El documento resume los 10 principales riesgos de seguridad móvil según OWASP, incluyendo almacenamiento inseguro, transmisión insegura de datos, fuga de información personal, autenticación débil, errores en asignación de privilegios, inyección del lado del cliente, denegación de servicio, código malicioso, desbordamiento de búfer y errores en controles del servidor. También ofrece algunas recomendaciones de seguridad para dispositivos móviles.
Las interfaces de AJAX son un componente clave de muchas de las aplicaciones Web 2.0. Una de las claves principales de Web 2.0 es el usar la red como plataforma para el desarrollo de aplicaciones, en vez de simples páginas web.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
Las interfaces de AJAX son un componente clave de muchas de las aplicaciones Web 2.0. Una de las claves principales de Web 2.0 es el usar la red como plataforma para el desarrollo de aplicaciones, en vez de simples páginas web.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
Videosessió dedicada a experiències de productes de gestió de logs. Avantatges i inconvenients de diferents productes de gestió de logs per part de diferents institucions que els estan fent servir, en aquest cas concret, sobre l'eina Splunk al CSUC.
Es un conjunto de servicios usando Microsoft Windows, especialmente usado en servidores web. -Este servicio convierte a una PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar páginas web tanto local como remotamente.
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
Esta presentación corresponde al "Tema 2: Tecnologías de desarrollo web" de la asignatura "Desarrollo de Aplicaciones Web" de 3º del Grado en Ingeniería del Software de la ETSII en la Universidad Rey Juan Carlos.
Videosessió dedicada a experiències de productes de gestió de logs. Avantatges i inconvenients de diferents productes de gestió de logs per part de diferents institucions que els estan fent servir, en aquest cas concret, sobre l'eina Splunk al CSUC.
Es un conjunto de servicios usando Microsoft Windows, especialmente usado en servidores web. -Este servicio convierte a una PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar páginas web tanto local como remotamente.
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
Esta presentación corresponde al "Tema 2: Tecnologías de desarrollo web" de la asignatura "Desarrollo de Aplicaciones Web" de 3º del Grado en Ingeniería del Software de la ETSII en la Universidad Rey Juan Carlos.
Desarrollo de aplicaciones (Apps) para Android y iPhone en México.Samuel Noriega
El crecimiento de la industria móvil es increíble. En solo 3 años, más de 20 billones de apps han sido descargadas entre dispositivos iPhone y Android. En esta presentación veras las ventajas de desarrollar una app para tu empresa.
visitanos en: http://www.conexionapp.com
Charla sobre Estrategia y desarrollos de aplicaciones moviles que Emilio Aviles Avila de SlashMobility impartió en la III trobada dels Serveis Informàtics de la Universidad de Girona
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-aplicaciones-moviles-android/
Con el incremento desmesurado de dispositivos móviles también crece nuestra preocupación por la seguridad de los usuarios que confiadamente usan aplicaciones de terceros sin ninguna precaución.
En este taller los asistentes aprenderán a usar las herramientas necesarias para identificar las vulnerabilidades más comunes en aplicaciones Android.
El taller abarcará desde la ingeniería inversa de las aplicaciones hasta el análisis de tráfico para la evaluación de servicios web involucrados.
Charla: Lo que las Apps esconden, impartida por Simón Roses de Vulnex para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012.
La ética, la #privacidad digital y la #ciberseguridad, están cobrando gran relevancia, y son una de las principales #tendenciastecnológicas de hoy y del futuro, asegurando un entorno confiable para gobiernos, empresas y personas.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Charla: Análisis Forense de Dispositivos Android, impartida por Antonio Díaz de Informática 64 para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012. Diapositivas 1/3.
Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.
Los dispositivos llegaron para quedarse, y es un reto para las empresas, adoptarlos, de manera segura. La administración de las diferentes plataformas hoy disponibles puede ser un verdadero reto para los equipos de IT. En este evento revisamos el proceso que debe soportar una solución MDM en la empresa.
La seguridad sigue siendo hoy en día una de las principales preocupaciones a la hora de dar el salto a la nube. Los clientes sienten una preocupación razonable a la hora de pensar en poner su activo más crítico -los datos- en manos de terceros. Entre las principales amenazas de seguridad en el cloud se encuentra la fuga de datos críticos, sobre todo debido a deficiencias en la configuración y gestión.
