TechTuesday
Security Mobile
Por Carlos Mota

29 de Octubre de 2013
•
•
•
•
•
•
•
•
•
•
•
•
•
•

Crecimiento del sector de los dispositivos móviles
Hábitos de uso
Riesgos de seguridad
Medida...
Security Mobile

¿Crecimiento del sector de los dispositivos
móviles?

3
Security Mobile

Hábitos de uso
o YouTube recibe más de 200
millones de peticiones
diarias para reproducir
vídeo, desde di...
Security Mobile

Riesgos de seguridad en dispositivos móviles
o Altas probabilidades de

de las empresas han
sufrido pérdi...
Security Mobile

Medidas corporativas y personales

o La pérdida de datos
corporativos o
personales, tienen un coste
mayor...
Security Mobile

Medidas corporativas y personales

o En 2011, Global Payments
descubrió (meses más tarde)
una brecha de s...
Security Mobile

Adoptemos un punto de vista diferente

Necesito identificar los puntos débiles del
sistema o dispositivo,...
Security Mobile

¿Pero de donde pueden provenir los ataques?

o Debemos tener en cuenta que no es necesario, que el atacan...
Security Mobile

Ante este panorama, ¿Qué podemos hacer?

o Debemos conocer nuestra
infraestructura e identificar los
posi...
Security Mobile

Las capas que debemos asegurar

o Las necesidades de cada capa en la seguridad de un dispositivo
móvil es...
Security Mobile

Formación de los usuarios

o Podemos definir eficientes
modelos de seguridad, que no se
aplicarán correct...
Security Mobile

Tendencia BYOD (Bring your own device)

o Actualmente algunas organizaciones
han adoptado el modelo BYOD,...
Security Mobile

Medidas de prevención
1

• Protección del acceso
password, máscara, reconocimiento dactilar

2

• Control...
Security Mobile

¿Pero, a qué nos enfrentamos?
1- Almacenamiento de datos inseguro
2- Controles débiles en el lado del ser...
Security Mobile

1. Almacenamiento de datos

o No debemos dejar información sensible
sin proteger, incluidos los datos en ...
Security Mobile

2. Controles débiles en el lado del servidor
o El uso de controles débiles en el lado
servidor afecta de ...
Security Mobile

3. Protección insuficiente en la capa de transporte

o Proteger la comunicación de datos
sensibles o priv...
Security Mobile

4. Inyección en el lado del cliente

o Mecanismos débiles de validación, que
permiten la inyección de com...
Security Mobile

5. Sistema pobre de autenticación y autorización

o Identificar que el usuario es quien dice
que es.

o P...
Security Mobile

6. Gestión inadecuada de la sesión

o La trazabilidad del usuario móvil puede
ser diferente al de uno de ...
Security Mobile

7. Decisiones de seguridad a partir de entradas
inseguras
o Intentar saltarse los permisos y
modelos de s...
Security Mobile

8. Canal lateral de fuga de datos

o Es necesario asegurarse sobre las
condiciones de seguridad donde
alm...
Security Mobile

9. Rotura de la criptografía

o Forzar la rotura de las
implementaciones usando librerías de
ataque.

o P...
Security Mobile

10. Divulgación de información confidencial

o Hay que evitar a toda costa almacenar en
la aplicación dat...
Security Mobile

Cursos en netmind

26
Barcelona

Madrid

C. Bruc, 29 entl. 4ª.
1
08010 Barcelona
Tel.
91 442.77.03
Fax.
91 442.77.07

C. Modesto Lafuente, 26,

...
Barcelona

Madrid

C. Bruc, 29 entl. 4ª.
Lafuente, 26, 1
08010 Barcelona
Tel.
91 442.77.03
Fax.
91 442.77.07

C. Modesto

...
Upcoming SlideShare
Loading in …5
×

TechTuesday: Seguridad en Desarrollo de Apps

745 views

Published on

Diapositivas de nuestra conferencia sobre Seguridad en Desarrollo de Apps

Published in: Technology
2 Comments
2 Likes
Statistics
Notes
  • Creo que este autor, mantiene este blog sobre Big data:
    http://www.tecnostash.com
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Creo que este autor, mantiene este blog sobre Big data:
    http://www.tecnostash.com
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
745
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
17
Comments
2
Likes
2
Embeds 0
No embeds

