Seguridad en Dispositivos Móviles

6,102 views

Published on

Seguridad en Dispositivos Móviles
Ezequiel Sallis / Claudio Caracciolo
1Hackparaloschicos

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,102
On SlideShare
0
From Embeds
0
Number of Embeds
3,556
Actions
Shares
0
Downloads
132
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguridad en Dispositivos Móviles

  1. 1. 1HackParaLosChicos   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
  2. 2. Seguridad  en  Disposi7vos  Móviles   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
  3. 3. Agenda  Situación ActualProblemática Seguridad Física Seguridad en los Sistemas Operativos Seguridad en las Aplicaciones Seguridad en el Almacenamiento de Datos Seguridad en el Control de Accesos OtrosContramedidasDemosConclusiones #1HackParaLosChicos   3  
  4. 4. Situación  Actual    (Deja-­‐vù)  Los dispositivos móviles dejaron de ser únicamente un Gadgettecnológico para pasar a formar parte de un fenómeno social yempresarial.Sus capacidades de procesamiento, usabilidad y conectividadse incrementan de manera vertiginosa.Las redes de telefonía móvil que los soportan, han crecidotanto tecnológicamente como geográficamente permitiendo elacceso a la información en cualquier lugar de manera efectiva.Tanto el acceso a la información corporativa como acontenidos sociales y ociosos se están mudando hacia la“cuarta pantalla” y los vectores de ataque tradicionales no sonla excepción. #1HackParaLosChicos   4  
  5. 5. Situación  Actual  Por el contrario de lo que sucede con los sistemas operativosde las máquinas de escritorio, el mercado de los dispositivosmóviles posee una mayor oferta y diversidad.El mercado de los dispositivos móviles esta liderado por lossmartphones pero las Tablets sin duda, jugaran un papelfundamental en las empresas en el corto plazo (si es que yano lo están jugando J ) #1HackParaLosChicos   5  
  6. 6. Situación  Actual    -­‐  Actores  principales   RIM OS (RIM) IOS (Apple) Android (Google) Windows Phone (Microsoft) WebOS (HP) Symbian (Nokia) #1HackParaLosChicos   6  
  7. 7. Situación  Actual    -­‐  Actores  principales   #1HackParaLosChicos   7  
  8. 8. Problemá7ca   Escenarios del mundo corporativo ante los dispositivos móvilesü  Plataforma única, integrada y estandarizada.ü  Plataforma única, integrada, estandarizada con excepciones.ü  Plataforma IGWT In God We Trust #1HackParaLosChicos   8  
  9. 9. Problemá7ca  Así como las notebooks fueron desplazando a las estaciones detrabajo, hoy en día los dispositivos móviles van ocupando ese lugartan privilegiado. En la pelea por ocuparlo, los actores principalesdel mercado se enfocan en “la experiencia del usuario”trabajando en los temas de seguridad de manera reactiva. #1HackParaLosChicos   9  
  10. 10. Problemá7ca-­‐  Seguridad  Física  Como en los viejos tiempos, la pérdida y/o el roborepresentan hoy en día el problema más significativo.En el mejor de los casos, solo deberíamos lamentar lapérdida del hardware, de no ser así, es solo el principio delproblema.El escenario corporativo más afectado es el IGWT ya quedesconoce la existencia de los equipos en la red, de lainformación almacenada en el mismo (claves, datos, mails,etc) e incluso hasta de la pérdida producida. #1HackParaLosChicos   10  
  11. 11. Problemá7ca  –  Seguridad  en  Sistemas  Opera7vos  La diversidad y segmentación (fragmentación) de los sistemasoperativos disponibles para los dispositivos móviles plantea desdeel inicio un complejo escenario:ü  Administración de perfiles de multi-usuarioü  Arquitectura de seguridad (basados en ID o Privilegios)ü  Segmentación/fragmentación de versionesü  Gestión y remediación de vulnerabilidades #1HackParaLosChicos   11  
