Mobile Top 10: Guía de los 10 principales riesgos de seguridad en dispositivos móviles
1. MOBILE TOP 10
Mateo Martínez mateo_martinez@owasp.org
2. •
Líder del Capítulo OWASP Uruguay
o
OWASP Days
o
OWASP Latam Tour
o
OWASP AppSec Latam 2012
•
Trabajo en Intel como consultor McAfee Foundstone:
o
Pentesting / Ethical Hacking
o
Social Engineering
o
Code Review
o
Entrenamientos
o
Consultoría
•
Algunas de mis certificaciones:
o
CISSP
o
ISO 27001 Lead Implementer
o
PCI QSA
o
ITIL
o
MCP
Mateo Martínez mateo_martinez@owasp.org
17. Global Board of Directors
– Michael Coates - Chairman - San Francisco, CA – Tom Brennan - Vice Chairman - Rockaway, New Jersey – Josh Sokol - Treasure - Austin, Texas - Tobias Gondrom - Secretary - Hong Kong, China - Eoin Keary - Board Member, Dublin Ireland - Jim Manico - Board Member - Hawaii - Fabio Cerullo - Board Member - Dublin, Ireland
22. 570 millones: Usuarios de móviles
366 millones: Acceso a un baño
2000 millones: Descargas de Angry Birds
Tráfico de internet móvil > PC
+2 Billones de dispositivos conectados,
En el 2020 habrá más de 60 Billones
28. Seguridad PC vs Móvil
Los desafíos en los ambientes móviles motivan a un cambio en el enfoque
AMENAZAS
VECTORES
ENTORNO
PC
Móvil
•
Malware, Virus, Phishing, Stolen Data, Trojans, DoS, Social Engineering
•
Similar al PC +
•
Pérdida de dispositivo, eavesdropping, fraude SMS
•
Browser, Bluetooth, Wi- Fi, Cellular Network, Cross Channel, Email
•
Similar al PC +
•
SMS, MMS, App downloads
•
Homogenous OS environment
•
Largely local computing centric
•
Fragmented OS environment
•
Cloud-centric, tethered to OS provider
Similitud
= +
= +
≠
29. Protección en dispositivos perdidos
4%
5%
11%
17%
19%
31%
57%
0%
10%
20%
30%
40%
50%
60%
Other
Anti-virus/anti-malware
Client firewall
Password or keypad lock
Encryption
Anti-theft device
No protection
30. La mobilidad trae nuevos riesgos
IT
HR
Finance
Sales
IT
Políticas diferentes entre usuarios IT y móviles
Más de la mitad de los usuario NO bloquean los equipos
1 de cada 5 equipos móviles se pierde por año
Los dispositivos móviles la nueva frontera del malware
31. Web 2.0, Apps 2.0, Mobility 2.0…Enterprise 2.0
IT
HR
Finance
Sales
IT
60,000 Nuevas piezas de Malware/día
Costo de la información de un laptop: $25-50K
80% de los usuarios concientes de la pérdida de Información
Zeus Malware apunta a mobile phones via SMS
September 30, 2014
36. M4 – Fuga de Información no intencional
•
Modelado de amenazas de OS, platfoms & frameworks
•
Cache de datos, logs, cookies
•
Desconocidos para el Developer
37. M5 – Autorización y Autenticación
•
No autenticar solo a nivel local
•
Cifrar datos locales
•
Rember-me
•
4-digit PIN
39. M7 – Inyección del lado del Cliente
•
SQLite Injection
•
Sniffing (intent) en Android
•
Inyección de Javascript
•
Local File Inlclusion (NFSFile, Webviews)
40. M8 – Decisiones de seguridad basados en inputs no confiables
•
Communicación entre procesos
•
Datos en clipboards/pasteboards
•
Modelo de permisos del SO
•
No utilizar métodos deprecated
41. M9 – Manejo de Sesiones
•
Sesión del lado del cliente
•
Timeout de sesiones inadecuado
•
Sesión basada en cookies
•
Creación insegura de tokens
42. M10 – Protección de Binarios
•
Prevenir Reversing
•
Monitorear Integridad de la App
•
Detectar Jailbreak / Rooted
43. Para los que quieran practicar …
•
DVIA (Damn Vuln iOS App)
•
Goat Droid
•
iGoat
44. OWASP Cheat Sheets
https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
•
Dangers of Jailbreaking and Rooting Mobiles
•
iOS Developer Cheat Sheet
•
iOS Application Security Testing
•
Mobile Jaibreaking Cheat Sheet
45. Gran crecimiento de amenazas para móviles
Riesgos diferentes a Cloud y Web Apps
Importancia del Desarrollo Seguro de Apps
Es necesario incrementar las pruebas de seguridad
Definir políticas, procesos y procedimientos
Los costos por no aplicar controles son altos
45
Conclusiones