SlideShare una empresa de Scribd logo

DevSecOps by Mobile

Software Guru
Software Guru

Estrategia para Ingeniería de Software en tecnología móvil tomando en cuenta Desarrollo – Implementación Operación y Seguridad Informática. [Ejemplos prácticos con arquitectura empresarial].

Tecnología
1 de 20
Descargar para leer sin conexión
DevSecOps by Mobile Presenta: Edgar oSWALDo Díaz
DevSecOps by Mobile $> @eOswaldOd
Mobile - Conectividad DevSecOps by Mobile $> @eOswaldOd
Normas INEGICross-Plataform S.O. IOS Android Ms.WP More… Hardware Software Firmware OSI TI-Green D r i v e r s Hardening Encryption TCP/UDP Ide´s Responsive Tolerante a fallas UI Widgets Accessibility Estrategia Mobile Website Web App Native App Hybrid App Json XML [?] C++ C# Middleware Header Broker Web Cloud Cliente – Servidor - NAS - App´s - [?] - BD Servers Hardening Conduit $> Estrategia DevSecOps by Mobile $> @eOswaldOd
$> Anatomía de un Attack - Mobile The Device Browser { Phishing Framing Clickjacking Main-in-the-Mobile Buffer Overflow Data Caching } Phone/SMS { BaseBand Attacks SMiShing } Apps { Sensitive Data Storage No Encryption/Weak Encryption Improper SSL Validation Config Manipulation Dynamic Runtime Injection Unintended Permissions Escalated Privileges Access to device an user info } The Network { Wi-Fi (no encryption/weak encryption Rogue Access Point Packet Sruiffing Main-in-the-Middle (MITM) Session Hijacking DNS Poisoning SSLStrip Fake SSL Certificate } Malware System { No Passcode/Weak Passcode IOS Jailbreaking Android Rooting Os data caching Password & Data accessible Carrier-loadded software No Encryption/Weak Encryption User-initiated code Zero-day exploits } DevSecOps by Mobile $> @eOswaldOd
$> Vectores de Ataque - Mobile Data Trampering { Modification by another application Undetected tamper attempt Jail-brocken device } Data Exfiltration { Extracted from data streams and e-mail Print screen and screen scraping Copy to USB key and loss of backup } Malware { Virus an RootKit Application modification OS modification } Data Loss { Application vulnerabilities Unapproved physical access Loss of device } DevSecOps by Mobile $> @eOswaldOd
$> Mobile - Vulnerabilidades y Riesgos { Mobile Application Vulnerabilities Privacy Issues (Geolocation) Weak Data Security Excessive Permissions Weak Communication Security Physical Attacks } { Malicious Apps in Store Mobile Malware App SandBoxing Vulnerabilities Weak Device and App Encryption Os and App Update Issues Jailbreaking and Rooting } DevSecOps by Mobile $> @eOswaldOd
$> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
DevSecOps by Mobile $> @eOswaldOd
{ Root an Android Phone Perform DoS and DDoS Attacks Check for vulnerabilities in Android browser Check for vulnerabilities in SQLite Check for vulnerabilities in Intents Detect capability leaks in Android devices } $> Android > Pent Testing WorkFlow DevSecOps by Mobile $> @eOswaldOd
$> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
DevSecOps by Mobile $> @eOswaldOd
$> iOS > Pent Testing WorkFlow { Jailbreack the iPhone Unlock the iPPhone Use SmartCover to bypass passcode Hack iPhone using Metasploit Check for access point Check iOS device data transmission on Wi-Fi networks Check whether the malformed data can be sent to the device } DevSecOps by Mobile $> @eOswaldOd
$> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
DevSecOps by Mobile $> @eOswaldOd
$> Microsoft Windows Phone > Pent Testing WorkFlow { Try to turn off the phone by sending an SMS Try to jailbreack Windows Phone Check for on-device encryption Check for vulnerability in Windows phone internet Explorer } DevSecOps by Mobile $> @eOswaldOd
$> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] { Controles secundarios débiles en servidores [Weak Server Side Controls] Almacenamiento de datos Inseguros [Insecure Data Storage] Protección insuficiente de la [Capa transporte] [Insufficient Transport Layer Protection] Fuga de datos no deseada [Unintended Data Leakage] Mala autorización y autenticación [Poor Authorization and Authentication] Criptografía rota [Broken Cryptography] Inyección en el lado del cliente [Client Side Injection] Decisiones de seguridad a través de entradas no confiables [Security Decisions Via Untrusted Inputs] Manejo incorrecto de sessión [Improper Session Handling] Falta de protecciones binarias [Lack of Binary Protections] } DevSecOps by Mobile $> @eOswaldOd
$> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] Controles secundarios débiles en servidores - Weak Server Side Controls Los factores de vulnerabilidades en el servidor, incluyen: • Tiempos limitados para publicar – difundir el servicio con una mala estrategia. • Falta de conocimiento de seguridad debido a la nuevas necesidades. • Fácil acceso a Frameworks que no priorizan la seguridad. • Subcontratación [Tercerización] para el desarrollo deficientes. • Bajos presupuestos de seguridad para aplicaciones móviles. • Asunción de que el sistema operativo móvil asume la plena responsabilidad de la seguridad. • Debilidad debida en la compilación entre plataformas. Nota: Las prácticas de codificación y configuración seguras deben utilizarse en el servidor de la aplicación móvil. Para obtener información específica sobre la vulnerabilidad, verificar Seguridad en Tecnología Web y Cloud. Nota: esta vulnerabilidad esta relacionada con el Top 10 de Servicios - Cloud and Web. DevSecOps by Mobile $> @eOswaldOd
$> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] Almacenamiento de datos inseguros [Insecure Data Storage]. Es importante modelar pensando en las amenazas la aplicación móvil para comprender los activos de información que procesa y cómo las API subyacentes manejan dichos activos. Estas API deben almacenar información confidencial de forma segura, tomando en cuenta: • Bases de datos SQLite • Archivos de registro [Log Files] • Plist Files • Almacenes de datos XML o archivos de manifiesto • Almacenes de datos binarios • Archivos Cookie´s • Tarjeta SD • Sincronización de datos al Cloud Al aplicar encriptación y descifrado a activos de información confidenciales, el malware puede realizar un ataque binario en la aplicación para robar claves de cifrado o descifrado. Una vez que roba las claves, descifrará los datos locales y robará información confidencial. DevSecOps by Mobile $> @eOswaldOd
Edgar Oswaldo Díaz @eOswaldOd /edgar-oswaldo-diaz-08698588/ edgaroswaldodiaz 2375@gmail.com oswaldo.diaz

