SlideShare una empresa de Scribd logo

Seguridad IoT en Sanidad

R
Ramón Salado Lucena

Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla. El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/ Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena Prólogo: Vicente Aguilera

Internet
1 de 46
SEGURIDAD IOT EN SANIDAD ¿ESTAMOS PREPARADOS?
PUBLICACIÓN • APISA • Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena • Prólogo: Vicente Aguilera
• Situación Actual • Normativa en entornos Sanitarios • GDPR • Seguridad IoT • Seguridad Redes • Seguridad Web Seguridad aplicaciones móviles iOS y Android • BLE • ZigBee • Firmware VAMOS A VER…
SITUACIÓN ACTUAL Momento catalizador para impulsar la tecnología en eSalud - Seguimiento remoto: teleasistencia, localización, alarmas, seguimiento - Gestión asistencial: listas de espera, acceso a historial e informes clínicos, etc. - Programas de salud: atención cardiovascular, diabetes, etc.
eSalud Se define, según la OMS, como el uso de las tecnologías de la información y la comunicación (TIC) para la salud. mSalud Término empleado para designar el ejercicio de la medicina y la salud pública con apoyo de los dispositivos móviles. mSSPA Es un proyecto orientado a la personalización e integración de servicios móviles de salud. A través de la Agencia de Calidad Sanitaria de Andalucía existe un distintivo “AppSaludable”. IoHT Internet de las cosas en Sanidad digamos que sería la convergencia e integración de forma inteligente de los datos recopilados por los sensores de los dispositivos médicos y de las tecnologías móviles que se utilizan en la asistencia sanitaria. SITUACIÓN ACTUAL
SITUACIÓN ACTUAL
SITUACIÓN ACTUAL
Gartner says 4.9 billion connected “things” will be in use in 2015, gartner.com/newsroom/id/2905717 Gartner, Inc. Forecasts that 4.9 billion connected things will be in use in 2015, up 30 percent from 2014, and will reach 25 billion by 2020. SITUACIÓN ACTUAL
Europa - Alianza para la innovación en Internet de las Cosas: ecosistema dinámico IoT europeo. - ENISA (Agencia Europea de Seguridad de las Redes y de la Información) : informe anual con principales amenazas y tendencias - Recomendaciones de NIST, IoT European Research Cluster, etc… España - INCIBE (Instituto Nacional de Ciberseguridad) - El Equipo de Respuesta ante Emergencias Informáticas de Seguridad e Industria (CERTSI): publicación de guías orientadas para IoT - Centro Criptológico Nacional (CCN): ha publicado un informe de buenas prácticas en IoT Andalucía - El Plan de Seguridad y Confianza Digital de Andalucía 2020 - AndalucíaCERT: ha publicado algunos informes para usuarios con nociones de seguridad PLANES DE SEGURIDAD IOT
Las principales características de esta normativa aplicadas al entorno sanitario con dispositivos ioT son las siguientes: • Obligatorio la creación de un DPO (“Data Privacy Officer”). • Nuevo requisito de notificar incidentes de seguridad relativos a datos personales (“brechas”) en menos de 72 horas, a las autoridades competentes, y en algunos casos a los afectados. • Nuevos requisitos sobre consentimiento del titular de los datos. • Responsabilidad proactiva (“Accountability”) • Seguridad por defecto • Nuevos derechos: “derecho al olvido” y a la “portabilidad” de los datos • Evaluación de impacto de las operaciones de tratamiento en la protección de datos personales (EIPD) GDPR
10/10 Permite ‘123456’ 10/10 No Bloquea 10/10 Permite Enumeración de Usuarios 9/10 no tiene Doble Factor de Autenticación 8/10 Recoge Información Personal 7/10 no usa Cifrado 6/10 Interfaces Vulnerables a XSS/SQLi SSH a la Escucha Video Streaming sin Autenticación Ausencia total de Actualizaciones 4AA5-7342ENW, March 2016 How safe are home security systems? An HP study on IoT security SEGURIDAD IOT
Los problemas de seguridad del IoT son los problemas de las tecnologías que lo componen. REDES • Servicios, Encriptación, Firewall, … APLICACIONES • authN, authZ, validación inputs, … MÓVIL • APIs inseguras, capa cifrado, … CLOUD • AuthSessionAccess, … IOT • Red + App + Móvil + Cloud
IOT TOP TEN PROJECT
SEGURIDAD EN RED