No notes for slide

TechTuesday: Seguridad en Desarrollo de Apps

  1. 1. TechTuesday Security Mobile Por Carlos Mota 29 de Octubre de 2013
  2. 2. • • • • • • • • • • • • • • Crecimiento del sector de los dispositivos móviles Hábitos de uso Riesgos de seguridad Medidas corporativas y personales Adoptemos un punto de vista diferente ¿De donde pueden provenir los ataques? ¿Qué podemos hacer? Las capas que debemos asegurar Formación de los usuarios Tendencia BYOD Medidas de prevención ¿A qué nos enfrentamos? Soluciones Ruegos y preguntas
  3. 3. Security Mobile ¿Crecimiento del sector de los dispositivos móviles? 3
  4. 4. Security Mobile Hábitos de uso o YouTube recibe más de 200 millones de peticiones diarias para reproducir vídeo, desde dispositivos móviles. Juegos Consulta del tiempo Búsquedas y mapas Redes sociales o Un americano medio, pasa un promedio de 2,7 horas diarias, utilizando las redes sociales. Música Leer noticias Entretenimiento o Las búsquedas que recibe Google desde dispositivos móviles han crecido un 500% en los dos últimos años. Rest. Vídeo 4
  5. 5. Security Mobile Riesgos de seguridad en dispositivos móviles o Altas probabilidades de de las empresas han sufrido pérdidas de datos, por el uso de dispositivos móviles inseguros. pérdida o robo del dispositivo, comparado con un ordenador de sobremesa. de las empresas han experimentado un incremento del malware, debido a dispositivos móviles inseguros. o Los datos almacenados, tienden a ser más personales, como emails, mensajería instantánea, contactos, foto s… de las empresas, informan de que sus empleados evitan o desactivan características de seguridad en sus dispositivos. o El riesgo de seguridad es más alto, debido a que el usuario interactúa con más frecuencia con el dispositivo. 5
  6. 6. Security Mobile Medidas corporativas y personales o La pérdida de datos corporativos o personales, tienen un coste mayor que el propio dispositivo. o Las medidas de seguridad, deberían aplicarse en las dos vertientes, con carácter privado y empresarial. o Los ataques más peligrosos son aquellos que se llevan a cabo de manera silenciosa y 6
  7. 7. Security Mobile Medidas corporativas y personales o En 2011, Global Payments descubrió (meses más tarde) una brecha de seguridad, en sus transacciones con tarjetas que afectó a más de 1,5 millones de usuarios y que le hizo caer más de un 13% en el valor de las acciones en bolsa. o Es necesario, conocer qué tipo de información y cómo se almacena, la misma en nuestros dispositivos. 7
  8. 8. Security Mobile Adoptemos un punto de vista diferente Necesito identificar los puntos débiles del sistema o dispositivo, para planificar un estrategia de ataque. Debo conocer de forma exhaustiva el sistema, sus redes, elementos, versiones y todo aquello que me permita, intentar lanzar un ataque, con probabilidades de éxito. 8
  9. 9. Security Mobile ¿Pero de donde pueden provenir los ataques? o Debemos tener en cuenta que no es necesario, que el atacante, acceda al dispositivo móvil físicamente. Las formas más habituales son las siguientes: o Spyware, capaces de obtener una trazabilidad, sobre nuestros contactos, emails, llamadas, SMS y enviarlos al atacante. o Malware, que realizan compras, obtienen acceso a servicios de pago a cargo de su tarjeta. o Phishing, que en apariencia se confunden con aplicaciones legítimas, como entidades bancarias o redes sociales, para robar las credenciales. o Procesos en background, que vigilan lo que sucede en los dispositivos, esperando su oportunidad. 9
  10. 10. Security Mobile Ante este panorama, ¿Qué podemos hacer? o Debemos conocer nuestra infraestructura e identificar los posibles puntos débiles en nuestros dispositivos móviles y aplicaciones. o Recuerda que la seguridad es como una cadena y por lo tanto será tan segura como el más débil de sus eslabones. o Es recomendable, considerar la información que vamos a almacenar y el nivel de privacidad de la misma. 10