Oracle Cloud Infrastructure (OCI) es un referente en el mercado gracias, entre otros aspectos, a su estrategia de seguridad y disponibilidad de activos críticos. En este webinar conoceremos las medidas de seguridad que Oracle pone a disposición de las empresas y cómo desde avanttic podemos facilitar una transición y permanencia en la nube sin fisuras, garantizando la seguridad, disponibilidad y aislamiento.
Algo que nos ha enseñado la experiencia es que las vulnerabilidades de las aplicaciones Android y iOS siguen ahí. Proteger la privacidad y seguridad de los usuarios es indispensable ante las numerosas amenazas cibernéticas que conllevan el desarrollar aplicaciones móviles.
Acompáñanos en este recorrido por los 10 riesgos más críticos de las aplicaciones móviles según OWASP, donde revisaremos ejemplos prácticos, referencias a casos reales en los que estos riesgos han afectado a organizaciones, y las recomendaciones para proteger nuestras aplicaciones.
Similar a 116 owasp mobile-top_10_security_risks (20)
Compartimos las presentaciones del after muy enriquecedor sobre ChatBots (Montevideo, 14 de junio 2017), en el cual se abordaron experiencias desde diversas aristas: las necesidades del usuario, las oportunidades de las empresas, la tecnología necesaria e integración con otras plataformas , la experiencia de conversación (CX) y las capacidades de un bot, fueron algunos de los temas.
Construya las aplicaciones del futuro ¡hoy!GeneXus
Presentaremos cuáles son alguna de las principales características que debe tener una aplicación moderna, como ser una excelente experiencia de usuario, seguridad y adecuarse a los dispositivos desde el que se accede. Mostraremos ejemplos de aplicaciones web y SD.
Live Editing es una de las nuevas funcionalidades de Salto, diseñada para maximizar la productividad en el desarrollo de buenas experiencias de usuario.
Live Editing es una de las nuevas funcionalidades de Salto, diseñada para maximizar la productividad en el desarrollo de buenas experiencias de usuario. Reduce drásticamente los ciclos de diseño al integrar plenamente la aplicación que se ejecuta en el dispositivo o navegador al propio IDE. En ésta presentación veremos lo que nos ofrece dicha funcionalidad, y lo que podremos encontrar en la siguiente versión de GeneXus.
¿Pensando en implementar un sistema de gestión integral en su organización?GeneXus
Se hablará de sistemas ERP y GRP, de su implementación en las organizaciones y de los aspectos claves a considerar para lograr el éxito.
Para obtener los mayores beneficios a la hora de implementar un ERP/GRP en su organización, se deben tener presentes diferentes aspectos a nivel del sistema a incorporar, del proyecto de implementación y de la propia organización. Presentaremos los aspectos claves desde la perspectiva de nuestra experiencia en K2B.
K2B Tools el compañero de viaje ideal hacia el futuroGeneXus
En esta charla conoceremos la suite de herramientas con la que podemos ser mucho más productivos, ahorrar costos y disminuir realmente el tiempo de nuestros proyectos.
Se mostrarán las grandes novedades que K2B Tools ha incorporado en su última versión, como el SD Designer, acompañando siempre la importante evolución que ha tenido GeneXus en este último tiempo.
Genexus Salto, la próxima versión de GeneXus, simplifica aún más la construcción de software. Entérate del porqué de este salto significativo en lo que respecta a la rapidez del desarrollo Móvil.
PXTools: Nuevo generador y nuevos controles responsivosGeneXus
Mostraremos las primeras pantallas que resultarán de nuestro nuevo generador responsivo y explicaremos el funcionamiento de los nuevo controles "PXTools Responsive Layout" y "PXTools Smart Menus".
APPlícate: Aplicaciones móviles para el desarrollo de la industriaGeneXus
Hablaremos sobre el desarrollo y uso de aplicaciones móviles para aumentar la productividad de las empresas
El tema hoy es movilidad y va en aumento su demanda. El acceso a aplicaciones móviles para el negocio aumenta la productividad, la conectividad y la eficiencia económica de su organización.
En la actualidad se espera que una aplicación web sea funcional en un equipo de escritorio o inclusive en un dispositivo móvil ya que no sabemos cual será el dispositivo usado para navegar por la aplicación. Antes de ser una dificultad técnica, ésta realidad que enfrentamos hoy debe ser una oportunidad que nos posicione en un lugar estratégico frente a la competencia.
