SlideShare una empresa de Scribd logo

Seguridad en dispositivos móviles

M
Marcos Harasimowicz

Este documento trata sobre la seguridad en dispositivos móviles. Explica la evolución de las generaciones de telefonía móvil desde 1G hasta 5G y describe características de seguridad de sistemas operativos como iOS y Android. También analiza amenazas comunes como phishing, rooting y tipos de espionaje como espionaje gubernamental, industrial y personal.

Tecnología
1 de 85
Seguridad en dispositivos móviles Confeccionado por Marcos Harasimowicz CISSP, PCIP, ISO 27001, CEH, LPI, QSA
Smartphone El uso de dispositivos móviles inteligentes (Smartphone) ha dejado de ser una moda para convertirse en estándar. Desde los primeros dispositivos móviles (DynaTAC, MicroTAC, IBM Simon) allá por los 80 hasta las tecnologías Smartphone de hoy, las empresas han ido evolucionando conforme la tecnología móvil lo ha hecho. Las 5 generaciones inalámbricas (1G, 2G, 3G, 4G y 5G) deben su evolución a los cambios tecnológicos de servicios de transmisión y de nuevas bandas de frecuencias, junto con nuevas aplicaciones y seguridad incrementada.
Historia y Evolución Evolución Generaciones Primera Generación 1G Tecnología analógico AMPS Segunda Generación 2G Tecnología digital GSM IDEM TDMA CDMA D-AMPS Tercera Generación 3G GPRS W-CDMA HSPA+ Cuarta Generación 4G LTE Quinta Generación 5G 5 Gbps reales
Generaciones de telefonía móvil
Los smartphones o teléfonos inteligentes son una nueva modalidad de dispositivos móviles que incorporan una mayor capacidad de proceso y de movilidad que los dispositivos tradicionales. Además de su principal función de comunicación móvil, permite almacenar información, envío multimedia, correo electrónico, redes sociales, chat, agenda, juegos, cámara de fotos/videos, block de notas, alarma, etc. Esta funcionalidad hace que sea el dispositivo electrónico mas usado del mundo, incluso mas que la PC. Smartphone
Comportamiento Usuarios 87% Nunca sale de casa sin llevarlo 87% De las personas no apagan su celular 35% Realizó al menos una compra desde su teléfono inteligente 58% Luego realiza alguna acción, como comunicarse con el anunciante o enviarle un email 83% De los navegantes buscan información local 82% Accede a internet todos los días
Problemas Actuales Los Smartphones pueden comprometer la privacidad de los usuarios debido a la necesidad de las aplicaciones de obtener la ubicación geográfica, contactos, acceso a datos, etc. El problema es donde está el límite y cual es el consentimiento del usuario. La diversidad de dispositivos, sumados a la creciente irresponsabilidad en su uso, hacen que sea relativamente fácil conocer hábitos o lugares que frecuenta una persona. Con simplemente tomar uno de estos dispositivos se puede saber quien es y que hace el usuario.
¿Qué ocurre en Latinoamérica? A diferencia de lo que ocurre en otras partes del mundo como ser Europa, donde los ataques a dispositivos móviles se encuentra enfocados a eBanking, SMS, Botnet y Malware, en nuestro país lo que se busca es lograr “Control Remoto del Dispositivo”. La finalidad es la obtención de:  Credenciales de acceso  Audio, video y fotografía en tiempo real  Correo electrónico y adjuntos  Conversaciones SMS y WhatsApp  Contenidos multimedia
Objetivos de los atacantes Que buscan los atacantes? • Credenciales de acceso • Acceso al dispositivo • Acceso a servicios externos (mail, redes sociales, etc.) • Sniffing de conexiones • Acceso a datos personales • Listado de direcciones y contactos (mail, teléfonos) • Datos de tarjeta de crédito • Robo de información confidencial
Vectores de ataque El dispositivo La red Infraestructuras
Tipo de ataques en Dispositivos • Phising • Framing • Clickjacking • Man-in-the-mobile (MitMo) • Data Caching Browser attack • Baseband attack • SMiShing SMS attacks • No passcode • ISO jalibreaking • Android rooting • Windows Phone Jalibreak • No encryption System attacks
Tipo de ataques en la red Ataques : WI-FI (weak encryption/no encryption) Rogue Access points Packet sniffing Man-in-the-Middle (MITM) SSLStrip Session hijacking DNS poisoning Fake SSL certificates
Tipo de ataques en la infraestructura Ataques: • Vulnerabilidades en plataformas • Mala configuración de Servidores • Sniffing • Cross-site scripting (XSS) • Validación de entradas débiles • Ataques de fuerza bruta • SQL injection • Ejecución de comandos de SO • Escalación de privilegios • Volcado de datos
Espionaje La complejidad de los antiguos mecanismos fue suplantada por la sencillez y el fácil acceso de las tecnologías móviles actuales. Hoy con tan solo instalar una aplicación en un dispositivo, se puede obtener control total del mismo en forma remota. Un software espía permite: • Interpretar llamados, email y SMS • Activar micrófono y cámara • Localización geográfica • Ver fotos y videos • Mensajería instantánea (Skype, WhatsApp, etc.) En la actualidad existen 3 tipos de técnicas de espionaje para dispositivos móviles según el rol del usuario: • Espionaje Gubernamental. • Espionaje Industrial. • Espionaje Personal.
Espionaje Gubernamental FinFisher Es un software de la firma británica gamma internacional, utilizado para espiar y monitorizar remotamente a cualquier usuario, empresa o institución. Considerado una suite de servicios de malware dedicado al espionaje industrial o gubernamental.
Espionaje Industrial GALILEO Es un software de la firma italiana HackTeam utilizado para espiar y monitorizar remotamente a cualquier usuario o institución. Considerado una suite de servicios de malware dedicados al espionaje industrial o gubernamental. Funciona en el modo “Malware-as-a- service” (MaaS)
Espionaje Personal Existen varios software de este tipo, los preferidos de los hackers son: • Spy2mobile • FlexiSPY • Mobile SPY • SpyEra • PhoneSheriff • Mobile Monitor
iOS – Apple Características: • Conocido como iPhone OS en sus orígenes • Enfoque en seguridad • Orientado a uso personal • Sistema Operativo del tipo Unix Darwin • Updates directo del fabricante • Certificado FIPS 140-2 como mecanismo de cifrado • No funciona en Hardware de terceros
iOS – Apple Versión ISO Versión Lanzamiento iPhone OS 1.0 29 de junio de 2007 iPhone OS 2.0 11 de julio de 2008 iPhone OS 3.0 17 de junio de 2009 iOS 4 21 de junio de 2010 iOS 5 12 de octubre de 2011 iOS 6 19 de septiembre de 2012 iOS 7 18 de septiembre de 2013 iOS 8 17 de septiembre de 2014 iOS 9 16 de septiembre de 2015 iOS 10 13 de septiembre de 2016 iOS 11 19 de septiembre de 2017 iOS 12 17 de septiembre de 2018 iOS 13 Próximamente en la primavera de 2019
iOS - Arquitectura El sistema operativo de los dispositivos de Apple (iOS), esta formado por un conjunto de capas que conforman el conjunto de servicios ofrecidos por el dispositivo. Usuario Aplicación Sistema Operativo Hardware
Seguridad en dispositivos iOS iOS permite el cifrado por hardware. El cifrado por hardware emplea la codificación AES 256 bits para proteger todos los datos del dispositivo. El cifrado esta siempre activado y el usuario no lo puede desactivar. La protección de datos emplea la contraseña exclusiva del dispositivo del usuario en combinación con el cifrado por hardware del dispositivo para generar una clave de cifrado sólida. Esta clave evita el acceso a los datos cuando el dispositivo esta bloqueado.
iOS - Características Además del cifrado por Hardware, Apple utiliza una capa de seguridad llamada: File Data Protection Esta permite al dispositivo atender otros eventos (llamadas, emails, etc), sin descifrar datos confidenciales. App Sanbox User Partition Data protection class
Estructura de Directorios Directorios <Aplication_Home> /AppName_app Contiene la aplicación en sí. Para evitar la alteraciones del mismo, se firma con un certificado. El contenido de este no forma parte del backup. <Application_Home> /Documents/ Almacena los documentos y archivos de datos generados por la App. El contenido de este directorio esta respaldado por iTunes.
