SlideShare a Scribd company logo

2020 enero Argentesting

Enrique Gustavo Dutra
Enrique Gustavo Dutra

Análisis de aplicaciones Móviles - Metodologia - Aspectos de Seguridad

Technology
1 of 22
Download to read offline
Análisis de aplicaciones móviles - aspectos de seguridad. Enrique G. Dutra 2020 – V Edición
2 Enrique “Quique” Dutra www.argentesting.com • Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años) • MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020. • Auditor Lider ISO/IEC 27001 por BSI. • 32 años de experiencia en Seguridad de la Información/ Informática. • Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL. • Lidera equipo que realiza unos 500 test de vulnerabilidad anuales. • Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103. • Instructor en CPCIPC de la ESAPI. • Perito/Analista Forense. • Disertante en eventos en LATAM (BRA-UY-PER-ARG). • Lidera área Q&A de Seguridad en app moviles. • Twitter: @egdutra / @puntonetsol • Linkedin : https://www.linkedin.com/in/enriquedutra/ • http: www.puntonetsoluciones.com.ar
AGENDA •Problemática actual •Arquitectura Android •Metodología de evaluación de software •OWASP • Metodología. • Análisis estático vs dinámico. • Herramientas y soluciones.
Situación actual Exposición de los servicios y datos a Internet. 2020 – V Edición
60 segundos….
De la PC al Celular
Celulares y las aplicaciones • Siempre hay una aplicación que sirve para una situación. • No se analiza que hace la aplicación. • No se revisa los permisos que nos pide la aplicación. • La aplicación pide usuario y contraseña y la integran con alguna red social. • No hacen backup de los datos. • Envían y reciben datos sensibles. • Hay dispositivos que no poseen patrones o pines de acceso. • Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato que valide el usuario. El usuario confía ciegamente en la aplicación y NO analiza los riesgos de su uso.
Aplicaciones Infectadas en 2019 https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
Nomofobia: miedo de perder el celular 77% de las personas que posee un teléfono inteligente padece 'nomofobia'
Desarrollos sin el estado de “seguro” ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/auntenticación. ✓Software con ”hardcode”. ✓Ausencia de conexión cifradas. ✓Configuración Web permite SQL Injection. ✓Usuarios de prueba en producción. ✓Base de datos sin protección o semilla. ✓Datos sensibles en base de datos : ✓Ley 25326 Rep. Arg., ✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓PCI-DSS, ✓Otros. Una oportunidad para analizar las aplicaciones, es testear si el comportamiento de la aplicación califica como aplicación segura.
Arquitectura Android Plataforma con mayor difusión 2020 – V Edición
Distribución de Android Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software de código abierto
Arquitectura Android
Android : Algunos puntos débiles. • Podemos vulnerar el S.O sin ser root. • Aplicaciones con permisos elevados. • Aplicaciones alojan información en sectores si protección. • Vulnerabilidades del S.O. • Antimalware ponen pesados los S.O. y no lo instalan. • Fácil integración con dispositivos de terceros. Facilidad de uso + Facilidad de configuración. • Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.: https://github.com/).
Evaluando una aplicación móvil Apostar a la calidad de seguro también es calidad. 2020 – V Edición
Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Área Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
Análisis estático
Análisis dinámico
¿Cómo podemos testear? • No hay presupuesto no es una excusa. • OWASP provee metodología de evaluación. VER PLANILLA. • Uso de herramientas Open-Source: • MobSF • Qark • Mara • Drozer
MobSF ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad DEMO
21 Apostar a la calidad de Seguridad también es calidad.
Enrique G.Dutra edutra@puntonetsoluciones.com.ar @egdutra ¿Consultas?

