línea y sitios de juego. Dropbox alertó a sus usuarios y reforzó sus políticas y controles de seguridad. El 3 de agosto de 2012, el periodista de la revista Wired, Mat Honan, fue víctima de ataques de suplantación de identidad y los atacantes se hicieron de sus cuentas de iCloud, Gmail, Twitter y Gizmodo, además de borrarle información confidencial y única, tal como 18 meses de fotografías de su hija. Los hackers en turno aprovecharon vulnerabilidades de seguridad en Amazon y Apple. Honan (2012) expresó “Mi experiencia me lleva a creer que los sistemas basados en la nube necesitan fundamentalmente diferentes medidas de seguridad. Los mecanismos de seguridad basados en contraseñas no son suficientes en la era de computación en la nube” (párr. 7) El 24 de diciembre de 2012, el sistema de videos Netflix registró una falla que impactó a los suscriptores de Canadá, Estados Unidos y Latinoamérica. En esas regiones el servicio no se encontró disponible durante aproximadamente 20 horas, a causa de la caída de un servicio en nube prestado a Netflix por Amazon Web Services. El problema se solucionó por completo el 25 de diciembre por la noche. En el mes de enero de 2013, Facebook emite un comunicado de prensa donde reconoce haber sufrido un ataque informático de una fuente no identificada, lo que vulneró y comprometió la seguridad de sus sistemas, así como la infraestructura de la propia red social. De acuerdo al comunicado, algunos trabajadores, como parte de su trabajo, visitaban un sitio de un desarrollador para móviles que estaba comprometido con un malware hasta esa fecha desconocido, lo que llevó a todos los equipos conectados al sitio que se infectaran y el malware no fuera detectado por los dispositivos físicos y lógicos de seguridad. El malware aparentemente estaba diseñado para lograr de manera exclusiva la intrusión. De acuerdo a Facebook Security (2012) no existe “evidencia de que los datos de los usuarios de Facebook hayan quedado comprometidos en este ataque” (parr. 8). El 1 de febrero de 2013, Twitter es víctima de un ataque que le reditúa a los hackers 250,000 cuentas de usuarios con sus respectivas contraseñas. Se detectaron patrones inusuales de acceso y en la investigación fue descubierto uno de los ataques en el momento en que sucedía. Bob Lord, el director de seguridad informática de Twitter explicó que las investigaciones hasta el momento indican que los atacantes han logrado acceso a cierta información de los usuarios. En agosto de 2014 se filtró una gran cantidad de fotografías de varias famosas en las cuales se encontraban en situaciones REVISTA DEL CENTRO DE GRADUADOS E INVESTIGACIÓN. INSTITUTO TECNOLÓGICO MÉRIDA Vol. 32 NÚM. 69 77
Page 1 and 2:
REVISTA DEL CENTRO DE GRADUADOS E I
Page 3:
Page 6 and 7:
Page 8 and 9:
CULTIVO DE NOPAL DE MANERA ORGÁNIC
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
ARTÍCULO DE INVESTIGACIÓN REVISTA
Page 16 and 17:
MEX COB, E.F., DURÁN MONTERO, A.A.
Page 18 and 19:
Page 20 and 21:
Page 22 and 23:
APLICACIÓN MÓVIL Y SISTEMA WEB PA
Page 24 and 25:
Page 26 and 27:
Page 28 and 29:
Page 30 and 31:
ARTÍCULO DE INVESTIGACIÓN DOCUMEN
Page 32 and 33: VEGA ESPINOSA, R.I. Y DÍAZ MENDOZA
Page 34 and 35: SIMULACIÓN COMPUTARIZADA DE UN PRO
Page 42 and 43: INFLUENCIA DE LOS NIVELES DE DEPRES
Page 44 and 45: INFLUENCIA DE LOS NIVELES DE DEPRES
Page 46 and 47: ADAPTACIÓN Y CARACTERIZACIÓN DE 7
Page 48 and 49: ADAPTACIÓN Y CARACTERIZACIÓN DE 7
Page 50 and 51: ARTÍCULO DE INVESTIGACIÓN REVISTA
Page 52 and 53: PARDÍÑAZ ALCÁNTARA, D., VELA XOO
Page 56 and 57: PARDÍÑAZ ALCÁNTARA, D., RODRÍGU
Page 58 and 59: PARDÍÑAZ ALCÁNTARA, D., RODRÍGU
Page 60 and 61: CORRECTA CORRELACIÓN Y APLICACIÓN
Page 62 and 63: CORRECTA CORRELACIÓN Y APLICACIÓN
Page 64 and 65: ANÁLISIS DE SECUENCIAS HOMÓLOGAS
Page 70 and 71: EVALUACIÓN DEL DESEMPEÑO EN UNA M
Page 72 and 73: EVALUACIÓN DEL DESEMPEÑO EN UNA M
Page 76 and 77: CEBALLOS GÓMEZ, S.G. Figura 2. Mec
Page 78 and 79: CEBALLOS GÓMEZ, S.G. Poste vertica
Page 80 and 81: CEBALLOS GÓMEZ, S.G. • Un corte
Page 84 and 85: MARTÍNEZ-GARCÍA, H.A. comprometed
Page 86 and 87: MARTÍNEZ-GARCÍA, H.A. Figura 7. R
Page 88 and 89: MARTÍNEZ-GARCÍA, H.A. CERT (2013)
Page 90 and 91: CAUSAS Y CONSECUENCIAS DE LOS ACCID
Page 96 and 97: IMPLEMENTACIÓN DE MÉTODOS DE ASEG
Page 98 and 99: IMPLEMENTACIÓN DE MÉTODOS DE ASEG
Page 100 and 101: PROTOTIPO DE UN SISTEMA DE RIEGO PO
Page 112 and 113: PROPUESTA DE MEJORA EN CENTRO DE DI
Page 118 and 119: CASTILLO MÁRQUEZ, E.G. Y CASTRO Á
Page 120 and 121: CASTILLO MÁRQUEZ, E.G. Y CASTRO Á
Page 124 and 125: VALLADARES GAMBOA, G.E., GARRIDO VI
Page 128 and 129: PERAZA GONZÁLEZ, E.E., MONTAÑEZ J
Page 130 and 131: PERAZA GONZÁLEZ, E.E., MONTAÑEZ J
Page 132 and 133:
ARTÍCULO DE DIVULGACIÓN REVISTA D
Page 134 and 135:
LA CALIDAD EN EL SERVICIO EN LOS MU
Page 136 and 137:
LA CALIDAD EN EL SERVICIO EN LOS MU
Page 138 and 139:
CAMBIOS DEL CONTENIDO DE HUMEDAD DE
Page 140 and 141:
ARTÍCULO DE INVESTIGACIÓN REVISTA
Page 142 and 143:
SÁNCHEZ LÓPEZ, J.A., TAMAYO CORTE
Page 144 and 145:
SÁNCHEZ LÓPEZ, J.A., TAMAYO CORTE
Page 146 and 147:
Page 148:
¡FELICIDADES A LA COMUNIDAD TECNOL
show all

V 32 N 69 FA

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?