Recomendados

Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Jose Molina
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
Secpro - Security Professionals
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
Android Security
Android SecurityAndroid Security
Android Security
Marco Avendaño
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nube
Daniel Levi
 
Presentacion segi seminario_yisell
Presentacion segi seminario_yisellPresentacion segi seminario_yisell
Presentacion segi seminario_yisell
Yiz Puentes Cubides
 

Recomendados

Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Jose Molina
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
Secpro - Security Professionals
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
Android Security
Android SecurityAndroid Security
Android Security
Marco Avendaño
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nube
Daniel Levi
 
Presentacion segi seminario_yisell
Presentacion segi seminario_yisellPresentacion segi seminario_yisell
Presentacion segi seminario_yisell
Yiz Puentes Cubides
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
Jose Manuel Ortega Candel
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
Mobile apps security. Beyond XSS, CSRF and SQLi
Mobile apps security. Beyond XSS, CSRF and SQLiMobile apps security. Beyond XSS, CSRF and SQLi
Mobile apps security. Beyond XSS, CSRF and SQLi
Martin Vigo
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
RootedCON
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
Hacking Bolivia
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
GeneXus
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
Cristian Garcia G.
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
Jose Gratereaux
 
La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...
Jaime Sánchez
 
Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeEstrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la Nube
Software Guru
 
computacion en la nube
computacion en la nubecomputacion en la nube
computacion en la nube
pverdymariaedit
 
computacion en nube
computacion en nubecomputacion en nube
computacion en nube
thania michaell valero caixba
 
Presentacion cloud computer
Presentacion cloud computerPresentacion cloud computer
Presentacion cloud computer
Cielo Gris
 
Cisco only-umbrella-mx
Cisco only-umbrella-mxCisco only-umbrella-mx
Cisco only-umbrella-mx
LINO CENTENO HUAMAN
 
