Seguridad en redes
Análisis en torno a las tecnologías de privacidad en redes. Anonimato en transmisión de datos Por el Dr. Javier Areitio
Prof. Dr. Javier Areitio En el presente artículo se analizan diversas tecnologías de privacidad para redes. Es un hecho conocido que la inter- Bertolín – E.Mail: ceptación de sesiones de comunicación usuales proporciona una gran cantidad de datos privados de tráfico incluso [email protected] aunque se encuentre cifrada. Actualmente se observa un elevado crecimiento de aplicaciones del anonimato de las Catedrático de la comunicaciones electrónicas en ámbitos como los negocios, nivel corporativo, personal además de su uso tradicional Facultad de Ingeniería. a nivel gubernamental. Tecnologías de seguridad clásicas en entornos de negocio como VPN (Virtual Private Network) ESIDE. tanto basadas en SSL (sin cliente) como con cliente basada en IPSec no proporcionan privacidad ya que son suscepti- Director del Grupo de bles de ataques a la identidad y a la localización. Hoy en día existen muchos negocios que esperan construirse sobre Investigación Redes y redes de anonimato. Se observa un incremento de proveedores de servicios de anonimato gratuitos y de pago para Sistemas. hosting de Email y de servidores físicos y virtuales, servicios de proxy inverso Internet, proveedores de pagos (tarjetas Universidad de Deusto. visa prepago), etc.
Introducción
La privacidad es fundamental a la hora de poder protegerse contra todo tipo de usuarios maliciosos y activi- dades fraudulentas, en entornos de colaboración e interacción confiable. La privacidad es necesaria para prote- ger los siguientes elementos: (i) A la fuente de la información. (ii) Al destino de la información. (iii) A la ruta de transmisión de dise- minación de la información. (iv) Al propio contenido de la infor- mación. Examinemos algunos aspectos relacionadas con la privacidad:
(1) Debido a que la semántica de la información cambia con el tiempo, contexto e interpretación de las per- sonas, algunas consideraciones útiles para privacidad son: (a) La replicación, equivalencia y se- mejanza. (b) La acumulación y generalización. (c) La exageración y mutilación. (d) El anonimato y Crowds (multitu- des para ocultar un sujeto). (e) Los permisos de acceso, la auten- ticación y las vistas.
(2) Debido a que la dirección exacta sólo la puede conocer el vecino de un nodo (correspondiente), algunas consi- deraciones útiles para privacidad son: (a) La petición se reenvía hacia una dirección y posición apropiada. (b) La granularidad de la localización puede cambiarse. (c) Eliminar la asociación entre el con- tenido de la información y la identi- dad de la fuente de información.
34 REE • Noviembre 2009 Seguridad en redes
(d) Alguien puede saber la fuente y su correo electrónico no deben estar anonimato es el pseudo-anonimato mientras otros pueden conocer el más relacionados dentro del sistema que ss la capacidad de hacer algo sin contenido pero no ambas. de lo que están en un conocimiento ser descubierto, pero el adversario (e) Se necesitan informes de posición a-priori. detecta repetición de acciones. a tiempo para mantener la traza-ras- (ii) La no observabilidad. Cualquier El anonimato de localización tro de un nodo, pero esto conduce entidad de interés (mensaje, evento, es el estado de no ser identificable a la revelación de la trayectoria del acción, persona, etc.) es indistingui- dentro de un conjunto de sujetos, movimiento del nodo. ble de cualquier otra de interés. el conjunto de posibles sujetos se (f) Un algoritmo AO2P (Ad hoc (iii) La capacidad para hacer algo sin denomina conjunto de anonimato; On-Demand Position-based Private ser cogido. cuando el número de sujetos es gran- routing) puede utilizar la posición de El anonimato se define por ac- de, el nivel de anonimato es elevado. un punto de referencia abstracto en ción. El anonimato trata de ocul- Para proteger la privacidad de la loca- vez de la posición del destino. tar información como por ejemplo: lización del usuario (es crucial ya que (g) El anonimato como una medida la identidad del usuario, la relación los datos de posición de una persona de privacidad puede basarse en la entre usuarios, el hecho de que un son datos personales significativos; probabilidad de que coincida una usuario no pueda ser identificado los datos de posición permiten inva- posición de un nodo con su identi- dentro de un conjunto de sospecho- sión de la privacidad del usuario) en ficador y el número de nodos de un sos. Un concepto relacionado con el servicios basados en localización (LBS, área concreta que represente una posición. (h) Utilizar proxies confiables para proteger la privacidad.
