SlideShare una empresa de Scribd logo

2020 enero Argentesting

Enrique Gustavo Dutra
Enrique Gustavo Dutra

Análisis de aplicaciones Móviles - Metodologia - Aspectos de Seguridad

Tecnología
1 de 22
Descargar para leer sin conexión
Análisis de aplicaciones móviles - aspectos de seguridad. Enrique G. Dutra 2020 – V Edición
2 Enrique “Quique” Dutra www.argentesting.com • Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años) • MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020. • Auditor Lider ISO/IEC 27001 por BSI. • 32 años de experiencia en Seguridad de la Información/ Informática. • Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL. • Lidera equipo que realiza unos 500 test de vulnerabilidad anuales. • Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103. • Instructor en CPCIPC de la ESAPI. • Perito/Analista Forense. • Disertante en eventos en LATAM (BRA-UY-PER-ARG). • Lidera área Q&A de Seguridad en app moviles. • Twitter: @egdutra / @puntonetsol • Linkedin : https://www.linkedin.com/in/enriquedutra/ • http: www.puntonetsoluciones.com.ar
AGENDA •Problemática actual •Arquitectura Android •Metodología de evaluación de software •OWASP • Metodología. • Análisis estático vs dinámico. • Herramientas y soluciones.
Situación actual Exposición de los servicios y datos a Internet. 2020 – V Edición
60 segundos….
De la PC al Celular
Celulares y las aplicaciones • Siempre hay una aplicación que sirve para una situación. • No se analiza que hace la aplicación. • No se revisa los permisos que nos pide la aplicación. • La aplicación pide usuario y contraseña y la integran con alguna red social. • No hacen backup de los datos. • Envían y reciben datos sensibles. • Hay dispositivos que no poseen patrones o pines de acceso. • Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato que valide el usuario. El usuario confía ciegamente en la aplicación y NO analiza los riesgos de su uso.
Aplicaciones Infectadas en 2019 https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
Nomofobia: miedo de perder el celular 77% de las personas que posee un teléfono inteligente padece 'nomofobia'
Desarrollos sin el estado de “seguro” ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/auntenticación. ✓Software con ”hardcode”. ✓Ausencia de conexión cifradas. ✓Configuración Web permite SQL Injection. ✓Usuarios de prueba en producción. ✓Base de datos sin protección o semilla. ✓Datos sensibles en base de datos : ✓Ley 25326 Rep. Arg., ✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓PCI-DSS, ✓Otros. Una oportunidad para analizar las aplicaciones, es testear si el comportamiento de la aplicación califica como aplicación segura.
Arquitectura Android Plataforma con mayor difusión 2020 – V Edición
Distribución de Android Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software de código abierto
Arquitectura Android
Android : Algunos puntos débiles. • Podemos vulnerar el S.O sin ser root. • Aplicaciones con permisos elevados. • Aplicaciones alojan información en sectores si protección. • Vulnerabilidades del S.O. • Antimalware ponen pesados los S.O. y no lo instalan. • Fácil integración con dispositivos de terceros. Facilidad de uso + Facilidad de configuración. • Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.: https://github.com/).
Evaluando una aplicación móvil Apostar a la calidad de seguro también es calidad. 2020 – V Edición
Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Área Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
Análisis estático
Análisis dinámico
¿Cómo podemos testear? • No hay presupuesto no es una excusa. • OWASP provee metodología de evaluación. VER PLANILLA. • Uso de herramientas Open-Source: • MobSF • Qark • Mara • Drozer
MobSF ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad DEMO
21 Apostar a la calidad de Seguridad también es calidad.
Enrique G.Dutra edutra@puntonetsoluciones.com.ar @egdutra ¿Consultas?

Recomendados

Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Metodoloagía de implementación
Metodoloagía de implementaciónMetodoloagía de implementación
Metodoloagía de implementaciónAndrés Cevallos
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Recomendados

Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Metodoloagía de implementación
Metodoloagía de implementaciónMetodoloagía de implementación
Metodoloagía de implementaciónAndrés Cevallos
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móvilesSoftware Guru
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA REDCristian Garcia G.
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBMPMI Capítulo México
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.aliciaaguilarsanz
 

Más contenido relacionado

La actualidad más candente

LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móvilesSoftware Guru
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 

La actualidad más candente (20)

LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
 
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de AmenazasAplicando el Análisis de Comportamiento a la Detección de Amenazas
Aplicando el Análisis de Comportamiento a la Detección de Amenazas
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para Android
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
 