Estructura de Directorios Directorios <Application_Home> /Library/ Almacena las preferencias de la aplicación y archivos de cache. • /Library/Preferences • /Library/Caches Archivos que se desean conservar entre ejecuciones de la aplicación. El contenido de este directorio es respaldado por iTunes.
Estructura de Directorios Directorios <Application_Home> /tmp/ Almacena archivos temporales generados por la aplicación. El sistema operativo puede eliminarlos si la aplicación se encuentra sin correr aunque es la misma quien se encarga de limpiar el contenido. El contenido de este directorio no es respaldado por iTunes.
TouchID es un sistema de reconocimiento de huellas dactilares, diseñado por Apple. La función principal de Touch ID es el desbloqueo de los dispositivos mediante el escaneo y reconocimiento biométrico de huellas dactilares, además de poder ser utilizado como un método seguro de autenticación en diversos servicios (como en iTunes Store, App Store iBooks Store), compras y aplicaciones. Alcance  El dispositivo que incluyó por primera vez este sistema fue el iPhone 5S, lanzado a fines del año 2013  Apple NO permite el uso de esta característica a Aplicaciones de terceros  iOS 8 – Anuncio de nueva API de Touch ID para desarrolladores iOS – Touch ID
Funciones – Touch ID El bloqueo temporal de Touch ID: Si el dispositivo esta bloqueado y se han leído varias huellas que no están asociadas al Touch ID, el servicio se desconecta temporalmente. Desbloqueo de inicio: El servicio Touch ID se activa una vez que ha sido desbloqueado el dispositivo, mediante el ingreso de passcode, luego de encendido el equipo. Si el dispositivo se apaga o se resetea no podrá utilizarse. Desactivado tras 48 horas sin uso: Si en el plazo de 48 horas no se proporciona una huella correcta, el servicio se desactiva y es necesario utilizar el passcode para acceder al dispositivo.
Características - Touch ID Solo se guarda una representación matemática de la huella, dentro del Secure en clave, zona especial de alta seguridad en los chips A7. Esta zona de almacenamiento es inaccesible para cualquier aplicación a nivel usuario. Si alguien consigue acceder a los datos, no hay forma de armar la imagen de la huella original (Hashes). No esta asociada a la opción de borrado de datos después de un número determinado de intentos fallidos, por lo que probar varias veces consecutivas, no elimina los datos del dispositivo. Ataque conocido por “Chaos Computer Club” (CCC), mediante el uso de huellas falsas.
IDfa (Tracking) - Touch ID Apple ha eliminado las herramientas que permitan identificar dispositivos de usuarios a través de la dirección MAC o UDID. Desde iOS 6 SE Utiliza IFA o IDFA, el cual es un “identificador para anunciantes”. No hace identificación directa del usuario ya que es un número aleatorio, el cual se asigna a un usuario y su dispositivo. Objetivos: • Campañas de retargeting • Construcción de perfiles de usuario
iOS – SIRI Aplicación con funciones de asistente personal para dispositivos iOS Cuando se inicia una sesión de “SIRI”, los datos del usuario y su ubicación geográfica son enviados a los servidores de Apple. A su vez envía información de:  Biblioteca de música (titulados de canciones, artistas y listas de reproducción)  Nombres de las listas de recordatorios  Datos y tipo de relación que se define en los contactos Características:  La comunicación con el servidor se realiza a través de HTTPS  La información de sesión se desecha después de 10 minutos de inactividad  El procesamiento de voz, no se hace en el dispositivo. Es restringido hacia los servidores de Apple donde las grabaciones de voz del usuario son procesadas y almacenadas  El almacenamiento es por un periodo de 6 meses para que el sistema de reconocimiento puede utilizarlos para entender mejor la voz del usuario. Luego se almacena un backup por un plazo máximo de 2 años.
iOS – KeyChain KeyChain es contenedor cifrado con estructura sólida que almacena gran cantidad de datos sensibles del usuario como ser la identidad y las contraseñas de aplicaciones. Su finalidad es almacenar la mayoría de contraseñas del dispositivo para que el teléfono no solicite las credenciales cada vez que arrancamos una aplicación o servicio. • Utiliza cifrado AES 256 para almacenar y transmitir contraseñas a información de tarjetas de crédito. • Las claves de cifrado del llavero de icloud se crean en el dispositivo: • Apple “no tiene” acceso a las claves de cifrado del llavero. • Solo los datos del llavero cifrado pasan a través de los servidores de Apple. • Solo dispositivos marcados “de confianza” pueden acceder al llavero de icloud. • Se puede deshabilitar la recuperación del llavero (Datos quedan solo en los dispositivos).
iOS – Jailbreak Es el proceso de quitar las restricciones impuestas por Apple en sus dispositivos que utilizan sistemas operativo iOS, permite: • Instalación de aplicaciones no firmadas. • Acceso al sistema de archivos del dispositivo. Riesgos • Bypass del cifrado • Acceso remoto al dispositivo • Instalación de Keylogger
iOS – iTunes iTunes es la herramienta de administración multimedia de Apple para sus dispositivos. Entre sus funciones se destaca: • Organización multimedia (Música, videos, fotos) • Administración de aplicaciones • Backup de dispositivos iTunes no realiza backup de la Imagen de iOS La imagen solo cambia cuando hay una actualización No cifra backup a disco
iOS – iTunes Backup Backup a disco se almacena en: Windows: User(nombreusuario)AppDataRoamingAppleComputerMobileSyncBackup Mac: ~LibreriaAplication SupportMobileSyncBackup Elementos que conforman el backup a disco. KeyChain: Preferencias de usuario, fotos, notas, contactos, calendario y bookmarks.
iOS – iCloud iCloud es un sistema de almacenamiento en la nube (Cloud Computing) de Apple inc. El sistema basado en la nube permite a los usuarios almacenar música, videos, fotos, aplicaciones, documentos, calendario, configuraciones, historial, enlaces favoritos de navegador, recordatorios, notas, iBooks y contactos, además de servir como plataforma para servidores de correo electrónico de Apple y los calendarios. iCloud hace una copia de seguridad automática cuando este se encuentra conectado a una fuente de alimentación y su pantalla bloqueada. Habilitar el cifrado del backup de iTunes permite:  Protege los datos resguardados, evitando el robo de información.  Dificulta las tareas de recuperación de información desde el dispositivo.  El backup se realiza de manera cifrada al menos en AES 128
iOS – iPhone configuration Utility Perfiles de configuración Perfiles de datos Aplicaciones autorizadas Registro de información de los dispositivos Políticas de seguridad, comunicaciones VPN, configuración WI-FI, configuraciones de correo. Herramienta de Apple que permite crear:
Características: • Basado en Linux • Desarrollado por Android Inc • Comprado por Google • Multitarea • Soporte de diversos fabricantes (OHA) OHA: Open Handset Alliance (OHA), alianza de empresas como Intel, HTC, DELL, ARM, Motorola entre otros. Android
Sistemas Operativos Móviles Versiones Android Apple Pie 1.0 23 de septiembre de 2008 Banana Bread1 1.1 9 de febrero de 2009 Cupcake 1.5 25 de abril de 2009 Donut 1.6 15 de septiembre de 2009 Eclair 2.0 – 2.1 26 de octubre de 2009 Froyo 2.2 – 2.2.3 20 de mayo de 2010 Gingerbread 2.3 – 2.3.7 6 de diciembre de 2010 Honeycomb2​ 3.0 – 3.2.6 22 de febrero de 2011 Ice Cream Sandwich 4.0 – 4.0.5 18 de octubre de 2011 Jelly Bean 4.1 – 4.3.1 9 de julio de 2012 KitKat 4.4 – 4.4.4 31 de octubre de 2013 Lollipop 5.0 – 5.1.1 12 de noviembre de 2014 Marshmallow 6.0 – 6.0.1 5 de octubre de 2015 Nougat 7.0 – 7.1.2 15 de junio de 2016 Oreo 8.0 – 8.1 21 de agosto de 2017 Pie 9.0 6 de agosto de 2018
Arquitectura Framework de aplicaciones Capa de todas las clases y servicios que utilizan directamente la aplicaciones para realizar actualizaciones. Ej: SMS/llamadas Hardware Abstraction Layer Capa compuesta por nativas de Android. Proporciona funcionalidad a las aplicaciones.