(3) Algunas personas o sitios pueden ser más confiables que otros debido a razones de evidencia, credibilidad, interacciones y recomendaciones pa- sadas, algunas consideraciones útiles para privacidad son: (a) Desarrollar medidas de confiabili- dad y privacidad. (b) Ofrecer información privada en incrementos durante un período de tiempo. (c) Comerciar la privacidad para con- fiabilidad.
(4) Es difícil especificar políticas que preserven la privacidad de una mane- ra legal, precisa y correcta. Es incluso más difícil aplicar políticas de privaci- dad. Algunas consideraciones útiles de cara a la privacidad son: (a) Desarrollar lenguajes para especi- ficar políticas. (b) Utilizar obligaciones y penaliza- ciones. (c) Especificar cuando, quién y cuan- tas veces la información privada pue- de diseminarse. (d) Utilizar la apoteosis para destruir la información privada. (e) Unir y vincular datos con restric- ciones de política.
Concepto de anonimato. Su necesidad
El anonimato puede definirse como: (i) La no vinculación entre acción e identidad. Por ejemplo, el remitente
REE • Noviembre 2009 35 Seguridad en redes
Existen diferencias notables entre los conceptos de seguridad de la in- formación denominados anonimato y confidencialidad. La confidencialidad sólo esta relacionada con ocultar el significado de la información transmi- tida, se resuelve utilizando tecnología de cifrado (simétrico de clave privada, de bloque o flujo o asimétrico o de clave pública, con PKI). El cifrado ayuda a ocultar el significado de los datos transferidos pero si alguien in- tercepta dicho tráfico puede obtener relaciones de comunicación valiosas como quién se comunica con quién, durante cuanto tiempo y dónde. Así mismo quién esta interesado en qué contenido y qué información se da a un servicio. En algunos escenarios de aplicación, como por ejemplo eleccio- nes, sondeos de opinión o consultas anónimas, es esencial la privacidad y el anonimato (confidencialidad ocul- tando los datos de tráfico). Se debe tener en cuenta que la privacidad y anonimato no restringido en todas las comunicaciones no esta permi- tido. Los criminales y delincuentes pueden utilizar los sistemas de comu- nicaciones modernos para su propio beneficio contra la ley. El gobierno esta autorizado a interceptar las co- municaciones de un sujeto criminal o delincuente. El cifrado extremo a extremo no ayuda al anonimato ya que sólo oculta el contenido de un mensaje pero la información de direccionamiento IP (L3) y MAC (L2) es visible. El anonimato no se resuelve con cifrado y persigue entre otros los si- guientes objetivos: (i) La protección de la identidad. Location-Based Services) se pueden regiones en las que el sujeto o dato (ii) La protección de la localización. utilizar técnicas de anonimato de existe dividido entre el número total (iii) La denegación de acciones (ac- comunicaciones que utilizan datos de regiones del área. ceder, transmitir, recibir, leer, etc.). El de posición falsos (denominados (b) Congestión. Si existe un gran ámbito de protección del anonimato dummies) mezclados con datos de número de sujetos en una región, abarca muchos aspectos. Son cues- posición verdaderos. Cada usuario es difícil distinguir un sujeto de en- tiones de anonimato: ¿quién es el envía varios dummies con los datos tre muchos en la misma región. En emisor y el receptor?, ¿quién eres tu?, de posición verdaderos GPS/Galileo. relación a la métrica del nivel de ¿con quién te comunicas?, ¿dónde El anonimato de localización se anonimato se puede definir un in- estas localizado?, ¿dónde esta loca- puede mejorar con dos requisitos: dicador P definido como el número lizado el receptor/servidor con el que (a) Ubicuidad. Los sujetos pue- de sujetos en una región específica. te comunicas?. La mayor parte de den estar en un área entera, los ob- Esto se puede extender a sujetos las redes que permiten el anonimato servadores deben comprobar muchas que se mueven. Se puede