Aspectos a tener en cuenta en la arquitectura: • Segmentación de la Red • Cifrado máximo en conexiones inalámbricas (WPA2-PSK AES+TKIP, WPA3, RADIUS) • Comunicación cifrada entre segmentos de red (SSL, SSH, SNMP v3) • Uso de VPN´s para dispositivos que transmitan en texto plano • Sistemas IDS/IPS de detección de intrusos • Conexiones con protocolos PACS y DICOM (apps vulnerables) • Protocolo para dispositivos IMD • Sistemas UTM, SIEM, ERD, etc. SEGURIDAD EN RED
KRACKs Key Reinstallation AttaCKs. Permite al atacante "acceder a la información que hasta ahora se asumía que estaba cifrada de forma segura” pudiendo ser usada la técnica para acceder al router y robar datos personales que naveguen por la red. WPA2 No es una vulnerabilidad de un dispositivo concreto, si no del propio protocolo, por lo que para su mitigación será necesario que se actualice el firmware de los diferentes elementos de la red. En el caso de que el fabricante no publique el parche, la recomendación pasa por utilizar medidas de seguridad adicionales como HTTPS o VPN. WiFi Honey Es un script que crea diferentes interfaces de red en modo monitor, para ser usadas como puntos de acceso simulados. Ataque por diccionario Ataque por fuerza bruta ATAQUES DE RED
Cyber Security and resilience for Smart Hospitals SEGURIDAD EN RED
Controles Proactivos 1. Verificar la seguridad desde el inicio y periódicamente 2. Parametrizar consultas 3. Codificar datos 4. Validar todas las entradas 5. Implementar controles de identidad y autenticación 6. Implementar controles de acceso apropiados 7. Proteger datos 8. Implementar el registro y la detección de intrusos 9. Aprovechar los frameworks y las bibliotecas 10. Manejo de errores y excepciones SEGURIDAD WEB
Guía de Testing WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;) SEGURIDAD WEB
Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados. SEGURIDAD WEB
Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) GHDB SEGURIDAD WEB
Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) Guía de Testing - Pruebas SEGURIDAD WEB
Fingerprint Web Server (OTG-INFO-002) Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close Guía de Testing - Pruebas SEGURIDAD WEB
Review Webserver Metafiles for Information Leakage (OTG-INFO-003) El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers. Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web Guía de Testing - Pruebas SEGURIDAD WEB
TEST XSS REFLEJADO (OTG-INPVAL-001) Cross Site Scripting una de las vulnerabilidades clásicas de las aplicaciones web. Son inyecciones de código malicio so, evitando las medidas de control. Existe diferentes tipos de inyecciones XSS, en este caso concreto, no quedan almacenadas las modificaciones, tan sólo se reflejan en el navegador durante la sesión. Guía de Testing - Pruebas SEGURIDAD WEB
TEST XSS REFLEJADO (OTG-INPVAL-001) Guía de Testing - Pruebas SEGURIDAD WEB Eleven Paths
TEST SQLi (OTG-INPVAL-005) Otra de las vulnerabilidades más conocidas en las aplicaciones web. Se trata de una modificación de las consultas SQL de la aplicación web, para extraer, modificar o eliminar algunos datos. Hablamos de inyección ya que se trata de insertar código malicioso dentro de una consulta ya existente. Por ejemplo, introduciendo el código ' or 1=1 – obtendríamos un SELECT abierto para la consulta SQL, ya que la condición 1=1 se cumple siempre. Guía de Testing - Pruebas SEGURIDAD WEB Eleven Paths
TEST SQLi (OTG-INPVAL-005) Guía de Testing - Pruebas SEGURIDAD WEB
- Los fabricantes no toman todas las medidas oportunas para garantizar un producto seguro - Vulnerabilidades en producción - Principales SO: Android e iOS - Referencias para evaluar la seguridad de las apps: - Apple - Android - ENISA: La Agencia de Seguridad de las Redes y de la Información de la Unión Europea dispone también una serie de recursos que nos pueden ayudar a la hora testear la seguridad de estos sistemas - OWASP Open Web Application Security Project SEGURIDAD EN APLICACIONES MÓVILES
