6. ¿Qué es OWASP?
• Open Web Application Security Project
• Organización mundial, sin fines de lucro
• Busca promover la seguridad y generar conciencia
• En el 2010 se formó el Capítulo Uruguay
7. Proyectos
• Guía de desarrollo seguro y guía de revisión de código
• WebScarab, WebGoat, GoatDroid
• Top 10 Vulnerabilidades Web
• Metodología ASVS
• Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011)
• Y muchos mas…
9. Top 10 - La lista
Almacenamiento Inyección del lado
1 inseguro 6 del cliente
Transmisión
2 insegura de datos 7 Denial of Service
Fuga de
3 información
personal
8 Código malicioso
Autenticación
4 débil 9 Buffer overflow
Errores en
Errores en asignación
5 de privilegios 10 controles del
servidor
10. Almacenamiento inseguro
1 ¿Qué almacenamos?
2
•Información personal, como si fuera un pendrive
3
4 •Archivos temporales de navegación, GPS, cachés
5
6 •Cookies de sesión
7
•Adjuntos de los mails, fotos
8
9 •¿Cual es el problema?
10
11. Almacenamiento inseguro
1 •Por lo general, no ciframos la información
2
•Vulnerabilidades en los distintos protocolos de
3
transferencia, Bluetooth
4
5 •El dispositivo puede caer en manos ajenas
6
7
8
9
10
12. Transmisión insegura de datos
1 • Básicamente, ausencia de cifrado en la transmisión
2 de los datos
3
•Vía HTTP, Correo, SMS, etc
4
5 •Confiar demasiado en la red celular
6
•Ataques al navegador, vulnerabilidades SSL
7
•Certificados no confiables
8 •Ataque a DigiNotar y Comodo
9
10
13. Transmisión insegura de datos
1 • Algunas aplicaciones de Android, no cifran la
2 comunicación con el server:
•Twitter
3
•Facebook
4 •Google Calendar
5 •Picasa
6
•Conexión a redes WiFi sin cifrar
7
8 • Tecnología NFC, en sí no cifra, hay que encapsular
9 por SSL, no es posible MiTM
10
14. Fuga de información personal
1 •Información personal almacenada:
2 •Agenda de contactos
•Citas
3
•Fotos (personas y documentos), archivos, etc.
4 •Lo mas riesgoso en este caso, es dejar el celular en
5 manos ajenas:
6 •Robo o extravío
•Soporte Técnico
7
•Para pasar música
8 • Se lo prestas al sobrino de un amigo para que
9 instale la última aplicación
10 •Backups sin proteger en alguna PC
15. Autenticación débil
1 •Fuerza bruta a claves débiles:
2
•PIN de la SIM
3
4 •Contraseñas de bloqueo
5
6 •Claves para conexiones Bluetooth
7
•Passphrases de cifrado
8
9 •Errores de implementación en mecanismos de
10 autenticación
16. Errores en asignación de privilegios
1 •Privilegios ajustados incorrectamente
2 •Por ejemplo sobre archivos
3
•Errores de implementación:
4 •En el sistema operativo
5 •En las aplicaciones
6
• Aplicaciones que requieren más privilegios de los
7
necesarios
8
9
10
17. Inyección del lado del cliente
1 •Al igual que en el mundo Web
2 •ejecución de código en los navegadores
3
•Aplicaciones vulnerables
4 •Pueden impactar en el servidor
5
6 •QRCodes
• Algunas aplicaciones dirigen al usuario
7
directamente
8 • Ataques de Phishing
9
10
18. Denial of Service
1 •QRCodes como vector de ataque
2
•Bluetooth
3
4 •Bruteforcing y bloqueo de dispositivo
5
6 • Compromiso del código de aplicaciones de
prevención de robo.
7
8
9
10
19. Código malicioso
1 AppStore de Tercero
2
3
4
5 Sube versión
con Malware Descarga
Desarrollo
6 Oficial Descarga
7
8 Envío de
9 Información
10
20. Código malicioso
1 •QRCodes como vector de ataque
2
•Problemas de certificados y MiTM
3
4 •Aplicaciones sin firmar
5
6 •Instalación manual de malware
7
•Servidor que distribuye aplicación comprometido
8
9
10
21. Buffer overflow
1 •Errores de implementación
2 •En el sistema operativo
•En las aplicaciones
3
4 • Se pueden comprometer archivos y recursos
5 internos del sistema
6
7
8
9
10
22. Errores en controles del servidor
1 •Validación del cliente por el servidor y viceversa
2
•Ataques MiTM
3
4 •Validación de la información enviada desde el
5 dispositivo movil
6
•Se puede comprometer el servidor
7
8
9
10
24. Algunas recomendaciones
En lo posible, no almacenar información sensible en celulares, tablets y
notebooks, no conectarse a redes WiFi no cifradas
Estos dispositivos son personales, hay que mantenerlos con uno y
cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN)
Tener cuidado con las aplicaciones que se instalen, verificar que estén
firmadas y validar la AppStore, verificar certificados
Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las
guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los
dispositivos
26. Conclusiones
• A los dispositivos móviles, se les dá mas confianza de la que
merecen, cuando debería ser todo lo contrario
• El celular es un ambiente dinámico y como tal hay que
incorporar medidas extras de seguridad
• La gente es más propensa a instalar aplicaciones “curiosas”,
sin importar su procedencia
• El celular es un punto de acceso a la información de nuestras
vidas, y está muy expuesto
• Esta película, ya la vimos…
27. Conclusiones
• … debemos cambiarle el final!
• Hay que usarlo con conciencia
• Considerar las vulnerabilidades comunes para otras
plataformas y trasladar los mecanismos de protección al
mundo móvil
• El desarrollo debe considerar medidas extras de seguridad
para estos dispositivos