definir sólo protegen al emisor. Una buena regiones de esa área para encontrar H(P) como la diferencia de P en cada red que permita el anonimato de las sujetos concretos. En relación a la región desde el instante de tiempo comunicaciones requiere protección métrica del nivel de anonimato se t al instante de tiempo siguiente mutua. Ninguna organización puede puede definir un indicador F (en (t+1). Si H(P) en cada región es bajo por sí sola estar anónima; uno sólo notación porcentual) definido como se mejora el nivel de anonimato de puede obtener confidencialidad; las el cociente de dividir el número de localización. redes que se encargan del anonima-
36 REE • Noviembre 2009 Seguridad en redes to requieren cooperación, es decir el anonimato requiere cooperación. Implantando el anonimato los ad- versarios no podrán saber quién se comunica con quién El anonimato es cada vez más necesario por un número creciente de razones: (i) El navegar por Internet deja trazas como: entradas de log en servido- res Web, entradas de log en MTAs (Agentes de Transferencia de Correo Electrónico), monitorización local por parte del ISP, a menudo mandado por la Ley, monitorización del tráfico de tránsito por routers y pasarelas. (ii) Privacidad. (iii) Libertad de expresión. (iv) Elecciones y sondeos electróni- cos. (v) Buscar un nuevo trabajo. (vi) Buscar un socio corporativo. (vii) Anonimato con vistas a recoger información. (viii) Anonimato para la investigación de mercado. (ix) Anonimato para dar pistas a la policía. (x) Anonimato para exalcohólicos, exdrogatictos, exenfermos, expresi- diarios, para personas incluidas en planes de protección de testigos para juicios, etc.
El anonimato presenta pros y contras; como pros, facilita la comu- nicación de disidentes políticos/re- ligiosos, personas amenazadas por terroristas/mafia/delincuentes, permi- te comunicarse con privacidad sobre redes vehiculares VANETs, etc. Como contra inhibe los mecanismos de au- ditoría, monitorización y accountabili- ty que se encargan de responsabilizar a los sujetos de lo que hacen o inten- actúa bajo un pseudónimo puede sin que otros puedan observar que tan hacer, registrando quién hace qué utilizar un recurso o servicio sin re- el recurso o servicio esta siendo uti- cosa y cuando y donde en una red. velar su identidad. Los pseudónimos lizado. se pueden clasificar según su fun- (iv) No relación/vinculación. El emisor Controles técnicos de ción en dos categorías: personales y receptor no pueden ser identifica- privacidad (pseudónimos personales públicos, dos comunicándose entre sí. pseudónimos personales no públicos Los controles técnicos para la y pseudónimos personales privados) (2) Protección de las identidades de privacidad (PETs, Pricacy-Enhancing y de rol (pseudónimos de negocios los sujetos de los datos, para ello se Technologies) pueden clasificarse en y pseudónimos de transacción). Los utiliza: tres categorías: pseudónimos se pueden clasificar La despersonalización o anoni- según su generación en cuatro cate- mato de los sujetos de los datos. (1) Protección de las identidades de gorías: pseudónimos auto-generados, Existen dos tipos: los usuarios, para ello se utiliza: pseudónimos de referencia, pseudó- (i) Despersonalización perfecta. Los (i) Anonimato. Un usuario puede uti- nimos criptográficos y pseudónimos datos se hacen anónimos de modo lizar un recurso o servicio sin revelar unidireccionales. que el sujeto de los datos ya no es su identidad. (iii) No observabilidad. Un usuario identificable. (ii) Pseudónimos. Un usuario que puede utilizar un recurso o servicio (ii) Despersonalización práctica. Se
REE • Noviembre 2009 37 Seguridad en redes
(ii) Limitación del control de acceso, incluyendo modelos de privacidad formal para el control de acceso. (iii) Políticas de privacidad empresa- riales. (iv) Esteganografía y para evaluar esteganoanálisis. (v) Herramientas específicas como P3P (Platform for Privacy Preferences).