SEGURIDAD EN IOS - Diferencia entre Software y Harware/Firmware - Sandbox - Partición de usuario cifrada - Firma para actualizaciones - Sistema de arranque seguro donde se llevan a cabo diferentes procesos en distintas fases, donde se comprueba continuamente la integridad del sistema durante el encendido del dispositivo y carga del sistema operativo - Firma de aplicaciones mediante clave asimétrica para su publicación - Jailbreak
SEGURIDAD EN ANDROID I
SEGURIDAD EN ANDROID II - Los procesos en Android proporcionan un entorno seguro de ejecución - Ninguna aplicación tiene autorización para ejecutar otras aplicaciones o las del propio sistema - Las restricciones se saltan mediante aprobación explícita del usuario - Modelo: - Ejecución en Sandbox - Permisos - Firma “El eslabón más débil en la cadena sigue siendo el usuario final”. Kevin Mitnick
OWASP MOBILE – TOP 10 Tanto como para desarrollador como para el auditor - M1 – Uso inapropiado de la plataforma: permisos, touch ID, claves - M2 – Almacenamiento inseguro de datos - M3 – Comunicaciones inseguras - M4 – Autenticación insegura - M5 – Criptografía insuficiente: SSL/TLS usadas, Rot13, MD4,…, “tu mismo” - M6 – Autorización insuficiente - M7 – Calidad del código cliente: buffer overflow - M8 – Manipulación de código - M9 – Ingeniería inversa: ofuscación, accesos root, certificados - M10 – Funcionalidad extraña: comentarios, contraseñas visibles,…
OWASP Y ENISA – TOP 10 CONTROLES - C1: Identificar y proteger la información sensible de la aplicación - C2: Proteger las credenciales de autenticación - C3: Proteger los datos en tránsito - C4: Correcta autenticación, autorización y gestión de sesiones - C5: Asegurar servicios y servidores - C6: Asegurar integración de terceros - C7: Consentimiento para recolectar y usar datos del usuario - C8: Proteger los servicios de pago electrónico - C9: Mantener sistema y aplicación actualizada - C10: Proteger la aplicación en tiempo de ejecución
SEGURIDAD EN BLE - RECOMENDACIONES El 80% de los dispositivos BLE no implementan encriptación en la capa de enlace y las aplicaciones móviles delegan el emparejamiento a nivel de sistema operativo. - Recomendaciones: - Activar cifrado de comunicaciones - No aceptar conexiones de dispositivos desconocidos (listas blancas en master o slave) y emparejamiento con clave de 5 caracteres - Revisar lista de dispositivos de confianza - Asignar un nombre que no refleje información extra (marca, modelo, ubicación, servicio…) - Configuración en modo invisible
SEGURIDAD EN BLE - DEBUG USB Dongle, Wireshark, Apps iOS / Android
SEGURIDAD EN ZIGBEE - Opera por encima de la capa física y de enlace del modelo OSI - Bajo consumo - Topología de red en forma de malla/estrella/árbol (robustez comunicaciones y adecuado para entornos industriales) hasta 65535 nodos frente a las 8 de Bluetooth - En auge en salud, transporte y Smart Cities - Baja velocidad de trasnmisión comparado con BLE (250 kbps frente a 1 Mbps) - Seguridad para las capas MAC, NWK y APS - La seguridad de aplicaciones se genera en otro nivel superior - Centro de Confianza (Trust Center): decide quien puede conectarse a la red y renueva la clave de red - Debilidades: si existe acceso físico se pueden obtener las claves al guardarse en memoria
ANÁLISIS DE FIRMWARE - El firmware es el software que está más integrado con el hardware del dispositivo - Nos podemos encontrar: - Programas de arranque del dispositivo (Boot Loader) - Kernel (Núcleo del firmware) - Sistema de ficheros - Conjunto de programas que ejecuta el dispositivo - Debemos realizar técnicas para: - Buscar contraseñas integradas en el código o almacenadas de forma insegura - Buscar certificados o claves de API (Interfaz de Programación de Aplicaciones) para conectar con aplicación del fabricante. - Buscar vulnerabilidades en el código de las aplicaciones web. - Buscar vulnerabilidades en los binarios presentes en el sistema de ficheros - Modificar el firmware, integrando una puerta trasera, para crear un firmware malicioso
ANÁLISIS DE FIRMWARE - Acceso al firmware: web o ftp del fabricante, volcado a la memoria del dispositivo, interceptando el tráfico mediante una actualización. - Sistema de ficheros: squashfs, cramf, JFFS2, YAFFS2, ext2 - Extracción: herramienta Binwalk