  12. 12. Problemá7ca  –  Seguridad  en  Sistemas  Opera7vos   #1HackParaLosChicos   12  
  13. 13. Problemá7ca  –  Seguridad  en  Sistemas  Opera7vos   #1HackParaLosChicos   13  
  14. 14. Problemá7ca  –  Arquitectura  Funcionalidad  vs  Seguridad   DEMO   #1HackParaLosChicos   14  
  15. 15. Problemá7ca:  Seguridad  en  Aplicaciones  Si bien existe multiplicidad de problemas a nivel aplicación, quizásla forma más clara de representarla se resume en los siguientespuntos:ü  Ausencia de buenas practicas de desarrollo seguroü  Aspectos de diseño (Usabilidad vs Seguridad)ü  Instalación de software no controladoü  Controles en la firma de aplicacionesü  Malwareü  Canales de comunicación inseguros #1HackParaLosChicos   15  
  16. 16. Problemá7ca:    Seguridad  en  Aplicaciones   DEMO   #1HackParaLosChicos   16  
  17. 17. Problemática – Seguridad enAlmacenamiento de Datos La mayoría de los dispositivos móviles poseen más de una zonadonde almacenar los datos, independientemente de suarquitectura. Todos los actores están de acuerdo en quedeben protegerlos, sin embargo no todos lo hacen de la mismaforma:ü  Cifrado a nivel de RAMü  Cifrado a nivel de ROMü  Cifrado a nivel de Memoria de Localü  Cifrado a nivel de Memoria de Almacenamiento Extraíble (SD)ü  Cifrado a nivel de copia de seguridad externa #1HackParaLosChicos   17  
  18. 18. Problemá7ca  –  Seguridad  en    Control  de  Accesos  Muy relacionado con el acceso físico, y conformando la primerbarrera de protección, el PIN o CLAVE se convierte en un factorprimordial.ü  Claves débiles (predictibilidad y tamaño)ü  Teclados complejos para claves complejasü  Ingeniería social (shoulder surfing)ü  Almacenamiento inseguro de claves en los dispositivosü  Ausencia de múltiples capas de validación. #1HackParaLosChicos   18  
  19. 19. Problemá7ca  –  Seguridad  en    Control  de  Accesos   #1HackParaLosChicos   19  
  20. 20. Problemá7ca  –  Seguridad  en    Control  de  Accesos   DEMO   #1HackParaLosChicos   20  
  21. 21. Problemá7ca:  Otros  aspectos  relevantes  ü  802.11ü  Bluetoothü  3G / EDGE / GSMü  USB / Mini USB / etcü  Privacidad (Geolocalización y Metadatos) #1HackParaLosChicos   21  
  22. 22. Contramedidas   #1HackParaLosChicos   22  
  23. 23. Contramedidas  Definir estándares de seguridad independientemente de laplataforma.Concienciación de usuarios.Utilizar los sistemas de administración centralizada (MobileDevice Manager) para las plataformas implementadas: - Habilitar borrado remoto. - Habilitar bloqueo remoto. - Geolocalización del equipo. - Aplicación de Políticas (OTA) #1HackParaLosChicos   23  
  24. 24. Contramedidas  Robustecer controles de acceso según criticidad deldispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM,Medios Extraíbles, autenticación por aplicación y factor deautenticación múltiple)Cifrado de la información (medios de almacenamiento locales,extraíbles y memorias).Gestión de aplicaciones: - Soluciones antimalware. - Utilización de canales seguros por cualquier interface. - Descarga e instalación de APP’s de fuentes confiables. #1HackParaLosChicos   24  
  25. 25. Conclusiones  Los dispositivos móviles, son más que una moda.Administrarlos de manera descentralizada es comoimplementar parches máquina por máquina en nuestra red.Si los usuarios no entienden el problema, las solucionespuramente técnicas serán poco efectivas.Los problemas de seguridad ya los conocemos, solo semudaron a otro escenario.Igualmente recuerde… #1HackParaLosChicos   25  
  26. 26. Conclusiones  …Atiende en todas partes, las 24 horas #1HackParaLosChicos   26  
  27. 27. Preguntas?   @holesec   @simubucks  #1HackParaLosChicos   27  
  28. 28. Muchas  Gracias!!   #1hackparaloschicos  

×