# Divide-and-conquer: Constructing decision trees

--Originally published at TC2027 – Enro Blog

A Pollinator in Pink……..HFDF! flickr photo by The Manic Macrographer shared under a Creative Commons (BY) license

The problem of constructing a decision tree can be expressed recursively. First, select an attribute to place at the root node and make one branch for each possible value. This splits up the example set into subsets, one for every value of the attribute. Now the process can be repeated recursively for each branch, using only those instances that actually reach the branch. If at any time all instances at a node have the same classification, stop developing that part of the tree.

The only thing left to decide is how to determine which attribute to split on, given a set of examples with different classes. If we had a measure of the purity of each node, we could choose the attribute that produces the purest daughter nodes. The measure of purity that we will use is called the information and is measured in units called bits. Associated with a node of the tree, it represents the expected amount of information that would be needed to specify whether a new instance should be classified yes or no, given that the example reached that node.

For outlook We can calculate the average information value of these, taking into account the number of instances that go down each branch—five down the first and third and four down the second:

This average represents the amount of information that we expect would be necessary to specify the class of a new instance, given the tree structure in Figure 4.2(a) Before we created any of the nascent tree structures in Figure 4.2, the training examples at the root comprised  line yes and five no nodes, corresponding to an information value of

Thus

Continue reading "Divide-and-conquer: Constructing decision trees"

# Terminología de Amenazas Informáticas.

--Originally published at IsmaLga on Informatics Security.

Como ya lo he comentado en varias ocasiones en este blog, el escuchar de amenazas en internet en estos tiempos ya es algo común en las noticias así como el leer sobre filtración de información y hackeos masivos. Considero que a la hora de mostrarse estas noticias, se manejan muchos conceptos que la mayoría de la población no entiende. Es por esto, que he decidido hacer una guía de conceptos para que cualquier persona pueda estar más familiarizada con los términos utilizados en la seguridad informática.

Malware: Corresponde a la abreviación de malicious software. Engloba a todo tipo de programa que tiene como objetivo dañar un sistema informática o causar mal funcionamiento.

Phishing: Es la suplantación de la identidad digital de una persona. Las credenciales de acceso a los servicios del usuario son conseguidos de manera fraudulenta.

Ingeniería Social: Obtención de información de usuarios a través de manipulación de los usuarios.

Spam: Correo electrónico basura. Son enviados usualmente de forma masiva y buscan perjudicar de alguna manera al receptor. Usualmente son utilizados para actos de phishing.

Fraude Cibernético: Estafas que utilizan la red para realizar transacciones ilícitas.

Gusanos: Malware que tiene la capacidad de duplicarse a sí mismo  y se propaga de computadora en computadora.

Spyware: Programa espía que recopila la información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento del usuario.

Troyanos: Programa malicioso que se presenta como legítimo pero al ejecutarlo brinda acceso remoto al equipo afectado.

Adware: Programa que muestra publicidad no deseada con el fin de generar lucro del anunciante.

Hackeo: Acceder de forma intencional a sistemas o información de forma no autorizada con el objetivo de utilizar esa información.

# Keeping a Secret, that is, Data Confidentiality

--Originally published at Bytes of Mind

This time, we are going to be talking about data confidentiality and how it was handled in my STATS project. To give a little recap, there is more to confidentiality than just making data private,rather, it’s about keeping the needed information private, and letting the user know what it needs to know.

On our project we were handling four different types of users: students, teachers, principal and admin, and each had a different level of access to information. First we have the students, who are able to see their average scores based on they perform on the game Mateoro. Then we have teachers, who can see the average score for each student in their class, an average of the whole group and a comparison between students. After that we have the principal, who can see the same information as a teacher but for every group in the school. And finally we have the admin, who can’t see test results, but is able to add new users (with the exception of a principal) to the or edit some of their information (such as name, date of birth, class, etc.). This is deliberately handled such that students can’t compare their scores through our platform, or that teachers can’t measure the progress of classes not related to them.

This ensures that data is confidential between users, but what about the database? Well, once again, this is where the power of encryption comes in. By running our data through an encryption algorithm we can ensure that data can’t be interpreted even if someone can get their hands on it. Thus, we can ensure that the data can reach their respective users while keeping it safe from people looking from the outside or even from the inside, since the data is basically useless without

Continue reading "Keeping a Secret, that is, Data Confidentiality"

# Keeping a Secret, that is, Data Confidentiality

--Originally published at Bytes of Mind

This time, we are going to be talking about data confidentiality and how it was handled in my STATS project. To give a little recap, there is more to confidentiality than just making data private,rather, it’s about keeping the needed information private, and letting the user know what it needs to know.

On our project we were handling four different types of users: students, teachers, principal and admin, and each had a different level of access to information. First we have the students, who are able to see their average scores based on they perform on the game Mateoro. Then we have teachers, who can see the average score for each student in their class, an average of the whole group and a comparison between students. After that we have the principal, who can see the same information as a teacher but for every group in the school. And finally we have the admin, who can’t see test results, but is able to add new users (with the exception of a principal) to the or edit some of their information (such as name, date of birth, class, etc.). This is deliberately handled such that students can’t compare their scores through our platform, or that teachers can’t measure the progress of classes not related to them.