Recomendados

Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 
Pentesting Wireless
Pentesting WirelessPentesting Wireless
Pentesting WirelessDavid Narváez
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UITDavid Narváez
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de CiberseguridadDavid Narváez
 
4.2. Protocolos IOT seguridad datos
4.2. Protocolos IOT seguridad datos4.2. Protocolos IOT seguridad datos
4.2. Protocolos IOT seguridad datosDavid Narváez
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 

Recomendados

Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 
Pentesting Wireless
Pentesting WirelessPentesting Wireless
Pentesting WirelessDavid Narváez
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UITDavid Narváez
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de CiberseguridadDavid Narváez
 
4.2. Protocolos IOT seguridad datos
4.2. Protocolos IOT seguridad datos4.2. Protocolos IOT seguridad datos
4.2. Protocolos IOT seguridad datosDavid Narváez
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes Seguras1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes SegurasDavid Narváez
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Firewall palo alto
Firewall palo altoFirewall palo alto
Firewall palo altoIngeniero Itt
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11Alexander Velasque Rimac
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
1.1 Perspectivas e impactos
1.1 Perspectivas e impactos1.1 Perspectivas e impactos
1.1 Perspectivas e impactosDavid Narváez
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Internet Security Auditors
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOelsiscarolinacaasest
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las CosasCristian Borghello
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSCore2014
 
Clase 01
Clase 01Clase 01
Clase 01Titiushko Jazz
 

Más contenido relacionado

La actualidad más candente

Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes Seguras1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes SegurasDavid Narváez
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
1.1 Perspectivas e impactos
1.1 Perspectivas e impactos1.1 Perspectivas e impactos
1.1 Perspectivas e impactosDavid Narváez
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOelsiscarolinacaasest
 

La actualidad más candente (19)

Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes Seguras1.1 Fundamentos Redes Seguras
1.1 Fundamentos Redes Seguras
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
Firewall palo alto
Firewall palo altoFirewall palo alto
Firewall palo alto
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
1.1 Perspectivas e impactos
1.1 Perspectivas e impactos1.1 Perspectivas e impactos
1.1 Perspectivas e impactos
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forense
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridad
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
 

Similar a Seguridad IoT en Sanidad

Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSCore2014
 
Aplicación práctica de FIWARE al Internet de las Cosas
Aplicación práctica de FIWARE al Internet de las CosasAplicación práctica de FIWARE al Internet de las Cosas
Aplicación práctica de FIWARE al Internet de las CosasJavier García Puga
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Christian C
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOTDavid Narváez
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 

Similar a Seguridad IoT en Sanidad (20)

IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Clase 01
Clase 01Clase 01
Clase 01
 
Clase 01
Clase 01Clase 01
Clase 01
 
Aplicación práctica de FIWARE al Internet de las Cosas
Aplicación práctica de FIWARE al Internet de las CosasAplicación práctica de FIWARE al Internet de las Cosas
Aplicación práctica de FIWARE al Internet de las Cosas
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Capitulo 16
Capitulo 16Capitulo 16
Capitulo 16
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.
 
automatizacion de red.pptx
automatizacion de red.pptxautomatizacion de red.pptx
automatizacion de red.pptx
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Informe
InformeInforme
Informe
 
Informe
InformeInforme
Informe
 
INTERNET DE LAS COSAS (IoT)
INTERNET DE LAS COSAS (IoT)INTERNET DE LAS COSAS (IoT)
INTERNET DE LAS COSAS (IoT)
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 

Más de Ramón Salado Lucena

Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 

Más de Ramón Salado Lucena (6)

SHS2k23
SHS2k23SHS2k23
SHS2k23
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTOR
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
 

Último

INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 

Último (9)

INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 

Seguridad IoT en Sanidad

  • 2. PUBLICACIÓN • APISA • Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena • Prólogo: Vicente Aguilera
  • 3. • Situación Actual • Normativa en entornos Sanitarios • GDPR • Seguridad IoT • Seguridad Redes • Seguridad Web Seguridad aplicaciones móviles iOS y Android • BLE • ZigBee • Firmware VAMOS A VER…
  • 4. SITUACIÓN ACTUAL Momento catalizador para impulsar la tecnología en eSalud - Seguimiento remoto: teleasistencia, localización, alarmas, seguimiento - Gestión asistencial: listas de espera, acceso a historial e informes clínicos, etc. - Programas de salud: atención cardiovascular, diabetes, etc.
  • 5. eSalud Se define, según la OMS, como el uso de las tecnologías de la información y la comunicación (TIC) para la salud. mSalud Término empleado para designar el ejercicio de la medicina y la salud pública con apoyo de los dispositivos móviles. mSSPA Es un proyecto orientado a la personalización e integración de servicios móviles de salud. A través de la Agencia de Calidad Sanitaria de Andalucía existe un distintivo “AppSaludable”. IoHT Internet de las cosas en Sanidad digamos que sería la convergencia e integración de forma inteligente de los datos recopilados por los sensores de los dispositivos médicos y de las tecnologías móviles que se utilizan en la asistencia sanitaria. SITUACIÓN ACTUAL
  • 8. Gartner says 4.9 billion connected “things” will be in use in 2015, gartner.com/newsroom/id/2905717 Gartner, Inc. Forecasts that 4.9 billion connected things will be in use in 2015, up 30 percent from 2014, and will reach 25 billion by 2020. SITUACIÓN ACTUAL
  • 9. Europa - Alianza para la innovación en Internet de las Cosas: ecosistema dinámico IoT europeo. - ENISA (Agencia Europea de Seguridad de las Redes y de la Información) : informe anual con principales amenazas y tendencias - Recomendaciones de NIST, IoT European Research Cluster, etc… España - INCIBE (Instituto Nacional de Ciberseguridad) - El Equipo de Respuesta ante Emergencias Informáticas de Seguridad e Industria (CERTSI): publicación de guías orientadas para IoT - Centro Criptológico Nacional (CCN): ha publicado un informe de buenas prácticas en IoT Andalucía - El Plan de Seguridad y Confianza Digital de Andalucía 2020 - AndalucíaCERT: ha publicado algunos informes para usuarios con nociones de seguridad PLANES DE SEGURIDAD IOT
  • 10. Las principales características de esta normativa aplicadas al entorno sanitario con dispositivos ioT son las siguientes: • Obligatorio la creación de un DPO (“Data Privacy Officer”). • Nuevo requisito de notificar incidentes de seguridad relativos a datos personales (“brechas”) en menos de 72 horas, a las autoridades competentes, y en algunos casos a los afectados. • Nuevos requisitos sobre consentimiento del titular de los datos. • Responsabilidad proactiva (“Accountability”) • Seguridad por defecto • Nuevos derechos: “derecho al olvido” y a la “portabilidad” de los datos • Evaluación de impacto de las operaciones de tratamiento en la protección de datos personales (EIPD) GDPR
  • 11. 10/10 Permite ‘123456’ 10/10 No Bloquea 10/10 Permite Enumeración de Usuarios 9/10 no tiene Doble Factor de Autenticación 8/10 Recoge Información Personal 7/10 no usa Cifrado 6/10 Interfaces Vulnerables a XSS/SQLi SSH a la Escucha Video Streaming sin Autenticación Ausencia total de Actualizaciones 4AA5-7342ENW, March 2016 How safe are home security systems? An HP study on IoT security SEGURIDAD IOT
  • 12. Los problemas de seguridad del IoT son los problemas de las tecnologías que lo componen. REDES • Servicios, Encriptación, Firewall, … APLICACIONES • authN, authZ, validación inputs, … MÓVIL • APIs inseguras, capa cifrado, … CLOUD • AuthSessionAccess, … IOT • Red + App + Móvil + Cloud
  • 13. IOT TOP TEN PROJECT
  • 15. Aspectos a tener en cuenta en la arquitectura: • Segmentación de la Red • Cifrado máximo en conexiones inalámbricas (WPA2-PSK AES+TKIP, WPA3, RADIUS) • Comunicación cifrada entre segmentos de red (SSL, SSH, SNMP v3) • Uso de VPN´s para dispositivos que transmitan en texto plano • Sistemas IDS/IPS de detección de intrusos • Conexiones con protocolos PACS y DICOM (apps vulnerables) • Protocolo para dispositivos IMD • Sistemas UTM, SIEM, ERD, etc. SEGURIDAD EN RED