Recommended

Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Metodoloagía de implementación
Metodoloagía de implementaciónMetodoloagía de implementación
Metodoloagía de implementaciónAndrés Cevallos
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Recommended

Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Metodoloagía de implementación
Metodoloagía de implementaciónMetodoloagía de implementación
Metodoloagía de implementaciónAndrés Cevallos
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móvilesSoftware Guru
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA REDCristian Garcia G.
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBMPMI Capítulo México
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.aliciaaguilarsanz
 

More Related Content

What's hot

LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móvilesSoftware Guru
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 

What's hot (20)

LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para Android
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSF
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOC
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA RED
 

Similar to 2020 enero Argentesting

Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.aliciaaguilarsanz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarAndrés Londoño
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYEY
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochureschangan1
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 

Similar to 2020 enero Argentesting (20)

Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al Codificar
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
BYOD: Desafios y Respuestas
BYOD: Desafios y RespuestasBYOD: Desafios y Respuestas
BYOD: Desafios y Respuestas
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 

More from Enrique Gustavo Dutra

[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Enrique Gustavo Dutra
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]Enrique Gustavo Dutra
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de RansomwareEnrique Gustavo Dutra
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Enrique Gustavo Dutra
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - PresentaciónEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMEnrique Gustavo Dutra
 

More from Enrique Gustavo Dutra (10)

WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
 

Recently uploaded

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 

Recently uploaded (20)

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 

2020 enero Argentesting

  • 1. Análisis de aplicaciones móviles - aspectos de seguridad. Enrique G. Dutra 2020 – V Edición
  • 2. 2 Enrique “Quique” Dutra www.argentesting.com • Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años) • MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020. • Auditor Lider ISO/IEC 27001 por BSI. • 32 años de experiencia en Seguridad de la Información/ Informática. • Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL. • Lidera equipo que realiza unos 500 test de vulnerabilidad anuales. • Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103. • Instructor en CPCIPC de la ESAPI. • Perito/Analista Forense. • Disertante en eventos en LATAM (BRA-UY-PER-ARG). • Lidera área Q&A de Seguridad en app moviles. • Twitter: @egdutra / @puntonetsol • Linkedin : https://www.linkedin.com/in/enriquedutra/ • http: www.puntonetsoluciones.com.ar
  • 3. AGENDA •Problemática actual •Arquitectura Android •Metodología de evaluación de software •OWASP • Metodología. • Análisis estático vs dinámico. • Herramientas y soluciones.
  • 4. Situación actual Exposición de los servicios y datos a Internet. 2020 – V Edición
  • 6. De la PC al Celular
  • 7. Celulares y las aplicaciones • Siempre hay una aplicación que sirve para una situación. • No se analiza que hace la aplicación. • No se revisa los permisos que nos pide la aplicación. • La aplicación pide usuario y contraseña y la integran con alguna red social. • No hacen backup de los datos. • Envían y reciben datos sensibles. • Hay dispositivos que no poseen patrones o pines de acceso. • Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato que valide el usuario. El usuario confía ciegamente en la aplicación y NO analiza los riesgos de su uso.
  • 8. Aplicaciones Infectadas en 2019 https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
  • 9. Nomofobia: miedo de perder el celular 77% de las personas que posee un teléfono inteligente padece 'nomofobia'
  • 10. Desarrollos sin el estado de “seguro” ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/auntenticación. ✓Software con ”hardcode”. ✓Ausencia de conexión cifradas. ✓Configuración Web permite SQL Injection. ✓Usuarios de prueba en producción. ✓Base de datos sin protección o semilla. ✓Datos sensibles en base de datos : ✓Ley 25326 Rep. Arg., ✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓PCI-DSS, ✓Otros. Una oportunidad para analizar las aplicaciones, es testear si el comportamiento de la aplicación califica como aplicación segura.
  • 11. Arquitectura Android Plataforma con mayor difusión 2020 – V Edición
  • 12. Distribución de Android Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software de código abierto
  • 14. Android : Algunos puntos débiles. • Podemos vulnerar el S.O sin ser root. • Aplicaciones con permisos elevados. • Aplicaciones alojan información en sectores si protección. • Vulnerabilidades del S.O. • Antimalware ponen pesados los S.O. y no lo instalan. • Fácil integración con dispositivos de terceros. Facilidad de uso + Facilidad de configuración. • Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.: https://github.com/).
  • 15. Evaluando una aplicación móvil Apostar a la calidad de seguro también es calidad. 2020 – V Edición
  • 16. Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Área Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
  • 19. ¿Cómo podemos testear? • No hay presupuesto no es una excusa. • OWASP provee metodología de evaluación. VER PLANILLA. • Uso de herramientas Open-Source: • MobSF • Qark • Mara • Drozer
  • 20. MobSF ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad DEMO
  • 21. 21 Apostar a la calidad de Seguridad también es calidad.