Dimensiones y principios de la privacidad.
La privacidad es el derecho de los individuos, grupos e instituciones a determinar por ellos mismos cuando, cómo y qué extensión de la informa- ción de ellos se comunica a otros. Se pueden identificar tres dimensiones en la privacidad: (1) Privacidad personal. Proteger las personas contra todo tipo de inter- ferencia indebida (como búsqueda física) e información que viole su sen- tido moral. (2) Privacidad territorial. Proteger un área física alrededor de una perso- na que no pueda ser violada sin el consentimiento de la persona. Como salvaguardas las leyes se refieren a órdenes de registro para poder entrar en la propiedad privada. (3) Privacidad de la información. Trata de la recogida, recopilación y disemi- nación selectiva de la información. Los principios de la privacidad básicos son: (i) Basados en Leyes y equidad. (ii) Necesidad de recoger y procesar los datos. (iii) Especificación del propósito y vin- modifican los datos personales para ficos (como sexo, edad, nacionalidad, cular el dicho propósito. No existen que la información que concierne a etc.) y datos de análisis (como hábi- datos “no-sensibles”. circunstancias personales o materiales tos, enfermedades, etc.). El grado de (iv) Transparencia. Derecho del sujeto sólo pueda ser atribuida a un indivi- anonimato de los datos estadísticos de los datos a corregir la información, duo identificado o identificable utili- depende del: tamaño de la base de borrar o bloquear datos almacenados zando una desproporcionada canti- datos, de la entropía de los atributos incorrectamente/ilegalmente. dad de tiempo, dinero y trabajo. de datos demográficos que pueden (v) Supervisión (significa control por servir como conocimiento suplemen- parte de una autoridad de protección Controles para llevar a cabo la tario para un atacante. La entropía de de datos independiente) y sanciones despersonalización son: los controles los datos demográficos depende del: en su caso (a empresas que incum- de inferencia para bases de datos número de atributos, del número de plan las leyes de la Agencia de Pro- estadísticas y los métodos de preser- posibles valores de cada atributo, de tección de Datos a nivel internacional, vación de la privacidad en minería la distribución de frecuencia de los nacional y autonómico). de datos. valores y de las dependencias entre Una amenaza al anonimato es el atributos. La protección de la privacidad riesgo de la reidentificación. Posibles (3) Protección de la confidencialidad puede ser emprendida por: tipos de datos en registros estadísti- e integridad de los datos personales, (i) Leyes de protección de datos y cos son: Datos de identidad (como para ello se utiliza: privacidad, promovidas por el go- por ejemplo, nombre, dirección, nú- (i) Gestión de identidades con priva- bierno. mero personal, etc.), datos demográ- cidad mejorada. (ii) Autorregulación para prácticas
38 REE • Noviembre 2009 Seguridad en redes equitativas de información mediante códigos de conducta promovidas por negocios. (iii) Tecnologías que mejoren la pri- vacidad (o PETs, Privacy-Enhancing Technologies) adoptadas por los in- dividuos. (iv) Educación en privacidad de los consumidores y profesionales de las Tecnologías de la Información y las Comunicaciones.
Clasifi cación e identifi cación de redes para el anonimato.