  • 16. KRACKs Key Reinstallation AttaCKs. Permite al atacante "acceder a la información que hasta ahora se asumía que estaba cifrada de forma segura” pudiendo ser usada la técnica para acceder al router y robar datos personales que naveguen por la red. WPA2 No es una vulnerabilidad de un dispositivo concreto, si no del propio protocolo, por lo que para su mitigación será necesario que se actualice el firmware de los diferentes elementos de la red. En el caso de que el fabricante no publique el parche, la recomendación pasa por utilizar medidas de seguridad adicionales como HTTPS o VPN. WiFi Honey Es un script que crea diferentes interfaces de red en modo monitor, para ser usadas como puntos de acceso simulados. Ataque por diccionario Ataque por fuerza bruta ATAQUES DE RED
  • 17. Cyber Security and resilience for Smart Hospitals SEGURIDAD EN RED
  • 18. Controles Proactivos 1. Verificar la seguridad desde el inicio y periódicamente 2. Parametrizar consultas 3. Codificar datos 4. Validar todas las entradas 5. Implementar controles de identidad y autenticación 6. Implementar controles de acceso apropiados 7. Proteger datos 8. Implementar el registro y la detección de intrusos 9. Aprovechar los frameworks y las bibliotecas 10. Manejo de errores y excepciones SEGURIDAD WEB
  • 19. Guía de Testing WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;) SEGURIDAD WEB
  • 20. Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados. SEGURIDAD WEB
  • 21. Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) GHDB SEGURIDAD WEB
  • 22. Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
  • 23. Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
  • 24. Guía de Testing - Pruebas Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN SEGURIDAD WEB
  • 25. Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
  • 26. Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
  • 27. Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
  • 28. Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) SHODAN Guía de Testing - Pruebas SEGURIDAD WEB
  • 29. Conduct search engine discovery/reconnaissance for information leakage (OTG-INFO-001) Guía de Testing - Pruebas SEGURIDAD WEB
  • 30. Fingerprint Web Server (OTG-INFO-002) Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close Guía de Testing - Pruebas SEGURIDAD WEB
  • 31. Review Webserver Metafiles for Information Leakage (OTG-INFO-003) El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers. Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web Guía de Testing - Pruebas SEGURIDAD WEB
  • 32. TEST XSS REFLEJADO (OTG-INPVAL-001) Cross Site Scripting una de las vulnerabilidades clásicas de las aplicaciones web. Son inyecciones de código malicio so, evitando las medidas de control. Existe diferentes tipos de inyecciones XSS, en este caso concreto, no quedan almacenadas las modificaciones, tan sólo se reflejan en el navegador durante la sesión. Guía de Testing - Pruebas SEGURIDAD WEB
  • 33. TEST XSS REFLEJADO (OTG-INPVAL-001) Guía de Testing - Pruebas SEGURIDAD WEB Eleven Paths
  • 34. TEST SQLi (OTG-INPVAL-005) Otra de las vulnerabilidades más conocidas en las aplicaciones web. Se trata de una modificación de las consultas SQL de la aplicación web, para extraer, modificar o eliminar algunos datos. Hablamos de inyección ya que se trata de insertar código malicioso dentro de una consulta ya existente. Por ejemplo, introduciendo el código ' or 1=1 – obtendríamos un SELECT abierto para la consulta SQL, ya que la condición 1=1 se cumple siempre. Guía de Testing - Pruebas SEGURIDAD WEB Eleven Paths
  • 35. TEST SQLi (OTG-INPVAL-005) Guía de Testing - Pruebas SEGURIDAD WEB
  • 36. - Los fabricantes no toman todas las medidas oportunas para garantizar un producto seguro - Vulnerabilidades en producción - Principales SO: Android e iOS - Referencias para evaluar la seguridad de las apps: - Apple - Android - ENISA: La Agencia de Seguridad de las Redes y de la Información de la Unión Europea dispone también una serie de recursos que nos pueden ayudar a la hora testear la seguridad de estos sistemas - OWASP Open Web Application Security Project SEGURIDAD EN APLICACIONES MÓVILES