La conferencia tratará sobre la integración de sistemas GeneXus con una solución ERP/GRP.
K2B es una solución ERP/GRP integral que le permite interoperar nativamente con todos sus sistemas corporativos desarrollados con GeneXus.
En esta conferencia veremos algunas de sus características más destacadas como la cobertura funcional, la orientación a procesos y las últimas novedades: el ERP Connector para GeneXus y K2B Analytics.
GeneXus 15 – Salto en su estado Beta – es la próxima versión de GeneXus. Se presentará su foco principal, principales beneficios asociados y roadmap de esta versión.
GeneXus Cloud Deployment Services. El camino a la nube.GeneXus
A través de GeneXus Cloud deployment services se automatizan y gestionan las publicaciones de tus aplicaciones en las nubes. Ahora es fácil colocar soluciones en producción en cualquier proveedor de cloud.
LigaMX con GeneXus: De 0 a 1.700.000 de usuariosGeneXus
La aplicación oficial de la LigaMX fue desarrollada con GeneXus y ya cuenta con más de 1.700.000 de usuarios.
Los desafíos tecnológicos y las decisiones de arquitectura que permitieron lograr esta exitosa aplicación.
En el contexto actual las empresas deben ser capaces de innovar rápidamente, ofrecer aplicaciones móviles se hace cada vez más necesario. Conozca qué oportunidades le ofrece GeneXus ERP Connector for SAP para extender SAP ERP y cuáles son las novedades de GeneXus para SAP.
Evaluaremos las distintas tecnologías a la hora de llevar nuestro negocio al ambiente móvil.
Ya no quedan dudas que hay que tener una presencia en los dispositivos móviles. A la hora de llevar nuestro negocio al ambiente móvil notamos que hay diferentes opciones: aplicaciones nativas, web con diseño responsive y web móvil. Veremos cuáles son las diferencias y semejanzas entre las distintas opciones y en qué caso es mejor usar cada una de ellas.
WW+, SD+ y Audit+: Potencie GeneXus la Suite PlusGeneXus
Conozca las novedades de los productos que logran potenciar la productividad en GeneXus y mejorar la calidad de su UI & UX. Se presentarán las novedades de los productos líderes de la comunidad GeneXus: WorkWithPlus para Web, SmartDevicesPlus para Mobile y AuditPlus para Auditoría a nivel de base de datos.
Aproveche las ventajas de la colaboración entre GeneXus y Cloud Shared Office...GeneXus
Cloud Shared Office es un servicio de colaboración y reporting basado en la nube muy fiable. Es usado en más de 170 países actualmente y tiene control de acceso, versionado y todo lo necesario para resolver estas funcionalidades. En esta sesión veremos algunas características de ese servicio y cómo integrarlo en una aplicación GeneXus para el manejo de archivos y printing/reporting.
6. ¿Qué es OWASP?
• Open Web Application Security Project
• Organización mundial, sin fines de lucro
• Busca promover la seguridad y generar conciencia
• En el 2010 se formó el Capítulo Uruguay
7. Proyectos
• Guía de desarrollo seguro y guía de revisión de código
• WebScarab, WebGoat, GoatDroid
• Top 10 Vulnerabilidades Web
• Metodología ASVS
• Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011)
• Y muchos mas…
9. Top 10 - La lista
Almacenamiento Inyección del lado
1 inseguro 6 del cliente
Transmisión
2 insegura de datos 7 Denial of Service
Fuga de
3 información
personal
8 Código malicioso
Autenticación
4 débil 9 Buffer overflow
Errores en
Errores en asignación
5 de privilegios 10 controles del
servidor
10. Almacenamiento inseguro
1 ¿Qué almacenamos?
2
•Información personal, como si fuera un pendrive
3
4 •Archivos temporales de navegación, GPS, cachés
5
6 •Cookies de sesión
7
•Adjuntos de los mails, fotos
8
9 •¿Cual es el problema?