Arquitectura Android Runtime: Aparece componente esencial de Android. Davlk Virtual Machine (Variante JVM). Hardware Abstraction Layer: Elemento del sistema operativo que funciona como una interfaz entre el software y el hardware del sistema. Evita que las aplicaciones accedan directamente al hardware. Kernel: Es el núcleo del sistema operativo que interactúa con el hardware y gestión de los drivers.
Arquitectura Android Dalvik Virtual Machine Es una maquina virtual de aplicación o proceso. Cada aplicación se ejecuta en un proceso independiente y con su propia instancia de máquina virtual. Corre sobre sistemas ligeros y con recursos limitados. Características:  Permite ejecutar aplicaciones programadas en JAVA  Alto rendimiento de la memoria del dispositivo  Enfocada en maximizar recursos escasos (Mem, CPU)  Fallo de una aplicación no afecta a las restantes  Cada aplicación es un proceso independiente ART  Reemplazo de Dalvlk Virtual Machine  Debut en Android 4.4 / Deshabilitar por defecto  Compila en tiempo de “instalación” no de “ejecución”  Menor uso de procesador
Arquitectura Android
Seguridad en Aplicaciones - Sandbox Android aprovecha la protección basada en el usuario Linux como un medio para deshabilitar y aislar los recursos de aplicaciones Por cada aplicación Android asigna un identificador único de usuario (UID) y lo ejecuta como un usuario en proceso separados Esto establece un kernel-level aplication Sanbox: • Las aplicaciones no pueden interactuar entre sí • Tienen acceso ilimitado al sistema operativo
Seguridad en Aplicaciones Cada aplicación se ejecuta en su propia máquina virtual aislada. Esto segura que una aplicación no puede acceder a los recursos de otra a menos que el equipo este rooteado. La seguridad es brindada por el propio Sistema Operativo, no por la VM. Aplicaciones Base • Cliente de correo • SMS • Calendario • Mapas • Navegador • Contactos
Permisos Una aplicación básica de Android no tiene los permisos asociado con ella Para acceder a características del sistema, es necesario declarar en el androidmainfest.xml los permisos El usuario al momento de la instalación se le pregunta si quiere aceptar o no estos permisos Los permisos no se pueden cambiar en tiempo de ejecución Nuevo esquema de permisos por parte de Google Play
Permisos Contiene la identificación de XML de los aspectos principales de la aplicación como por ejemplo su identificación (nombre, versión, etc.) incluidos los permisos necesarios para ejecutarse. Permisos Utilizados: • 42% Acceso a datos de ubicación • 26% Acceso a información personal • 31% Acceso a llamadas / números de teléfono Las API de Android se encuentran protegidas por permisos. Con el fin de acceder a las mismas (GPS, Cámara, BlueTooth, etc), los desarrolladores deben solicitar permisos correspondientes. OverPrivileged: Abusar de la solicitud de permisos.
Estructura APK El archivo .APK en realidad no es más que un fichero comprimido renovado con una cierta estructura general APK (Android Aplication Package), es una aplicación de Android empaquetada
Vulnerabilidad Master Key Descubierta por BlueBox Security. Es una vulnerabilidad que permite inyectar código malicioso en aplicaciones Android sin validar la forma digital. Afecta a los modelos hasta el Samsung Galaxy S3 La vulnerabilidad consiste en poder colocar dos archivos con el mismo nombre dentro de una aplicación APK de forma que Android verifique el primero, pero instala y utiliza el segundo. Permite camuflar e instalar software malicioso haciéndose pasar por otro software legítimo. De esta forma puede manipularse las aplicaciones como si tuviera una llave maestra:  Google lo solucionó a nivel Market no usuario  Android KitKat 4.4 en adelante, solucionado
¿Que es Google Play? Es el Market de aplicaciones de Google para dispositivos Android. Repositorio pago Requiere de un ID de Google para su descarga Identificación de dispositivo Chequeo de compatibilidad de versiones Android Informa sobre los permisos de la APP a descargar La aplicación debe estar firmada digitalmente
Google Bouncer En un servicio online de análisis automático de software malicioso en Google Play ¿Cómo funciona? • Análisis de aplicaciones en Quemu • Búsqueda de malware spyware y troyanos • Análisis de comportamiento • Análisis de nuevas cuentas de desarrollo Si una aplicación resulta maliciosa es marcada y pasa a revisión manual. Google Play tiene la capacidad de la eliminación remota de malware del dispositivo de usuario “en caso de ser necesario”
Markets alternativos Tipos de Markets: Black Markets Crak Markets Free Markets Social Markets Son tiendas alternativas al market de aplicaciones de Google para dispositivos Android Que son? Los Markets alternativos poseen algunas de las siguientes características: • Dudosa procedencia • Sin control de seguridad • Posibles spyware o malware • Aplicaciones modificadas
Root, Rooting o Rootear Método utilizado para obtener los privilegio de root sobre el sistema operativo, generalmente obtenido por explotación de una vulnerabilidad del kernel de Android. Riesgos: • Perdida de la garantía del vendedor • Puede fallar • Puede generar un Backdoor • Perdida de alguna funcionalidad
Root, Rooting o Rootear Ventajas • Acceso a todo el filesystem • Ejecución que requiere elevados privilegios • Backup full • Fácil cambio de ROM • Overcloking Desventajas • Pérdida de seguridad • Pérdida de actualizaciones
ROM de Android ¿Qué una ROM no oficial? Es una ROM modificada a la cual se le agrega nuevas características y su procedencia no es a un proveedor oficial. Generalmente poseen rooting para brindar aplicaciones específicas. ¿Qué es una ROM oficial? Es el sistema operativo Android oficial de procedencia segura, es decir, provisto por Google
Esto lo logra a partir del desarrollo de Samsung SAFE evolucionando en Samsung KNOX. Samsung comenzó a extender la seguridad del dispositivo móvil mas allá del usuario permitiendo a las empresas mayor control sobre los dispositivos.
SAFE permite a las empresas administrar la seguridad en: • Datos • Contraseñas • Aplicaciones • VPN • Acceso restringido • Delimitación geográfica • Enterprise Lincese Managements (ELM) • Seguridad y administración de nivel dispositivo.
Knox Permite separar la información personal del uso profesional mediante el uso de CONTENEDOR (nada nuevo) Todos los archivos dentro del contenedor están cifrados mediante AES 256 bits. Incluye Samsung Knox apps (entorno MAM) Las aplicaciones a utilizar dentro de Knox deben estar aprobadas y firmadas digitalmente por Samsung (App Wrapping) Seguridad y administración a nivel dispositivo y contenedor. Samsung implementa 3 nuevas funciones con Knox • Constumizable secure boot • Truzone bassed integrity measurement architecture (TIMA) • SE Android Combinadas SAFE y KNOX proporcionan mas de 475 políticas que se pueden configurar en diversas plataformas MDM. De ella mas de 205 son políticas knox
Enterprise Device Management
Tecnologías Mobile Device Management MDM Es un tipo de software que permite asegurar, monitorizar y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. MAM Es un software responsable de aprovisionar y controlar el acceso a las aplicaciones móviles desarrolladas internamente y disponibles comercialmente, utilizadas en entornos empresariales tanto en teléfonos inteligentes como en tablets propias (bring your own).
Tecnologías Mobile Device Management MCM Es la manera de gestionar como puede acceder ver almacenar manipular o transmitir información de la empresa que se encuentra en su dispositivo. MIM Es una estrategia de seguridad independiente del dispositivo que implica mantener los datos confidenciales cifrados y permitiendo que solo las aplicaciones aprobadas puedan acceder.