Atendiendo al criterio de la la- tencia que introducen las redes que proporcionan anonimato, éstas se pueden clasificar en dos grupos: (1) Con comunicación de baja la- tencia. Se basan en una cascada de mixes. Pequeños buffers o la no exis- tencia de buffers de reordenación da lugar a una pequeña latencia. Son adecuadas para acciones interactivas como navegación Web y Chat. Algu- nas implementaciones son: (i) Onion Routing. Utilizan el mecanis- mo del onion router. La mayor red de anonimato conocida del tipo Onion Router de la Segunda Generación es TOR (desarrollada por el DoD, Depar- tamento de Defensa USA y soportada por EFF (Electronic Frontier Founda- tion) se trata de un ejemplo de Onion Router de la Segunda Generación). Véase http://tor.eff.org/. (ii) JAP (Java Anon Proxy). Es un proxy Web basado en Java, originalmente desarrollado por TU Dresden. Es fácil de utilizar, proporciona navegación Web de baja latencia. La cascada fija de mixes introduce el inconveniente taja de las redes de anonimato de de almacenamiento y re-envío típicas de la existencia de únicos puntos de baja latencia es que la baja latencia del correo electrónico. Se basan en entrada y de salida a monitorizar. In- permite servicios interactivos como una conexión en cascada de Mixes, corpora una función de path tracking navegación Web, mensajería instan- utilizan buffers grandes de reordena- que puede activarse bajo petición tánea (IM) o incluso conexiones SSH ción de mensajes con alta latencia. judicial, pero todos los operadores de (Secure SHell). Algunas implementaciones son: los mix deben estar de acuerdo. Véase Los principales inconvenientes (i)CypherPunk (Remailer de anonima- http://anon.inf.tu-dresden.de/. de estas redes son: to tipo I): Utilizan PGP para cifrar. Ver (iii) I2P (Java). Mixnet gratuita, to- (a) La fuerza del anonimato cae pre- URL: http://www.csua.berkeley.edu/ talmente distribuida (P2P). Presenta cariamente durante los períodos de cypherpunks/Home.html. Tecnología una latencia variable a través del volumen de bajo tráfico. antigua y red vieja. API I2P. (b) Los esquemas de baja latencia (ii) Mixmaster (Remailer de anonima- (iv) FreeNET (Java). Permiten un al- son vulnerables a un observador glo- to tipo II). Requieren un cliente espe- macenamiento P2P para acceso y bal que monitoriza todos los nodos cial. Ver URL: http://www.mixmaster. publicación de contenido anónimo. debido a que el timing de los pa- sourceforge.net. Existen cerca de Es demasiado lenta. quetes que atraviesan la red puede treinta y cinco servidores, red muy (v) Anonymizer.net. Es un proxy de correlacionarse. estable. Un Frontend Mixmaster ba- anonimato. Ver URL: http://www. (2) Con comunicación de elevada la- sada en Web es http://anonymouse. anonymizer.com. La principal ven- tencia. Son adecuadas para acciones org.
REE • Noviembre 2009 39 Seguridad en redes
(b) Algunos mixes de la cascada pueden no estar en línea en el instante en que llega un mensaje retardado, de este modo a me- nudo se pueden perder mensajes. Estadísticas publicadas por herra- mientas como echolot ayudan a seleccionar una cascada fiable.
Algunos ejemplos de redes de anonimato son: Mnet, Winny, GNU- net, Mute, Marabunta, Morphmix, Tarzan, AntsP2P, AnoNET, Crowds, WASTE, Invisible IRC, Entropy, Rodi, infraestructuras para sistemas in- ternet con resiliencia, etc.
Identifi cación de amenazas a la privacidad.