  11. 11. Security Mobile Las capas que debemos asegurar o Las necesidades de cada capa en la seguridad de un dispositivo móvil es diferente, por sus características y por las medidas correctoras que podemos aplicar. Capa de la aplicación Capa del sistema operativo Capa de hardware Capa de infraestructura 11
  12. 12. Security Mobile Formación de los usuarios o Podemos definir eficientes modelos de seguridad, que no se aplicarán correctamente sin la adecuada formación de los usuarios de los dispositivos móviles. o Recuerda, un modelo de seguridad, debe: o o o 12 Ser fácil de implementar. Estar centralizado. Actualizarse frecuentemente.
  13. 13. Security Mobile Tendencia BYOD (Bring your own device) o Actualmente algunas organizaciones han adoptado el modelo BYOD, que permite al empleado, utilizar su dispositivo personal para acceder a los recursos de la empresa. o Si no se implementa adecuadamente, puede representar una brecha importante en la política de seguridad de la organización. o Podemos aplicar ciertas medidas correctoras, que afiancen la seguridad de la organización. • Aplicaciones web • Protocolos de seguridad y privacidad • Usar Mobile Device Management (MDM) 13
  14. 14. Security Mobile Medidas de prevención 1 • Protección del acceso password, máscara, reconocimiento dactilar 2 • Control de la conectividad WiFi , GPS o Bluetooth sólo al usarlos 3 • Controlar el acceso y permisos de la aplicaciones debemos considerarlo durante la instalación 4 • Mantener el firmware y S.O. actualizado considerar las actualizaciones del fabricante 5 • Mantener copia de los datos sobre los datos críticos, personales y de la empresa 6 • Borrar datos si el dispositivo se pierde algunos servicios permiten el borrado de datos 7 • No almacene información privada datos como nºs de tarjeta de crédito y sus passwords… 8 • Cuidado con las aplicaciones gratuitas pueden haber sido alteradas o contener spyware… 9 • Use antivirus y herramientas de escaneo úselos y actualícelos habitualmente 10 • Use software MDM configuran y monitorizan el acceso 14
  15. 15. Security Mobile ¿Pero, a qué nos enfrentamos? 1- Almacenamiento de datos inseguro 2- Controles débiles en el lado del servidor 3- Protección insuficiente en la capa de transporte 4- Inyección en el lado del cliente 5- Sistema pobre de autenticación y autorización 6- Gestión inadecuada de la sesión Fuente: owasp.org 7- Decisiones de seguridad a partir de entradas inseguras 8- Canal lateral de fuga de datos 9- Rotura de la criptografía 10- Divulgación de información confidencial 15
  16. 16. Security Mobile 1. Almacenamiento de datos o No debemos dejar información sensible sin proteger, incluidos los datos en la nube. o Para ello debemos aplicar: o o o o Encriptación de datos. Nunca almacenar credenciales. Usar herramientas como SQLCipher, para almacenar datos en BBDD internas. No otorgar permisos globales a las aplicaciones, usar el principio de “privilegio más bajo”. 16
  17. 17. Security Mobile 2. Controles débiles en el lado del servidor o El uso de controles débiles en el lado servidor afecta de forma negativa a la seguridad de los dispositivos móviles. o Para ello debemos controlar: o o o o o Que las tecnologías usadas en el backend sean robustas. Que se use criptografía en los procesos que lo requieran. Sistemas de autenticación y autorización bien implementados. Sistemas de validación contra determinados tipos de ataques. Identificación y corrección de vulnerabilidades. 17
  18. 18. Security Mobile 3. Protección insuficiente en la capa de transporte o Proteger la comunicación de datos sensibles o privados por redes públicas. o Para ello debemos: o o o o o Asumir que el entorno de red es inseguro por naturaleza. Uso de protocolos como SSL/TLS. Es posible que la encriptación usada sea “fuerte” pero usando certificados caducados. Certificados emitidos por entidades válidas. Establecer conexiones seguras validando la autenticación del CA y CRL. 18
  19. 19. Security Mobile 4. Inyección en el lado del cliente o Mecanismos débiles de validación, que permiten la inyección de comandos desde el cliente. o Para ello debemos : o o o o o Comprobar los datos introducidos en la capa de cliente y prevenir JavaScript XSS o XML injection. No permitir el acceso a sistema de archivos desde el cliente. Filtrar los métodos HTTP permitidos. Algunos métodos de Objective-C son vulnerables a la inyección. En Android filtrar las acciones de los Intent Filters. 19