10
11. Almacenamiento inseguro
1 •Por lo general, no ciframos la información
2
•Vulnerabilidades en los distintos protocolos de
3
transferencia, Bluetooth
4
5 •El dispositivo puede caer en manos ajenas
6
7
8
9
10
12. Transmisión insegura de datos
1 • Básicamente, ausencia de cifrado en la transmisión
2 de los datos
3
•Vía HTTP, Correo, SMS, etc
4
5 •Confiar demasiado en la red celular
6
•Ataques al navegador, vulnerabilidades SSL
7
•Certificados no confiables
8 •Ataque a DigiNotar y Comodo
9
10
13. Transmisión insegura de datos
1 • Algunas aplicaciones de Android, no cifran la
2 comunicación con el server:
•Twitter
3
•Facebook
4 •Google Calendar
5 •Picasa
6
•Conexión a redes WiFi sin cifrar
7
8 • Tecnología NFC, en sí no cifra, hay que encapsular
9 por SSL, no es posible MiTM
10
14. Fuga de información personal
1 •Información personal almacenada:
2 •Agenda de contactos
•Citas
3
•Fotos (personas y documentos), archivos, etc.
4 •Lo mas riesgoso en este caso, es dejar el celular en
5 manos ajenas:
6 •Robo o extravío
•Soporte Técnico
7
•Para pasar música
8 • Se lo prestas al sobrino de un amigo para que
9 instale la última aplicación
10 •Backups sin proteger en alguna PC
15. Autenticación débil
1 •Fuerza bruta a claves débiles:
2
•PIN de la SIM
3
4 •Contraseñas de bloqueo
5
6 •Claves para conexiones Bluetooth
7
•Passphrases de cifrado
8
9 •Errores de implementación en mecanismos de
10 autenticación
16. Errores en asignación de privilegios
1 •Privilegios ajustados incorrectamente
2 •Por ejemplo sobre archivos
3
•Errores de implementación:
4 •En el sistema operativo
5 •En las aplicaciones
6
• Aplicaciones que requieren más privilegios de los
7
necesarios
8
9
10
17. Inyección del lado del cliente
1 •Al igual que en el mundo Web
2 •ejecución de código en los navegadores
3
•Aplicaciones vulnerables
4 •Pueden impactar en el servidor
5
6 •QRCodes
• Algunas aplicaciones dirigen al usuario
7
directamente
8 • Ataques de Phishing
9
10
18. Denial of Service
1 •QRCodes como vector de ataque
2
•Bluetooth
3
4 •Bruteforcing y bloqueo de dispositivo
5
6 • Compromiso del código de aplicaciones de
prevención de robo.
7
8
9
10
19. Código malicioso
1 AppStore de Tercero
2
3
4
5 Sube versión
con Malware Descarga
Desarrollo
6 Oficial Descarga
7
8 Envío de
9 Información
10
20. Código malicioso
1 •QRCodes como vector de ataque
2
•Problemas de certificados y MiTM
3
4 •Aplicaciones sin firmar
5
6 •Instalación manual de malware
7
•Servidor que distribuye aplicación comprometido
8
9
10
21. Buffer overflow
1 •Errores de implementación
2 •En el sistema operativo
•En las aplicaciones
3
4 • Se pueden comprometer archivos y recursos
5 internos del sistema
6
7
8
9
10
22. Errores en controles del servidor
1 •Validación del cliente por el servidor y viceversa
2
•Ataques MiTM
3
4 •Validación de la información enviada desde el
5 dispositivo movil
6
•Se puede comprometer el servidor
7
8
9
10
24. Algunas recomendaciones
En lo posible, no almacenar información sensible en celulares, tablets y
notebooks, no conectarse a redes WiFi no cifradas
Estos dispositivos son personales, hay que mantenerlos con uno y
cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN)
Tener cuidado con las aplicaciones que se instalen, verificar que estén
firmadas y validar la AppStore, verificar certificados
Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las
guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los
dispositivos
26. Conclusiones
• A los dispositivos móviles, se les dá mas confianza de la que
merecen, cuando debería ser todo lo contrario
• El celular es un ambiente dinámico y como tal hay que
incorporar medidas extras de seguridad
• La gente es más propensa a instalar aplicaciones “curiosas”,
sin importar su procedencia
• El celular es un punto de acceso a la información de nuestras
vidas, y está muy expuesto
• Esta película, ya la vimos…
27. Conclusiones
• … debemos cambiarle el final!
• Hay que usarlo con conciencia
• Considerar las vulnerabilidades comunes para otras
plataformas y trasladar los mecanismos de protección al
mundo móvil
• El desarrollo debe considerar medidas extras de seguridad
para estos dispositivos