  • 37. SEGURIDAD EN IOS - Diferencia entre Software y Harware/Firmware - Sandbox - Partición de usuario cifrada - Firma para actualizaciones - Sistema de arranque seguro donde se llevan a cabo diferentes procesos en distintas fases, donde se comprueba continuamente la integridad del sistema durante el encendido del dispositivo y carga del sistema operativo - Firma de aplicaciones mediante clave asimétrica para su publicación - Jailbreak
  • 39. SEGURIDAD EN ANDROID II - Los procesos en Android proporcionan un entorno seguro de ejecución - Ninguna aplicación tiene autorización para ejecutar otras aplicaciones o las del propio sistema - Las restricciones se saltan mediante aprobación explícita del usuario - Modelo: - Ejecución en Sandbox - Permisos - Firma “El eslabón más débil en la cadena sigue siendo el usuario final”. Kevin Mitnick
  • 40. OWASP MOBILE – TOP 10 Tanto como para desarrollador como para el auditor - M1 – Uso inapropiado de la plataforma: permisos, touch ID, claves - M2 – Almacenamiento inseguro de datos - M3 – Comunicaciones inseguras - M4 – Autenticación insegura - M5 – Criptografía insuficiente: SSL/TLS usadas, Rot13, MD4,…, “tu mismo” - M6 – Autorización insuficiente - M7 – Calidad del código cliente: buffer overflow - M8 – Manipulación de código - M9 – Ingeniería inversa: ofuscación, accesos root, certificados - M10 – Funcionalidad extraña: comentarios, contraseñas visibles,…
  • 41. OWASP Y ENISA – TOP 10 CONTROLES - C1: Identificar y proteger la información sensible de la aplicación - C2: Proteger las credenciales de autenticación - C3: Proteger los datos en tránsito - C4: Correcta autenticación, autorización y gestión de sesiones - C5: Asegurar servicios y servidores - C6: Asegurar integración de terceros - C7: Consentimiento para recolectar y usar datos del usuario - C8: Proteger los servicios de pago electrónico - C9: Mantener sistema y aplicación actualizada - C10: Proteger la aplicación en tiempo de ejecución
  • 42. SEGURIDAD EN BLE - RECOMENDACIONES El 80% de los dispositivos BLE no implementan encriptación en la capa de enlace y las aplicaciones móviles delegan el emparejamiento a nivel de sistema operativo. - Recomendaciones: - Activar cifrado de comunicaciones - No aceptar conexiones de dispositivos desconocidos (listas blancas en master o slave) y emparejamiento con clave de 5 caracteres - Revisar lista de dispositivos de confianza - Asignar un nombre que no refleje información extra (marca, modelo, ubicación, servicio…) - Configuración en modo invisible
  • 43. SEGURIDAD EN BLE - DEBUG USB Dongle, Wireshark, Apps iOS / Android
  • 44. SEGURIDAD EN ZIGBEE - Opera por encima de la capa física y de enlace del modelo OSI - Bajo consumo - Topología de red en forma de malla/estrella/árbol (robustez comunicaciones y adecuado para entornos industriales) hasta 65535 nodos frente a las 8 de Bluetooth - En auge en salud, transporte y Smart Cities - Baja velocidad de trasnmisión comparado con BLE (250 kbps frente a 1 Mbps) - Seguridad para las capas MAC, NWK y APS - La seguridad de aplicaciones se genera en otro nivel superior - Centro de Confianza (Trust Center): decide quien puede conectarse a la red y renueva la clave de red - Debilidades: si existe acceso físico se pueden obtener las claves al guardarse en memoria
  • 45. ANÁLISIS DE FIRMWARE - El firmware es el software que está más integrado con el hardware del dispositivo - Nos podemos encontrar: - Programas de arranque del dispositivo (Boot Loader) - Kernel (Núcleo del firmware) - Sistema de ficheros - Conjunto de programas que ejecuta el dispositivo - Debemos realizar técnicas para: - Buscar contraseñas integradas en el código o almacenadas de forma insegura - Buscar certificados o claves de API (Interfaz de Programación de Aplicaciones) para conectar con aplicación del fabricante. - Buscar vulnerabilidades en el código de las aplicaciones web. - Buscar vulnerabilidades en los binarios presentes en el sistema de ficheros - Modificar el firmware, integrando una puerta trasera, para crear un firmware malicioso
  • 46. ANÁLISIS DE FIRMWARE - Acceso al firmware: web o ftp del fabricante, volcado a la memoria del dispositivo, interceptando el tráfico mediante una actualización. - Sistema de ficheros: squashfs, cramf, JFFS2, YAFFS2, ext2 - Extracción: herramienta Binwalk