Tecnologías Mobile Device Management Se entiende por MDM (Gestión de dispositivos móviles) a las soluciones de software que han nacido para dar respuesta a la necesidad empresarial de poder gestionar de forma centralizada los dispositivos móviles. MDM es un sistema de gestión integral de dispositivos móviles. La demanda y la proliferación de movilidad empresarial requieren herramientas de administración flexibles como uno de sus principales objetivos. Para hacer frente a esta necesidad, la plataforma MDM busca ofrecer a sus clientes la solución mas flexible para adaptarse a una estrategia de movilidad empresarial mas amplia. Es la gestión de productos empresariales derivados de las tecnologías MDM combina la gestión de dispositivos móviles (MDM), gestión de aplicaciones móviles (MAM) y la gestión de contenido móviles (MCM) con acceso remoto seguro.
Soluciones multiplataforma ¿Qué ofrece una solución MDM? • Gestión de software hardware • Segurización de dispositivos • Administración de perfiles y configuraciones • Inventario de dispositivos • Catálogo de software • Distribución de aplicaciones y actualizaciones • Lista blanca de aplicaciones • Control de dispositivos • Bloqueo y borrado remoto • Cifrado • Política de contraseña • Configuración de correo • Configuración WIFI y VPN • Backup
Características MDM Administración centralizada Posee su propia estructura presentando una pantalla de inicio, menú, aplicaciones y widgets. Todos los datos y aplicaciones almacenadas en el contenedor están totalmente aislados del resto de componentes. Ninguna aplicación o proceso dentro de este entorno seguro puede comunicarse con un proceso exterior y viceversa. Cifrado AES 128 o superior.
MDM •Gestión de diversas plataformas •Control de dispositivos •Control de la información •Fácil implementación Ventajas: •Alcance restringido •Identificación de dispositivos •Costos elevados Desventajas:
Consideraciones Funcionalidad en la gestión y aseguramiento de múltiples plataformas móviles. Las características de seguridad de iOS en tránsito y en reposo. Reputación y fiabilidad de los proveedores. Soporte en línea. Políticas de gestión y auditoría.
Desarrollo de Aplicaciones móviles
Tipos de Aplicaciones Mobile
Aplicaciones nativas Ventajas: Control de acceso Cifrado Actualizaciones Utilización de recursos locales Permiten PUSH Permite la utilización de recursos locales tales como GPS, acelerómetros, captura de imágenes, audio y video, agenda de contactos, calendario, etc. Son aquellas aplicaciones que han sido desarrolladas para ejecutarse dentro del sistema operativo del vendor.
Aplicaciones híbridas Son aplicaciones nativas, en determinadas partes de la misma tiene la capacidad de mostrar contenido web cargado desde un servidor o en forma local.
Aplicaciones Web Son aquellas aplicaciones Multiplataforma, que han sido desarrolladas para ser utilizadas mediante un motor de navegador web, por ejemplo Webkit. Características del Webkit: • Permiten la utilización de recursos externos • Requieren conectividad • Requieren motor webkit • No utilizan recursos locales • Compatible con MacOS, iOS y Linux
Metodologías de desarrollo Modelo Cascada (Waterfall) Mobile-D Desarrollo ágil Desarrollo rápido
Modelo Waterfall (cascada) Solo aplicable cuando están cerrados los requisitos. No hay retroalimentación entre las fases en las que se divide el proyecto. Proceso fijado por fechas y presupuestos. Aconsejable para proyectos móviles muy controlados, no afectados por cambios externos.
Mobile-D Objetivo: Conseguir ciclos de desarrollo rápidos en equipos pequeños. Basados en metodologías: • Extreme programing • Crystal Methodologies • Rational Unified Process (RUP) Compuesto por las siguientes fases: Exploración Inicialización Fase de producto Fase de estabilización Fase de pruebas.
Desarrollo Ágil Adecuadas para el desarrollo de aplicaciones móviles: Alta volatibilidad del entorno, permite adaptación a nuevos dispositivos móviles o cambio de plataforma. Las interacciones en el proceso y las herramientas son mas controlables. Una aplicación se suele realizar en períodos cortos. Permite realizar actualizaciones según entregas.
Desarrollo Rápido Objetivo de obtención de un prototipo funcional Mejora del prototipo Aplica a plazos de entrega cortos que necesitan entregarse de forma inmediata Puede llegar a ser usado para mostrar un esbozo de la aplicación a un cliente en corto tiempo.
Lenguajes y SDK de Desarrollo Android Studio Android Studio es el entorno de desarrollo integrado oficial para la plataforma Android. Fue anunciado el 16 de mayo de 2013 en la conferencia Google I/O, y reemplazó a Eclipse como el IDE oficial para el desarrollo de aplicaciones para Android. La primera versión estable fue publicada en diciembre de 2014. Eclipse Eclipse es una plataforma de software compuesto por un conjunto de herramientas de programación de código abierto multiplataforma para desarrollar lo que el proyecto llama "Aplicaciones de Cliente Enriquecido", opuesto a las aplicaciones "Cliente-liviano" basadas en navegadores. Esta plataforma, típicamente ha sido usada para desarrollar entornos de desarrollo integrados (del inglés IDE), como el IDE de Java llamado Java Development Toolkit (JDT) y el compilador (ECJ) que se entrega como parte de Eclipse (y que son usados también para desarrollar el mismo Eclipse). Xcode Incluye el SDK de IOS: el cual es el IDE de Xcode para codificación, desarrollo y depuración de tu aplicación, interface Builder para diseñar la interfaz de usuario, e instrumentos para analizar el comportamiento y el desempeño además de decenas de herramientas adicionales. • Herramienta propietaria de Apple • Desarrollo directo iPhone, iPad y Mac • Gratuita
Vulnerabilidades web mas comunes OWASP Mobile top 10 Risks M1- Weak server side controls M2- Insecure Data Storage M3- Insufficient Transport Layer Protecction M4- Unintended Data Leakage M5 – Poor Authorization and Authentication M6 – Broken Cryptoraphy M7 – Client Side Injection M8 – Security Descisions via Untrusted inputsM9 – Improper Session Handing M10 – Lack of Binary Protection
Testing de aplicaciones móviles • Cuanto antes aparezca un fallo menos cuesta solventarlo • La aplicación debe cubrir los aspectos de seguridad sin perder funcionalidad • Análisis de comportamiento • Verificación de código • Prueba de requisitos funcionales • Pruebas de stress • Gestión de configuración y versiones Verificación de: • Cifrado de datos • Validación de datos • Cierre de sesión • Eliminación de cache • Evitar log con información sensible o confidencial
Seguridad de aplicaciones móviles Esquema de seguridad distribuidos en diferentes niveles Capa de aplicación Capa Almacenamiento Capa Comunicaciones Capa Sistemas Operativo
Capa – Sistema Operativo Riesgo:  Ejecución de código malicioso  Ataques de denegación de servicio  Acceso no autorizado al dispositivo  Perdida o robo del dispositivo  Modificación o reemplazo de la aplicación original Recomendaciones:  Deshabilitar operaciones automáticas  Utilizar contraseña de acceso al dispositivo  Utilizar certificados
Capa – Comunicaciones • Ataques de denegación de servicio (DoS) • Intercepción de tráfico (MitM) • Conexiones no seguras • Hardware habilitado innecesario Riesgos: • No habilitar hardware sin aviso al usuario • Utilizar TLS 1.2 • Cifrado de datos • Conectividad Bluetooth – Wifi seguro Recomendaciones:
Capa- Almacenamiento Riesgos: • Acceso no autorizado al contenido del archivo • Alteración de datos y aplicaciones • Extracción de credenciales de acceso • Extracción de datos confidenciales • Extracción de cookies Recomendaciones: • Protección de acceso al dispositivo • Utilizar librerías de cifrado del vendor • Limpieza de cache – Eliminación de cookies • Configuraciones cifradas
Capa – Aplicación •Usuarios •Uso excesivo de recursos del dispositivo •Demasiados permisos (OverPrivileged) •Solicitud de datos innecesarios •Publicación de datos sin consentimiento del usuario •Interacción con otras aplicaciones Riesgos: •Prácticas de programación seguras •Testing de la aplicación •Validación de datos Recomendaciones:

Recomendados

Mobile security
Mobile securityMobile security
Mobile security
priyanka pandey
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Mobile Security
Mobile SecurityMobile Security
Mobile Security
MarketingArrowECS_CZ
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
Daniela Florez
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
Wireless and mobile security
Wireless and mobile securityWireless and mobile security
Wireless and mobile security
Pushkar Pashupat
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
vektormrtnz
 

Recomendados

Mobile security
Mobile securityMobile security
Mobile security
priyanka pandey
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Mobile Security
Mobile SecurityMobile Security
Mobile Security
MarketingArrowECS_CZ
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
Daniela Florez
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
Wireless and mobile security
Wireless and mobile securityWireless and mobile security
Wireless and mobile security
Pushkar Pashupat
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
vektormrtnz
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
cclark_isec
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
Nemwos
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)
Rogerio Ferraz
 
Mobile security
Mobile securityMobile security
Mobile security
Mphasis
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
romeprofe
 
Mobile security
Mobile securityMobile security
Mobile security
CyberoamAcademy
 
Network Security
Network SecurityNetwork Security
Network Security
Manoj Singh
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Types of attacks and threads
Types of attacks and threadsTypes of attacks and threads
Types of attacks and threads
srivijaymanickam
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Application security
Application securityApplication security
Application security
Hagar Alaa el-din
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
Ishan Girdhar
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
karibdis05
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdfSEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
YapeChvezRigobertoAn
 

Más contenido relacionado

La actualidad más candente

Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
cclark_isec
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
Nemwos
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)
Rogerio Ferraz
 
Mobile security
Mobile securityMobile security
Mobile security
Mphasis
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
romeprofe
 
Mobile security
Mobile securityMobile security
Mobile security
CyberoamAcademy
 
Network Security
Network SecurityNetwork Security
Network Security
Manoj Singh
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Types of attacks and threads
Types of attacks and threadsTypes of attacks and threads
Types of attacks and threads
srivijaymanickam
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Application security
Application securityApplication security
Application security
Hagar Alaa el-din
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
Ishan Girdhar
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
karibdis05
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 

La actualidad más candente (20)

Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)Comptia security-sy0-601-exam-objectives-(2-0)
Comptia security-sy0-601-exam-objectives-(2-0)
 
Mobile security
Mobile securityMobile security
Mobile security
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Mobile security
Mobile securityMobile security
Mobile security
 
Network Security
Network SecurityNetwork Security
Network Security
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Types of attacks and threads
Types of attacks and threadsTypes of attacks and threads
Types of attacks and threads
 
Firewalls
FirewallsFirewalls
Firewalls
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Application security
Application securityApplication security
Application security
 
Mobile Application Security
Mobile Application SecurityMobile Application Security
Mobile Application Security
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 

Similar a Seguridad en dispositivos móviles

Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdfSEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
YapeChvezRigobertoAn
 
seguridad en wifi
seguridad en wifiseguridad en wifi
seguridad en wifi
Wilson Cardenas
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
EY
 
Dispositivos moviles
Dispositivos movilesDispositivos moviles
Dispositivos moviles
Joshimar Castro Siguas
 
Lectores de huellas digitales en dispositivos portátiles
Lectores de huellas digitales en dispositivos portátilesLectores de huellas digitales en dispositivos portátiles
Lectores de huellas digitales en dispositivos portátileselectronicamatutino
 
Examen trimestral 21
Examen trimestral 21Examen trimestral 21
Examen trimestral 21
MilagrosCaballero10
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1ticoiescla
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesCristian Borghello
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
Hacking Bolivia
 
U2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesU2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_moviles
Akirepaho
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móviles
pacanaja
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
Eventos Creativos
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
Ramiro Cid
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
Edgar Parada
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
Dylan Irzi
 
Cifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalCifrado de la Información - Guía Personal
Cifrado de la Información - Guía Personal
ESET Latinoamérica
 
Seguridad y vulnerabilidad s.o - Security and vulnerability S.O
Seguridad y vulnerabilidad s.o - Security and vulnerability S.OSeguridad y vulnerabilidad s.o - Security and vulnerability S.O
Seguridad y vulnerabilidad s.o - Security and vulnerability S.O
angel soriano
 
BioWallet GDD08 Madrid
BioWallet GDD08 MadridBioWallet GDD08 Madrid
BioWallet GDD08 Madrid
biowallet
 

Similar a Seguridad en dispositivos móviles (20)

Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdfSEGURIDAD MOVIL - GRUPO G - ULTI.pdf
SEGURIDAD MOVIL - GRUPO G - ULTI.pdf
 
seguridad en wifi
seguridad en wifiseguridad en wifi
seguridad en wifi
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
 
Dispositivos moviles
Dispositivos movilesDispositivos moviles
Dispositivos moviles
 
Lectores de huellas digitales en dispositivos portátiles
Lectores de huellas digitales en dispositivos portátilesLectores de huellas digitales en dispositivos portátiles
Lectores de huellas digitales en dispositivos portátiles
 
Examen trimestral 21
Examen trimestral 21Examen trimestral 21
Examen trimestral 21
 
Seguridad 1
Seguridad 1Seguridad 1
Seguridad 1
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
U2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesU2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_moviles
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móviles
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
 
Cifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalCifrado de la Información - Guía Personal
Cifrado de la Información - Guía Personal
 
Seguridad y vulnerabilidad s.o - Security and vulnerability S.O
Seguridad y vulnerabilidad s.o - Security and vulnerability S.OSeguridad y vulnerabilidad s.o - Security and vulnerability S.O
Seguridad y vulnerabilidad s.o - Security and vulnerability S.O
 
BioWallet GDD08 Madrid
BioWallet GDD08 MadridBioWallet GDD08 Madrid
BioWallet GDD08 Madrid
 

Más de Marcos Harasimowicz

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
Marcos Harasimowicz
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
Marcos Harasimowicz
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Introducción a redes SAN
Introducción a redes SANIntroducción a redes SAN
Introducción a redes SAN
Marcos Harasimowicz
 

Más de Marcos Harasimowicz (6)

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Introducción a redes SAN
Introducción a redes SANIntroducción a redes SAN
Introducción a redes SAN
 

Último

Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
espinozaernesto427
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
durangense277
 

Último (20)

Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
 

Seguridad en dispositivos móviles

  • 1. Seguridad en dispositivos móviles Confeccionado por Marcos Harasimowicz CISSP, PCIP, ISO 27001, CEH, LPI, QSA
  • 2. Smartphone El uso de dispositivos móviles inteligentes (Smartphone) ha dejado de ser una moda para convertirse en estándar. Desde los primeros dispositivos móviles (DynaTAC, MicroTAC, IBM Simon) allá por los 80 hasta las tecnologías Smartphone de hoy, las empresas han ido evolucionando conforme la tecnología móvil lo ha hecho. Las 5 generaciones inalámbricas (1G, 2G, 3G, 4G y 5G) deben su evolución a los cambios tecnológicos de servicios de transmisión y de nuevas bandas de frecuencias, junto con nuevas aplicaciones y seguridad incrementada.
  • 3. Historia y Evolución Evolución Generaciones Primera Generación 1G Tecnología analógico AMPS Segunda Generación 2G Tecnología digital GSM IDEM TDMA CDMA D-AMPS Tercera Generación 3G GPRS W-CDMA HSPA+ Cuarta Generación 4G LTE Quinta Generación 5G 5 Gbps reales
  • 5. Los smartphones o teléfonos inteligentes son una nueva modalidad de dispositivos móviles que incorporan una mayor capacidad de proceso y de movilidad que los dispositivos tradicionales. Además de su principal función de comunicación móvil, permite almacenar información, envío multimedia, correo electrónico, redes sociales, chat, agenda, juegos, cámara de fotos/videos, block de notas, alarma, etc. Esta funcionalidad hace que sea el dispositivo electrónico mas usado del mundo, incluso mas que la PC. Smartphone
  • 6. Comportamiento Usuarios 87% Nunca sale de casa sin llevarlo 87% De las personas no apagan su celular 35% Realizó al menos una compra desde su teléfono inteligente 58% Luego realiza alguna acción, como comunicarse con el anunciante o enviarle un email 83% De los navegantes buscan información local 82% Accede a internet todos los días
  • 7. Problemas Actuales Los Smartphones pueden comprometer la privacidad de los usuarios debido a la necesidad de las aplicaciones de obtener la ubicación geográfica, contactos, acceso a datos, etc. El problema es donde está el límite y cual es el consentimiento del usuario. La diversidad de dispositivos, sumados a la creciente irresponsabilidad en su uso, hacen que sea relativamente fácil conocer hábitos o lugares que frecuenta una persona. Con simplemente tomar uno de estos dispositivos se puede saber quien es y que hace el usuario.
  • 8. ¿Qué ocurre en Latinoamérica? A diferencia de lo que ocurre en otras partes del mundo como ser Europa, donde los ataques a dispositivos móviles se encuentra enfocados a eBanking, SMS, Botnet y Malware, en nuestro país lo que se busca es lograr “Control Remoto del Dispositivo”. La finalidad es la obtención de:  Credenciales de acceso  Audio, video y fotografía en tiempo real  Correo electrónico y adjuntos  Conversaciones SMS y WhatsApp  Contenidos multimedia
  • 9. Objetivos de los atacantes Que buscan los atacantes? • Credenciales de acceso • Acceso al dispositivo • Acceso a servicios externos (mail, redes sociales, etc.) • Sniffing de conexiones • Acceso a datos personales • Listado de direcciones y contactos (mail, teléfonos) • Datos de tarjeta de crédito • Robo de información confidencial
  • 10. Vectores de ataque El dispositivo La red Infraestructuras
  • 11. Tipo de ataques en Dispositivos • Phising • Framing • Clickjacking • Man-in-the-mobile (MitMo) • Data Caching Browser attack • Baseband attack • SMiShing SMS attacks • No passcode • ISO jalibreaking • Android rooting • Windows Phone Jalibreak • No encryption System attacks
  • 12. Tipo de ataques en la red Ataques : WI-FI (weak encryption/no encryption) Rogue Access points Packet sniffing Man-in-the-Middle (MITM) SSLStrip Session hijacking DNS poisoning Fake SSL certificates
  • 13. Tipo de ataques en la infraestructura Ataques: • Vulnerabilidades en plataformas • Mala configuración de Servidores • Sniffing • Cross-site scripting (XSS) • Validación de entradas débiles • Ataques de fuerza bruta • SQL injection • Ejecución de comandos de SO • Escalación de privilegios • Volcado de datos
  • 14. Espionaje La complejidad de los antiguos mecanismos fue suplantada por la sencillez y el fácil acceso de las tecnologías móviles actuales. Hoy con tan solo instalar una aplicación en un dispositivo, se puede obtener control total del mismo en forma remota. Un software espía permite: • Interpretar llamados, email y SMS • Activar micrófono y cámara • Localización geográfica • Ver fotos y videos • Mensajería instantánea (Skype, WhatsApp, etc.) En la actualidad existen 3 tipos de técnicas de espionaje para dispositivos móviles según el rol del usuario: • Espionaje Gubernamental. • Espionaje Industrial. • Espionaje Personal.
  • 15. Espionaje Gubernamental FinFisher Es un software de la firma británica gamma internacional, utilizado para espiar y monitorizar remotamente a cualquier usuario, empresa o institución. Considerado una suite de servicios de malware dedicado al espionaje industrial o gubernamental.
  • 16. Espionaje Industrial GALILEO Es un software de la firma italiana HackTeam utilizado para espiar y monitorizar remotamente a cualquier usuario o institución. Considerado una suite de servicios de malware dedicados al espionaje industrial o gubernamental. Funciona en el modo “Malware-as-a- service” (MaaS)
  • 17. Espionaje Personal Existen varios software de este tipo, los preferidos de los hackers son: • Spy2mobile • FlexiSPY • Mobile SPY • SpyEra • PhoneSheriff • Mobile Monitor
  • 18.
  • 19. iOS – Apple Características: • Conocido como iPhone OS en sus orígenes • Enfoque en seguridad • Orientado a uso personal • Sistema Operativo del tipo Unix Darwin • Updates directo del fabricante • Certificado FIPS 140-2 como mecanismo de cifrado • No funciona en Hardware de terceros
  • 20. iOS – Apple Versión ISO Versión Lanzamiento iPhone OS 1.0 29 de junio de 2007 iPhone OS 2.0 11 de julio de 2008 iPhone OS 3.0 17 de junio de 2009 iOS 4 21 de junio de 2010 iOS 5 12 de octubre de 2011 iOS 6 19 de septiembre de 2012 iOS 7 18 de septiembre de 2013 iOS 8 17 de septiembre de 2014 iOS 9 16 de septiembre de 2015 iOS 10 13 de septiembre de 2016 iOS 11 19 de septiembre de 2017 iOS 12 17 de septiembre de 2018 iOS 13 Próximamente en la primavera de 2019
  • 21. iOS - Arquitectura El sistema operativo de los dispositivos de Apple (iOS), esta formado por un conjunto de capas que conforman el conjunto de servicios ofrecidos por el dispositivo. Usuario Aplicación Sistema Operativo Hardware
  • 22. Seguridad en dispositivos iOS iOS permite el cifrado por hardware. El cifrado por hardware emplea la codificación AES 256 bits para proteger todos los datos del dispositivo. El cifrado esta siempre activado y el usuario no lo puede desactivar. La protección de datos emplea la contraseña exclusiva del dispositivo del usuario en combinación con el cifrado por hardware del dispositivo para generar una clave de cifrado sólida. Esta clave evita el acceso a los datos cuando el dispositivo esta bloqueado.
  • 23. iOS - Características Además del cifrado por Hardware, Apple utiliza una capa de seguridad llamada: File Data Protection Esta permite al dispositivo atender otros eventos (llamadas, emails, etc), sin descifrar datos confidenciales. App Sanbox User Partition Data protection class
  • 24. Estructura de Directorios Directorios <Aplication_Home> /AppName_app Contiene la aplicación en sí. Para evitar la alteraciones del mismo, se firma con un certificado. El contenido de este no forma parte del backup. <Application_Home> /Documents/ Almacena los documentos y archivos de datos generados por la App. El contenido de este directorio esta respaldado por iTunes.
  • 25. Estructura de Directorios Directorios <Application_Home> /Library/ Almacena las preferencias de la aplicación y archivos de cache. • /Library/Preferences • /Library/Caches Archivos que se desean conservar entre ejecuciones de la aplicación. El contenido de este directorio es respaldado por iTunes.