This ensures that data is confidential between users, but what about the database? Well, once again, this is where the power of encryption comes in. By running our data through an encryption algorithm we can ensure that data can’t be interpreted even if someone can get their hands on it. Thus, we can ensure that the data can reach their respective users while keeping it safe from people looking from the outside or even from the inside, since the data is basically useless without

Continue reading "Keeping a Secret, that is, Data Confidentiality"

# Para navegar seguro en la Web.

--Originally published at IsmaLga on Informatics Security.

Navegar en la Web se ha vuelto algo común para todos nosotros. En 2017 tenemos un mundo al alcance de nuestros dedos gracias a nuestros smartphones. La penetración del uso de smartphones en la sociedad ha crecido bastante lo cual ha generado que grupos malintencionados busquen aprovecharse de la desinformación que existe sobre el uso de internet y los teléfonos para cometer actos de crimen cibernético. En este post haré una listra de consejos para las personas que comienzan a explorar internet por primera vez, estos consejos buscarán garantizar una experiencia segura para ti como usuario y la protección a tus datos.

## Actualiza el software de tu dispositivo y utiliza un navegador web seguro.

Los navegadores web más populares ofrecen un filtro ante ataques de malware y phishing. Los tres navegadores más populares Google Chrome, Mozilla y Microsoft Edge ofrecen estos sistemas de protección, donde la URL de un sitio es checada antes de ser cargada por el navegador. De igual manera, es importante que actualices el software de tu sistema operativo ya que actualizaciones de seguridad se suelen incluir en las actualizaciones, esto te permitirá estar protegido por una vía adicional. Puedes conseguir los navegadores mencionados en los siguientes enlaces:

## Protege tu información a través de ajustes sencillos.

Desactivar funciones como el autocompletar del navegador pueden prevenir el acceso no autorizado a datos importantes como tu información personal, contraseñas, tarjetas, etc. Por otro lado, desactivando cookies puedes mejorar tu privacidad al navegar en la web. También, bloquear ventanas emergentes te protegerá del ver anuncios con fines malintencionados. A continuación puedes encontrar guías para esto:

## Confirma que navegas en un sitio seguro gracias a HTTPS.

Una forma de validar la seguridad

Continue reading "Para navegar seguro en la Web."

# Modelos de Seguridad

--Originally published at IsmaLga on Informatics Security.

Para el diseño y análisis de sistemas de software que sean seguros se deben de utilizar modelos de seguridad. Estos modelos incorporan la política de seguridad que deberá ser reforzada en el sistema y representa los deseos de los que crean políticas de seguridad de que ciertas reglas se sigan por los sistemas informáticos.

Por ejemplo, si la política de seguridad del software dice que el usuario debe de estar autorizado para acceder a ciertos objetos, el modelo de seguridad deberá de proveer las relaciones matemática y fórmulas explicando como el usuario puede acceder a los objetos a través de métodos definidos y específicos. Después de esto, se hace un mapeo de los componentes y mecanismos que necesitan ser codificados y desarrollados para cuidar el acceso a los objetos.

En este post, me dedicaré a hablar de dos modelos que buscan proveer confidencialidad. Estos modelos son Bell-LaPadula y Biba.

### Modelo Bell-LaPadula

Este modelo fue desarrollado a partir de la preocupación de las fuerzas armadas de EEUU por la seguridad de sus sistemas y la filtración de información confidencial. Fue el primer modelo matemático de una política de seguridad multinivel usado para definir el concepto de una máquina de estados segura así como modos y reglas de accesoo. El objetivo principal de este model es prevenir que información secreta sea accedida sin autorización.

Los niveles que implementan este modelos son llamadas sistemas con seguridad multinivel ya que permite que usuarios con distinto nivel de acceso a la información usen el sistema y la información a la que se accede sea procesada de acuerdo a las clasificaciones de los usuarios.

El acceso a los datos es permitido a partir del nivel de clasificación que tienen los datos que serán accedidos, los derechos de acceso forman un lattice que Continue reading "Modelos de Seguridad"

# Responsabilidades Legales en Seguridad Informática.

--Originally published at IsmaLga on Informatics Security.

En posts anteriores he hablado de la ética en la seguridad informática e incluso hice un post sobre el ethical hacking. La ética nos habla sobre lo que es aceptado por la sociedad en base a convenciones morales. La ética nos muestra un camino sobre el como comportarnos de acuerdo a nuestra sociedad. En este post hablaré sobre las responsabilidades legales en seguridad informática, más allá de los códigos de ética y las normas de comportamiento. Las responsabilidades legales surgen a partir del deber de buscar reparar un daño causado o un incumplimiento de algo previamente acordado e involucran a las autoridades gubernamentales como procuradoras de justicia y medios de vigilancia para el cumplimiento de las responsabilidades legales.