Se pueden identificar entre otras las siguientes amenazas:
(1) Amenazas a la privacidad en el nivel de aplicación. Son amena- zas a la recogida/transmisión de grandes cantidades de datos per- sonales. Aquí se incluyen proyec- tos para nuevas aplicaciones sobre autopistas de la información como: redes de centros sanitarios, redes de las Administraciones Públicas, redes de investigación, comercio electrónico, teletrabajo, enseñanza a distancia, uso privado. Ejemplo de desarrollos en esta área es la creación de una infraestructura de información para un mejor cuidado de la salud donde diversas redes de las entidades de salud Europeas (Seguridad Social Española, etc.) intercambien información como ficheros de casos de pacientes, se establezcan sistemas de telediag- nóstico y tratamiento clínico, etc.
(iii) Mixminion (Remailer de anoni- Como principal ventaja de las (2) Amenazas a la privacidad a nivel mato tipo III). Ver URL: http://www. redes de anonimato de alta laten- de comunicación. Aquí se inclu- mixminion.net. Requieren un cliente cia: Se obtiene un alto grado de yen las amenazas al anonimato de especial. Son redes experimentales. anonimato debido a que se impide emisor/re-enviador/receptor, las El proyecto Free Haven (almacena- las correlaciones temporales me- amenazas al anonimato del pro- miento de datos distribuido anóni- diante el uso de grandes buffers de veedor de servicios, las amenazas mo) ver URL: http://www.freehaven. reordenación y un elevado número a la privacidad de la comunicación, net/anonbib. de mixes en la cascada. Como prin- por ejemplo monitorizando/regis- (iv) Mym servers. Vieja escuela. Son cipales inconvenientes: trando los datos transaccionales, remailers como por ejemplo nym. (a) La elevada latencia debido al extrayendo perfiles de usuario y alias.net y anon.penet.fi. Estas redes uso de buffers de reordenación almacenándolos a largo plazo. no son sistemas de correo electrónico, no permiten servicios interactivos por tanto necesitan de verdaderos sis- casi en tiempo real como navega- (3) Amenazas a la privacidad a nivel temas de correo electrónico que son ción Web o mensajería instantánea de sistema. Por ejemplo amenazas susceptibles de monitorizar trazas. (IM). a nivel de acceso al sistema.
40 REE • Noviembre 2009 Seguridad en redes
(4) Amenazas a la privacidad de registros de auditoria. Como por ejemplo robo de identidad, este es el delito más grave contra la privacidad. Amenazas a la privaci- dad desde otra perspectiva son la acumulación y minería de datos, la seguridad deficiente del sistema, amenazas al Gobierno (el Gobierno tiene muchísimos datos privados de la mayoría de las personas: impues- tos, etc.), Internet como amenaza a la privacidad (correo electrónico no cifrado, navegación Web, ata- ques, etc.), derechos corporativos y negocios privados (ciertas compa- ñías pueden recoger datos que el Gobierno no se le esta permitido), privacidad se vende con muchas trampas (gratis no significa gratis, por ejemplo aceptar tarjetas de “comprador frecuente” reduce la privacidad del propietario).
Aplicaciones del anonimato
Las tecnologías de anonimato de las comunicaciones presentan un creciente número de usos y en cada uno de ellos se pueden iden- tificar ciertos abusos: (1) Utilización legítima a nivel per- sonal. Los ciudadanos pueden ne- cesitar mantener en anonimato su actitud sexual, sus creencias/visión religiosa, su genoma, sus tenden- cias sobre política, etc. Se deben evitar ciertos abusos como el tra- king (seguimiento de personas) y el profiling (generar perfiles sobre las tendencias, religión, preferen- cias-gustos, etc. de las personas) o de lugares en guerra, comuni- Las tecnologías que permiten realizado por ISPs (Proveedores de caciones de periodistas. Se deben el anonimato pueden ser utilizadas Servicios Internet), diferentes tipos evitar ciertos abusos y prevenir