Cisco only-umbrella-mx
Cisco only-umbrella-mxCisco only-umbrella-mx
Cisco only-umbrella-mx
LINO CENTENO HUAMAN
 
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Tomás García-Merás
 
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
clienteafirma
 
BD para Dispositivos Moviles - Unidad 3 SMBD Moviles
BD para Dispositivos Moviles - Unidad 3 SMBD MovilesBD para Dispositivos Moviles - Unidad 3 SMBD Moviles
BD para Dispositivos Moviles - Unidad 3 SMBD Moviles
José Antonio Sandoval Acosta
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
Cade Soluciones
 
Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
Software Guru
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
Software Guru
 

Más contenido relacionado

Similar a DevSecOps by Mobile

Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Tomás García-Merás
 
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
clienteafirma
 

Similar a DevSecOps by Mobile (20)

Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Mobile apps security. Beyond XSS, CSRF and SQLi
Mobile apps security. Beyond XSS, CSRF and SQLiMobile apps security. Beyond XSS, CSRF and SQLi
Mobile apps security. Beyond XSS, CSRF and SQLi
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...
 
Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeEstrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la Nube
 
computacion en la nube
computacion en la nubecomputacion en la nube
computacion en la nube
 
computacion en nube
computacion en nubecomputacion en nube
computacion en nube
 
Presentacion cloud computer
Presentacion cloud computerPresentacion cloud computer
Presentacion cloud computer
 
Cisco only-umbrella-mx
Cisco only-umbrella-mxCisco only-umbrella-mx
Cisco only-umbrella-mx
 
Cisco only-umbrella-mx
Cisco only-umbrella-mxCisco only-umbrella-mx
Cisco only-umbrella-mx
 
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
 
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
 
BD para Dispositivos Moviles - Unidad 3 SMBD Moviles
BD para Dispositivos Moviles - Unidad 3 SMBD MovilesBD para Dispositivos Moviles - Unidad 3 SMBD Moviles
BD para Dispositivos Moviles - Unidad 3 SMBD Moviles
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 

Más de Software Guru

Más de Software Guru (20)

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environments
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador Senior
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto ideal
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache Airflow
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learning
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDi
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJS
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOps
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stress
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goals
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseño
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
Marc Liust
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
Yanitza28
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (18)

infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 

DevSecOps by Mobile

  • 4. Normas INEGICross-Plataform S.O. IOS Android Ms.WP More… Hardware Software Firmware OSI TI-Green D r i v e r s Hardening Encryption TCP/UDP Ide´s Responsive Tolerante a fallas UI Widgets Accessibility Estrategia Mobile Website Web App Native App Hybrid App Json XML [?] C++ C# Middleware Header Broker Web Cloud Cliente – Servidor - NAS - App´s - [?] - BD Servers Hardening Conduit $> Estrategia DevSecOps by Mobile $> @eOswaldOd
  • 5. $> Anatomía de un Attack - Mobile The Device Browser { Phishing Framing Clickjacking Main-in-the-Mobile Buffer Overflow Data Caching } Phone/SMS { BaseBand Attacks SMiShing } Apps { Sensitive Data Storage No Encryption/Weak Encryption Improper SSL Validation Config Manipulation Dynamic Runtime Injection Unintended Permissions Escalated Privileges Access to device an user info } The Network { Wi-Fi (no encryption/weak encryption Rogue Access Point Packet Sruiffing Main-in-the-Middle (MITM) Session Hijacking DNS Poisoning SSLStrip Fake SSL Certificate } Malware System { No Passcode/Weak Passcode IOS Jailbreaking Android Rooting Os data caching Password & Data accessible Carrier-loadded software No Encryption/Weak Encryption User-initiated code Zero-day exploits } DevSecOps by Mobile $> @eOswaldOd
  • 6. $> Vectores de Ataque - Mobile Data Trampering { Modification by another application Undetected tamper attempt Jail-brocken device } Data Exfiltration { Extracted from data streams and e-mail Print screen and screen scraping Copy to USB key and loss of backup } Malware { Virus an RootKit Application modification OS modification } Data Loss { Application vulnerabilities Unapproved physical access Loss of device } DevSecOps by Mobile $> @eOswaldOd
  • 7. $> Mobile - Vulnerabilidades y Riesgos { Mobile Application Vulnerabilities Privacy Issues (Geolocation) Weak Data Security Excessive Permissions Weak Communication Security Physical Attacks } { Malicious Apps in Store Mobile Malware App SandBoxing Vulnerabilities Weak Device and App Encryption Os and App Update Issues Jailbreaking and Rooting } DevSecOps by Mobile $> @eOswaldOd
  • 8. $> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
  • 10. { Root an Android Phone Perform DoS and DDoS Attacks Check for vulnerabilities in Android browser Check for vulnerabilities in SQLite Check for vulnerabilities in Intents Detect capability leaks in Android devices } $> Android > Pent Testing WorkFlow DevSecOps by Mobile $> @eOswaldOd
  • 11. $> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
  • 13. $> iOS > Pent Testing WorkFlow { Jailbreack the iPhone Unlock the iPPhone Use SmartCover to bypass passcode Hack iPhone using Metasploit Check for access point Check iOS device data transmission on Wi-Fi networks Check whether the malformed data can be sent to the device } DevSecOps by Mobile $> @eOswaldOd
  • 14. $> Mobile – Kernel (Core) DevSecOps by Mobile $> @eOswaldOd
  • 16. $> Microsoft Windows Phone > Pent Testing WorkFlow { Try to turn off the phone by sending an SMS Try to jailbreack Windows Phone Check for on-device encryption Check for vulnerability in Windows phone internet Explorer } DevSecOps by Mobile $> @eOswaldOd
  • 17. $> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] { Controles secundarios débiles en servidores [Weak Server Side Controls] Almacenamiento de datos Inseguros [Insecure Data Storage] Protección insuficiente de la [Capa transporte] [Insufficient Transport Layer Protection] Fuga de datos no deseada [Unintended Data Leakage] Mala autorización y autenticación [Poor Authorization and Authentication] Criptografía rota [Broken Cryptography] Inyección en el lado del cliente [Client Side Injection] Decisiones de seguridad a través de entradas no confiables [Security Decisions Via Untrusted Inputs] Manejo incorrecto de sessión [Improper Session Handling] Falta de protecciones binarias [Lack of Binary Protections] } DevSecOps by Mobile $> @eOswaldOd
  • 18. $> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] Controles secundarios débiles en servidores - Weak Server Side Controls Los factores de vulnerabilidades en el servidor, incluyen: • Tiempos limitados para publicar – difundir el servicio con una mala estrategia. • Falta de conocimiento de seguridad debido a la nuevas necesidades. • Fácil acceso a Frameworks que no priorizan la seguridad. • Subcontratación [Tercerización] para el desarrollo deficientes. • Bajos presupuestos de seguridad para aplicaciones móviles. • Asunción de que el sistema operativo móvil asume la plena responsabilidad de la seguridad. • Debilidad debida en la compilación entre plataformas. Nota: Las prácticas de codificación y configuración seguras deben utilizarse en el servidor de la aplicación móvil. Para obtener información específica sobre la vulnerabilidad, verificar Seguridad en Tecnología Web y Cloud. Nota: esta vulnerabilidad esta relacionada con el Top 10 de Servicios - Cloud and Web. DevSecOps by Mobile $> @eOswaldOd
  • 19. $> Tipos de Vulnerabilidades OWASP Top 10 Mobile [Compliance] Almacenamiento de datos inseguros [Insecure Data Storage]. Es importante modelar pensando en las amenazas la aplicación móvil para comprender los activos de información que procesa y cómo las API subyacentes manejan dichos activos. Estas API deben almacenar información confidencial de forma segura, tomando en cuenta: • Bases de datos SQLite • Archivos de registro [Log Files] • Plist Files • Almacenes de datos XML o archivos de manifiesto • Almacenes de datos binarios • Archivos Cookie´s • Tarjeta SD • Sincronización de datos al Cloud Al aplicar encriptación y descifrado a activos de información confidenciales, el malware puede realizar un ataque binario en la aplicación para robar claves de cifrado o descifrado. Una vez que roba las claves, descifrará los datos locales y robará información confidencial. DevSecOps by Mobile $> @eOswaldOd