  • 26. Estructura de Directorios Directorios <Application_Home> /tmp/ Almacena archivos temporales generados por la aplicación. El sistema operativo puede eliminarlos si la aplicación se encuentra sin correr aunque es la misma quien se encarga de limpiar el contenido. El contenido de este directorio no es respaldado por iTunes.
  • 27. TouchID es un sistema de reconocimiento de huellas dactilares, diseñado por Apple. La función principal de Touch ID es el desbloqueo de los dispositivos mediante el escaneo y reconocimiento biométrico de huellas dactilares, además de poder ser utilizado como un método seguro de autenticación en diversos servicios (como en iTunes Store, App Store iBooks Store), compras y aplicaciones. Alcance  El dispositivo que incluyó por primera vez este sistema fue el iPhone 5S, lanzado a fines del año 2013  Apple NO permite el uso de esta característica a Aplicaciones de terceros  iOS 8 – Anuncio de nueva API de Touch ID para desarrolladores iOS – Touch ID
  • 28. Funciones – Touch ID El bloqueo temporal de Touch ID: Si el dispositivo esta bloqueado y se han leído varias huellas que no están asociadas al Touch ID, el servicio se desconecta temporalmente. Desbloqueo de inicio: El servicio Touch ID se activa una vez que ha sido desbloqueado el dispositivo, mediante el ingreso de passcode, luego de encendido el equipo. Si el dispositivo se apaga o se resetea no podrá utilizarse. Desactivado tras 48 horas sin uso: Si en el plazo de 48 horas no se proporciona una huella correcta, el servicio se desactiva y es necesario utilizar el passcode para acceder al dispositivo.
  • 29. Características - Touch ID Solo se guarda una representación matemática de la huella, dentro del Secure en clave, zona especial de alta seguridad en los chips A7. Esta zona de almacenamiento es inaccesible para cualquier aplicación a nivel usuario. Si alguien consigue acceder a los datos, no hay forma de armar la imagen de la huella original (Hashes). No esta asociada a la opción de borrado de datos después de un número determinado de intentos fallidos, por lo que probar varias veces consecutivas, no elimina los datos del dispositivo. Ataque conocido por “Chaos Computer Club” (CCC), mediante el uso de huellas falsas.
  • 30. IDfa (Tracking) - Touch ID Apple ha eliminado las herramientas que permitan identificar dispositivos de usuarios a través de la dirección MAC o UDID. Desde iOS 6 SE Utiliza IFA o IDFA, el cual es un “identificador para anunciantes”. No hace identificación directa del usuario ya que es un número aleatorio, el cual se asigna a un usuario y su dispositivo. Objetivos: • Campañas de retargeting • Construcción de perfiles de usuario
  • 31. iOS – SIRI Aplicación con funciones de asistente personal para dispositivos iOS Cuando se inicia una sesión de “SIRI”, los datos del usuario y su ubicación geográfica son enviados a los servidores de Apple. A su vez envía información de:  Biblioteca de música (titulados de canciones, artistas y listas de reproducción)  Nombres de las listas de recordatorios  Datos y tipo de relación que se define en los contactos Características:  La comunicación con el servidor se realiza a través de HTTPS  La información de sesión se desecha después de 10 minutos de inactividad  El procesamiento de voz, no se hace en el dispositivo. Es restringido hacia los servidores de Apple donde las grabaciones de voz del usuario son procesadas y almacenadas  El almacenamiento es por un periodo de 6 meses para que el sistema de reconocimiento puede utilizarlos para entender mejor la voz del usuario. Luego se almacena un backup por un plazo máximo de 2 años.
  • 32. iOS – KeyChain KeyChain es contenedor cifrado con estructura sólida que almacena gran cantidad de datos sensibles del usuario como ser la identidad y las contraseñas de aplicaciones. Su finalidad es almacenar la mayoría de contraseñas del dispositivo para que el teléfono no solicite las credenciales cada vez que arrancamos una aplicación o servicio. • Utiliza cifrado AES 256 para almacenar y transmitir contraseñas a información de tarjetas de crédito. • Las claves de cifrado del llavero de icloud se crean en el dispositivo: • Apple “no tiene” acceso a las claves de cifrado del llavero. • Solo los datos del llavero cifrado pasan a través de los servidores de Apple. • Solo dispositivos marcados “de confianza” pueden acceder al llavero de icloud. • Se puede deshabilitar la recuperación del llavero (Datos quedan solo en los dispositivos).
  • 33. iOS – Jailbreak Es el proceso de quitar las restricciones impuestas por Apple en sus dispositivos que utilizan sistemas operativo iOS, permite: • Instalación de aplicaciones no firmadas. • Acceso al sistema de archivos del dispositivo. Riesgos • Bypass del cifrado • Acceso remoto al dispositivo • Instalación de Keylogger
  • 34. iOS – iTunes iTunes es la herramienta de administración multimedia de Apple para sus dispositivos. Entre sus funciones se destaca: • Organización multimedia (Música, videos, fotos) • Administración de aplicaciones • Backup de dispositivos iTunes no realiza backup de la Imagen de iOS La imagen solo cambia cuando hay una actualización No cifra backup a disco
  • 35. iOS – iTunes Backup Backup a disco se almacena en: Windows: User(nombreusuario)AppDataRoamingAppleComputerMobileSyncBackup Mac: ~LibreriaAplication SupportMobileSyncBackup Elementos que conforman el backup a disco. KeyChain: Preferencias de usuario, fotos, notas, contactos, calendario y bookmarks.
  • 36. iOS – iCloud iCloud es un sistema de almacenamiento en la nube (Cloud Computing) de Apple inc. El sistema basado en la nube permite a los usuarios almacenar música, videos, fotos, aplicaciones, documentos, calendario, configuraciones, historial, enlaces favoritos de navegador, recordatorios, notas, iBooks y contactos, además de servir como plataforma para servidores de correo electrónico de Apple y los calendarios. iCloud hace una copia de seguridad automática cuando este se encuentra conectado a una fuente de alimentación y su pantalla bloqueada. Habilitar el cifrado del backup de iTunes permite:  Protege los datos resguardados, evitando el robo de información.  Dificulta las tareas de recuperación de información desde el dispositivo.  El backup se realiza de manera cifrada al menos en AES 128
  • 37. iOS – iPhone configuration Utility Perfiles de configuración Perfiles de datos Aplicaciones autorizadas Registro de información de los dispositivos Políticas de seguridad, comunicaciones VPN, configuración WI-FI, configuraciones de correo. Herramienta de Apple que permite crear:
  • 38.
  • 39. Características: • Basado en Linux • Desarrollado por Android Inc • Comprado por Google • Multitarea • Soporte de diversos fabricantes (OHA) OHA: Open Handset Alliance (OHA), alianza de empresas como Intel, HTC, DELL, ARM, Motorola entre otros. Android
  • 40. Sistemas Operativos Móviles Versiones Android Apple Pie 1.0 23 de septiembre de 2008 Banana Bread1 1.1 9 de febrero de 2009 Cupcake 1.5 25 de abril de 2009 Donut 1.6 15 de septiembre de 2009 Eclair 2.0 – 2.1 26 de octubre de 2009 Froyo 2.2 – 2.2.3 20 de mayo de 2010 Gingerbread 2.3 – 2.3.7 6 de diciembre de 2010 Honeycomb2​ 3.0 – 3.2.6 22 de febrero de 2011 Ice Cream Sandwich 4.0 – 4.0.5 18 de octubre de 2011 Jelly Bean 4.1 – 4.3.1 9 de julio de 2012 KitKat 4.4 – 4.4.4 31 de octubre de 2013 Lollipop 5.0 – 5.1.1 12 de noviembre de 2014 Marshmallow 6.0 – 6.0.1 5 de octubre de 2015 Nougat 7.0 – 7.1.2 15 de junio de 2016 Oreo 8.0 – 8.1 21 de agosto de 2017 Pie 9.0 6 de agosto de 2018
  • 41. Arquitectura Framework de aplicaciones Capa de todas las clases y servicios que utilizan directamente la aplicaciones para realizar actualizaciones. Ej: SMS/llamadas Hardware Abstraction Layer Capa compuesta por nativas de Android. Proporciona funcionalidad a las aplicaciones.