la para el bien de forma legítima pero de empresas, gobiernos e inclu- discriminación de información y también pueden utilizarse para el so por buscadores Internet como económica. mal por parte de las mafias, terro- Google, Yahoo, etc. Por ejemplo (3) Utilización legítima a nivel de ristas que realizan ciber-ataques, un usuario o un spammer pueden gobierno. Los gobiernos necesi- pedófilos para pornografía infantil, abrir una cuenta falsa en Hotmail tan el anonimato en las comunica- delincuentes en general, entidades y enviar correos electrónicos por ciones diplomáticas (por ejemplo que fomenten y conciencien sobre Webmail sin que el receptor sepa la ocultando donde se encuentra el bulimia, anorexia, drogas, secues- identidad real del remitente. presidente o el embajador). Así tros, violaciones, terrorismo, etc. (2) Utilización legítima a nivel de mismo es necesario el anonima- empresa-corporación. Las empresas to en las peticiones anónimas de Consideraciones necesitan mantener en anonima- ciudadanos a la policía, en la in- fi nales. to sus actividades de inteligencia vestigación criminal (por ejemplo de negocios, deben de tratar de el CNI, la Policía Nacional-Guardia Nuestro grupo de investiga- detener el análisis de la competen- Civil o el FBI esta husmeando en el ción lleva trabajado más de veinte cia (I+D+i, adquisiciones, etc.), sitio Web de una persona física o años en el área de las tecnologías deliberaciones legales, comunica- jurídica) y en cualquier asunto que de privacidad para redes dentro ciones de países no democráticos pueda ser de interés público. de las cuales existen muchos me-
REE • Noviembre 2009 41 Seguridad en redes
canismos como los diversos tipos de - Areitio, J. “Análisis en torno - Flegel, U. “Privacy Respec- anonimato, las diferentes técnicas a la auditoria de seguridad en tec- ting Intrusion Detection”. Springer. criptográficas/de criptoanálisis y es- nologías de la información y las 2007. teganográficas/ de esteganoanálisis, comunicaciones”. Revista Española - Vaidya, J., Clifton, C. and Zhu, DWM, criptografía basada en um- de Electrónica. Nº 625. Diciembre M. “Privacy Preserving Data Mining”. brales, los mecanismos basados en 2006. Springer. 2005. pseudónimos, alias nicks, etc. - Areitio, J. “Test de penetración - Dumas, M.B. and Schwartz, M. y gestión de vulnerabilidades, estra- “Principles of Computer Networks and Este artículo se enmarca en las acti- tegias clave para evaluar la seguridad Communications”. NJ. Prentice-Hall. vidades desarrolladas dentro del pro- de red”. Revista Española de Electró- 2008. yecto LEFIS-APTICE (financiado por nica. Nº 653. Abril 2009. - Fischer-Hübner, S. “IT-Security Socrates. European Commission). - Senior, A. “Protecting Privacy in and Privacy: Design and Use of Priva- Video Surveillance”. Springer. 2009. cy-Enhancing Security Mechanisms”. Bibliografi a. - Gutwirth, S., Poullet, Y., De Springer. 2001. Hert, P., Terwangne, C. and Nouwt, - Comer, D.E. “Computer Networks - Areitio, J. “Seguridad de la S. “Reinventing Data Protection”. and Internets”. NJ. Prentice-Hall. 2008. Información: Redes, Informática y Springer. 2009. - Gritzalis, D., de Capitani di Vi- Sistemas de Información”. Cengage - Howard, R. “Cyber Fraud”. mercati, S., Samarati, P. and Katsikas, Learning-Paraninfo. 2009. Auerbach Publishers, Inc. 2009. S. “Security and Privacy in the Age of - Areitio, J. “Análisis en torno a - Bettini, C., Jajodia, S., Samarati, Uncertainty”. Springer. 2003. los esquemas de compromiso digital P. and Wang, X.S. “Privacy in Loca- - Solove, D.J. “The Digital Person: y su aplicación en seguridad de red”. tion-Based Applications: Research Technology and Privacy in the Informa- Revista Española de Electrónica. Nº Issues and Emerging Trends”. Sprin- tion Age”. New York University Press. 644/645. Julio-Agosto 2008. ger. 2009. 2004.
42 REE • Noviembre 2009