Ante el crecimiento que ha tenido internet en las últimas decadas y la gran cantidad de información que es generada, surgió la necesidad de legislar sobre el comportamiento que debemos de seguir en el manejo de sistemas de información. Para hablar en un marco más amplio y en lo que es internacionalmente aceptado, me referiré a los Delitos Informáticos que son reconocidos por la Organización de las Naciones Unidas (ONU).

La ONU en el documento United Nations Manual on the Prevention and Control of Computer-related Crime reconoce como como delitos informáticas las siguientes conductas:

1. Fraude cometido por manipulación de computadoras.
2. Falsificación Informática
3. Daños o modificaciones a programas e información de computadora.
4. Acceso no autorizado a sistemas y servicios informáticos.
5. Reproducción no autorizada de programas de computadora legamente protegidos.

Legislar en materia de cibercrimen ha traído grandes retos para los gobiernos como la recolección de datos de sistemas informáticos, la reforma a las leyes, obligaciones de cooperación entre distintas agencias, problemas con datos personales y la validez de la evidencia generada por una computadora. Estos retos son problemas con los Continue reading "Responsabilidades Legales en Seguridad Informática."

# TC2027 Security Class Review

--Originally published at Eric tries to write down cool things

What did I learn through the semester? if so, did I learn anything relevant? Did this semester was any different from my past ones?

If any of what I wrote doesn’t catch your attention, then a short conversational video might:

I can honestly say that from the security class I did not learn as much as I wanted (I did want to, but my sloppy behaviors didn’t help), but I sure did learn about Ken’s way of seeing the world or the understanding of ethics in our modern society. I can guarantee that Ken Bauer is a good teacher, he has a lot of knowledge about a bunch of programming subjects and he is always willing to give you some advice on any subject you need. He is always up for a chat and whenever he is not available, he is easy to book and find.

With Ken, we reviewed a movie called “the internet owns boy”  and that for sure changed a lot of my mindset. The movie described a bunch of events that are repeating in today’s news. For sure gives us something to keep in mind. (HOW THE H ARE THESE GUYS MAKING THE SAME MISTAKES AGAIN?). It was amazing for me to realize how much impact had this event with Adam Schwarz, it made me think of how sensible our information is and how much value we should give to it.

I sure did learn something from this class, but what I appreciate the most is having a better mindset about what I want to do in the future, because now I’ve got more ethical thinking from a programmer’s perspective, not just a dumb engineer enclosed in his computer.

The class was not perfect though, I think that because of our student nature, we have

Continue reading "TC2027 Security Class Review"

# Malware

--Originally published at Stories by Juan Andrés Rocha on Medium

Download the pirated movie, they said. The next day, my computer was slow, and my information was stolen. That’s a higher price than a \$10 movie, right?

Malware is short for Malicious Software, and it could be anywhere. This malware is created by cyber criminals who want to make money by stealing your information, or even by kidnapping your computer.

According to Norton, malware was first intended as a joke or a prank yo colleagues and transformed into this “vandalism and destruction” of computers. Most of the malware is created to generate profit via ads, or stolen information.

Malware can be obtained by downloading or opening documents whose origin we don’t know, or simply by OS errors.

The best way to protect ourselves against it, is by not clicking every link we see, unless we trust it, and always keep our apps and OSs updated.

# La fuga de información de Equifax en julio de 2017

--Originally published at Stories by Juan Andrés Rocha on Medium

*Ensayo realizado para la clase de Ética, Ciudadanía y Profesión*

Equifax es una empresa norteamericana que funge como gestor y proveedor de información y alfabetización financiera para personas y negocios en todo el mundo, además de proveer herramientas de análisis de datos que permiten tomar mejores decisiones crediticias y financieras (Equifax, s.f.). La empresa se encarga de administrar la información personal y crediticia de más de 820 millones de personas o entidades y de más de 91 millones de empresas en todo el mundo (Equifax, s.f.).

El 7 de septiembre de 2017 Richard Smith, CEO de Equifax, anunció que una de las aplicaciones web de Equifax había sufrido un ataque y habría sido vulnerada por ciber criminales, entre mayo y julio de este año (Gutzmer, 2017). Alrededor de 143 millones de usuarios estadunidenses, es decir el 45% de la población de Estados Unidos (Weise, 2017) resultaron afectados por este ataque, que dio acceso a los criminales a información como: nombres, fechas de nacimiento, números de seguro social, licencias de manejo y, en 209,000 casos, tarjetas de crédito de los usuarios (Haselton, 2017).

Según el comunicado oficial, el ataque fue descubierto el 29 de julio y “se actuó de inmediato para detener la intrusión”, dice Gutzmer (2017). Matthew Green, criptógrafo y experto en seguridad informática, dijo que 143 millones de registros perdidos solo pueden equivaler a “un hacker muy sofisticado y muy paciente o a un sistema de seguridad muy pobre” (Timberg, 2017).

La empresa notificó a los usuarios cuya información se vio comprometida por el ataque por medio de correo electrónico a partir del anuncio (Haselton, 2017), es decir, un mes y nueve días después del descubrimiento del ataque.

El 3 de octubre, el ahora ex-CEO, testificó frente a una audiencia en la House of Energy and

Continue reading "La fuga de información de Equifax en julio de 2017"