7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles7 consejos para desarrollar un proyecto en móviles
7 consejos para desarrollar un proyecto en móviles
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSF
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOC
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA RED
 

Similar a 2020 enero Argentesting

Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.aliciaaguilarsanz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarAndrés Londoño
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYEY
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochureschangan1
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 

Similar a 2020 enero Argentesting (20)

Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al Codificar
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
BYOD: Desafios y Respuestas
BYOD: Desafios y RespuestasBYOD: Desafios y Respuestas
BYOD: Desafios y Respuestas
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 

Más de Enrique Gustavo Dutra

[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Enrique Gustavo Dutra
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]Enrique Gustavo Dutra
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de RansomwareEnrique Gustavo Dutra
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Enrique Gustavo Dutra
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - PresentaciónEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMEnrique Gustavo Dutra
 

Más de Enrique Gustavo Dutra (10)

WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
 

Último

QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASMarc Liust
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendidaLuis Francisco Reyes Aceves
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxdulcemonterroza
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8antoniopalmieriluna
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...axelv9257
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Último (18)

QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

2020 enero Argentesting

  • 1. Análisis de aplicaciones móviles - aspectos de seguridad. Enrique G. Dutra 2020 – V Edición
  • 2. 2 Enrique “Quique” Dutra www.argentesting.com • Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años) • MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020. • Auditor Lider ISO/IEC 27001 por BSI. • 32 años de experiencia en Seguridad de la Información/ Informática. • Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL. • Lidera equipo que realiza unos 500 test de vulnerabilidad anuales. • Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103. • Instructor en CPCIPC de la ESAPI. • Perito/Analista Forense. • Disertante en eventos en LATAM (BRA-UY-PER-ARG). • Lidera área Q&A de Seguridad en app moviles. • Twitter: @egdutra / @puntonetsol • Linkedin : https://www.linkedin.com/in/enriquedutra/ • http: www.puntonetsoluciones.com.ar
  • 3. AGENDA •Problemática actual •Arquitectura Android •Metodología de evaluación de software •OWASP • Metodología. • Análisis estático vs dinámico. • Herramientas y soluciones.
  • 4. Situación actual Exposición de los servicios y datos a Internet. 2020 – V Edición
  • 6. De la PC al Celular
  • 7. Celulares y las aplicaciones • Siempre hay una aplicación que sirve para una situación. • No se analiza que hace la aplicación. • No se revisa los permisos que nos pide la aplicación. • La aplicación pide usuario y contraseña y la integran con alguna red social. • No hacen backup de los datos. • Envían y reciben datos sensibles. • Hay dispositivos que no poseen patrones o pines de acceso. • Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato que valide el usuario. El usuario confía ciegamente en la aplicación y NO analiza los riesgos de su uso.
  • 8. Aplicaciones Infectadas en 2019 https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
  • 9. Nomofobia: miedo de perder el celular 77% de las personas que posee un teléfono inteligente padece 'nomofobia'
  • 10. Desarrollos sin el estado de “seguro” ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/auntenticación. ✓Software con ”hardcode”. ✓Ausencia de conexión cifradas. ✓Configuración Web permite SQL Injection. ✓Usuarios de prueba en producción. ✓Base de datos sin protección o semilla. ✓Datos sensibles en base de datos : ✓Ley 25326 Rep. Arg., ✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓PCI-DSS, ✓Otros. Una oportunidad para analizar las aplicaciones, es testear si el comportamiento de la aplicación califica como aplicación segura.
  • 11. Arquitectura Android Plataforma con mayor difusión 2020 – V Edición
  • 12. Distribución de Android Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software de código abierto
  • 14. Android : Algunos puntos débiles. • Podemos vulnerar el S.O sin ser root. • Aplicaciones con permisos elevados. • Aplicaciones alojan información en sectores si protección. • Vulnerabilidades del S.O. • Antimalware ponen pesados los S.O. y no lo instalan. • Fácil integración con dispositivos de terceros. Facilidad de uso + Facilidad de configuración. • Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.: https://github.com/).
  • 15. Evaluando una aplicación móvil Apostar a la calidad de seguro también es calidad. 2020 – V Edición
  • 16. Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Área Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
  • 19. ¿Cómo podemos testear? • No hay presupuesto no es una excusa. • OWASP provee metodología de evaluación. VER PLANILLA. • Uso de herramientas Open-Source: • MobSF • Qark • Mara • Drozer
  • 20. MobSF ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad DEMO
  • 21. 21 Apostar a la calidad de Seguridad también es calidad.