  20. 20. Security Mobile 5. Sistema pobre de autenticación y autorización o Identificar que el usuario es quien dice que es. o Para ello debemos : o o o o o Utilizar sistemas de autenticación adecuados, como las claves de acceso, o los patrones en los dispositivos móviles. Evitar sistemas complicados que simplifican los usuarios comprometiendo la seguridad general. Apoyarse en sistemas de autenticación como OAuth, basadas en proveedores de terceros. Utilizar el principio de “least privilege”. Evitar valores como IMEI, UUID… 20
  21. 21. Security Mobile 6. Gestión inadecuada de la sesión o La trazabilidad del usuario móvil puede ser diferente al de uno de aplicaciones de sobremesa. o Para ello debemos : o o o o o Considerar que las sesiones son generalmente más largas. No usar el identificador del dispositivo como token de sesión. Si es capturada, puede ser usada para realizar pagos y transacciones no autorizadas. Mantener la sesión con tokens Oauth, SSO… Comprobar la generación correcta de tokens. Gestión del ciclo de vida de la sesión en lado del servidor. 21
  22. 22. Security Mobile 7. Decisiones de seguridad a partir de entradas inseguras o Intentar saltarse los permisos y modelos de seguridad establecidos usando una vía transitiva. o Para ello debemos : o o o o En la plataforma iOS, evitar y controlar el abuso de los esquemas URL. En la plataforma Android sucede algo similar con los Intents. Evitar los ataques de inyección desde el lado cliente. Realizar revisiones de código para tratar de identificar estas brechas de seguridad. 22
  23. 23. Security Mobile 8. Canal lateral de fuga de datos o Es necesario asegurarse sobre las condiciones de seguridad donde almacenamos nuestra información. o Para ello debemos : o o o o o Evitar situarla en las zonas de cache de los dispositivos. Controlar la generación y situación de los archivos de log. También mantener el control de las carpetas de archivos temporales. Situar información no sensible en sistemas de almacenamiento externo como SD Cards. Controlar los archivos que generan el resto de aplicaciones. 23
  24. 24. Security Mobile 9. Rotura de la criptografía o Forzar la rotura de las implementaciones usando librerías de ataque. o Para ello debemos : o o o o o Evitar almacenar la clave junto a los datos encriptados esto anula la protección. Conocer la evolución de los algoritmos de cifrado en su faceta de robustez. Validar correctamente los certificados SSL. Eliminar del servidor, algoritmos débiles. No apoyarse en los mecanismos de encriptación del S.O. 24 • Encoding != encryption • Obfuscation != encryption • Serialization != encryption
  25. 25. Security Mobile 10. Divulgación de información confidencial o Hay que evitar a toda costa almacenar en la aplicación datos confidenciales. o Para ello debemos : o o o o o Evitar incluir en los binarios de nuestra app, passwords y tokens de autenticación. Es posible hacer ingeniería inversa de las aplicaciones instaladas. Las claves privadas deben mantenerse bien guardadas, de ahí su nombre. Almacenar los datos sensibles en el lado del servidor. La ofuscación es una alternativa, pero el riesgo permanece latente. 25
  26. 26. Security Mobile Cursos en netmind 26
  27. 27. Barcelona Madrid C. Bruc, 29 entl. 4ª. 1 08010 Barcelona Tel. 91 442.77.03 Fax. 91 442.77.07 C. Modesto Lafuente, 26, Pg. Valldaura, 184 Casa 1 local 1-2 08042 Barcelona 39 www.netmind.es Tel. Valencia Fax. 93 276.25.52 28003 Madrid 93 304.17.20 Tel. 93 304.17.20 Fax. Valencia Av. Cortes Valencianas, 93 359.97.22 46015 Tel. 96 001.00.42
  28. 28. Barcelona Madrid C. Bruc, 29 entl. 4ª. Lafuente, 26, 1 08010 Barcelona Tel. 91 442.77.03 Fax. 91 442.77.07 C. Modesto Pg. Valldaura, 184 Casa 1 local 1-2 08042 Barcelona Valencianas, 39 www.netmind.es Tel. Valencia Fax. 93 276.25.52 28003 Madrid 93 304.17.20 Tel. 93 304.17.20 Fax. Valencia Av. Cortes 93 359.97.22 46015 Tel. 96 001.00.42

×