  • 42. Arquitectura Android Runtime: Aparece componente esencial de Android. Davlk Virtual Machine (Variante JVM). Hardware Abstraction Layer: Elemento del sistema operativo que funciona como una interfaz entre el software y el hardware del sistema. Evita que las aplicaciones accedan directamente al hardware. Kernel: Es el núcleo del sistema operativo que interactúa con el hardware y gestión de los drivers.
  • 43. Arquitectura Android Dalvik Virtual Machine Es una maquina virtual de aplicación o proceso. Cada aplicación se ejecuta en un proceso independiente y con su propia instancia de máquina virtual. Corre sobre sistemas ligeros y con recursos limitados. Características:  Permite ejecutar aplicaciones programadas en JAVA  Alto rendimiento de la memoria del dispositivo  Enfocada en maximizar recursos escasos (Mem, CPU)  Fallo de una aplicación no afecta a las restantes  Cada aplicación es un proceso independiente ART  Reemplazo de Dalvlk Virtual Machine  Debut en Android 4.4 / Deshabilitar por defecto  Compila en tiempo de “instalación” no de “ejecución”  Menor uso de procesador
  • 45. Seguridad en Aplicaciones - Sandbox Android aprovecha la protección basada en el usuario Linux como un medio para deshabilitar y aislar los recursos de aplicaciones Por cada aplicación Android asigna un identificador único de usuario (UID) y lo ejecuta como un usuario en proceso separados Esto establece un kernel-level aplication Sanbox: • Las aplicaciones no pueden interactuar entre sí • Tienen acceso ilimitado al sistema operativo
  • 46. Seguridad en Aplicaciones Cada aplicación se ejecuta en su propia máquina virtual aislada. Esto segura que una aplicación no puede acceder a los recursos de otra a menos que el equipo este rooteado. La seguridad es brindada por el propio Sistema Operativo, no por la VM. Aplicaciones Base • Cliente de correo • SMS • Calendario • Mapas • Navegador • Contactos
  • 47. Permisos Una aplicación básica de Android no tiene los permisos asociado con ella Para acceder a características del sistema, es necesario declarar en el androidmainfest.xml los permisos El usuario al momento de la instalación se le pregunta si quiere aceptar o no estos permisos Los permisos no se pueden cambiar en tiempo de ejecución Nuevo esquema de permisos por parte de Google Play
  • 48. Permisos Contiene la identificación de XML de los aspectos principales de la aplicación como por ejemplo su identificación (nombre, versión, etc.) incluidos los permisos necesarios para ejecutarse. Permisos Utilizados: • 42% Acceso a datos de ubicación • 26% Acceso a información personal • 31% Acceso a llamadas / números de teléfono Las API de Android se encuentran protegidas por permisos. Con el fin de acceder a las mismas (GPS, Cámara, BlueTooth, etc), los desarrolladores deben solicitar permisos correspondientes. OverPrivileged: Abusar de la solicitud de permisos.
  • 49. Estructura APK El archivo .APK en realidad no es más que un fichero comprimido renovado con una cierta estructura general APK (Android Aplication Package), es una aplicación de Android empaquetada
  • 50. Vulnerabilidad Master Key Descubierta por BlueBox Security. Es una vulnerabilidad que permite inyectar código malicioso en aplicaciones Android sin validar la forma digital. Afecta a los modelos hasta el Samsung Galaxy S3 La vulnerabilidad consiste en poder colocar dos archivos con el mismo nombre dentro de una aplicación APK de forma que Android verifique el primero, pero instala y utiliza el segundo. Permite camuflar e instalar software malicioso haciéndose pasar por otro software legítimo. De esta forma puede manipularse las aplicaciones como si tuviera una llave maestra:  Google lo solucionó a nivel Market no usuario  Android KitKat 4.4 en adelante, solucionado
  • 51. ¿Que es Google Play? Es el Market de aplicaciones de Google para dispositivos Android. Repositorio pago Requiere de un ID de Google para su descarga Identificación de dispositivo Chequeo de compatibilidad de versiones Android Informa sobre los permisos de la APP a descargar La aplicación debe estar firmada digitalmente
  • 52. Google Bouncer En un servicio online de análisis automático de software malicioso en Google Play ¿Cómo funciona? • Análisis de aplicaciones en Quemu • Búsqueda de malware spyware y troyanos • Análisis de comportamiento • Análisis de nuevas cuentas de desarrollo Si una aplicación resulta maliciosa es marcada y pasa a revisión manual. Google Play tiene la capacidad de la eliminación remota de malware del dispositivo de usuario “en caso de ser necesario”
  • 53. Markets alternativos Tipos de Markets: Black Markets Crak Markets Free Markets Social Markets Son tiendas alternativas al market de aplicaciones de Google para dispositivos Android Que son? Los Markets alternativos poseen algunas de las siguientes características: • Dudosa procedencia • Sin control de seguridad • Posibles spyware o malware • Aplicaciones modificadas
  • 54. Root, Rooting o Rootear Método utilizado para obtener los privilegio de root sobre el sistema operativo, generalmente obtenido por explotación de una vulnerabilidad del kernel de Android. Riesgos: • Perdida de la garantía del vendedor • Puede fallar • Puede generar un Backdoor • Perdida de alguna funcionalidad
  • 55. Root, Rooting o Rootear Ventajas • Acceso a todo el filesystem • Ejecución que requiere elevados privilegios • Backup full • Fácil cambio de ROM • Overcloking Desventajas • Pérdida de seguridad • Pérdida de actualizaciones
  • 56. ROM de Android ¿Qué una ROM no oficial? Es una ROM modificada a la cual se le agrega nuevas características y su procedencia no es a un proveedor oficial. Generalmente poseen rooting para brindar aplicaciones específicas. ¿Qué es una ROM oficial? Es el sistema operativo Android oficial de procedencia segura, es decir, provisto por Google
  • 57. Esto lo logra a partir del desarrollo de Samsung SAFE evolucionando en Samsung KNOX. Samsung comenzó a extender la seguridad del dispositivo móvil mas allá del usuario permitiendo a las empresas mayor control sobre los dispositivos.
  • 58. SAFE permite a las empresas administrar la seguridad en: • Datos • Contraseñas • Aplicaciones • VPN • Acceso restringido • Delimitación geográfica • Enterprise Lincese Managements (ELM) • Seguridad y administración de nivel dispositivo.
  • 59. Knox Permite separar la información personal del uso profesional mediante el uso de CONTENEDOR (nada nuevo) Todos los archivos dentro del contenedor están cifrados mediante AES 256 bits. Incluye Samsung Knox apps (entorno MAM) Las aplicaciones a utilizar dentro de Knox deben estar aprobadas y firmadas digitalmente por Samsung (App Wrapping) Seguridad y administración a nivel dispositivo y contenedor. Samsung implementa 3 nuevas funciones con Knox • Constumizable secure boot • Truzone bassed integrity measurement architecture (TIMA) • SE Android Combinadas SAFE y KNOX proporcionan mas de 475 políticas que se pueden configurar en diversas plataformas MDM. De ella mas de 205 son políticas knox
  • 61. Tecnologías Mobile Device Management MDM Es un tipo de software que permite asegurar, monitorizar y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. MAM Es un software responsable de aprovisionar y controlar el acceso a las aplicaciones móviles desarrolladas internamente y disponibles comercialmente, utilizadas en entornos empresariales tanto en teléfonos inteligentes como en tablets propias (bring your own).
  • 62. Tecnologías Mobile Device Management MCM Es la manera de gestionar como puede acceder ver almacenar manipular o transmitir información de la empresa que se encuentra en su dispositivo. MIM Es una estrategia de seguridad independiente del dispositivo que implica mantener los datos confidenciales cifrados y permitiendo que solo las aplicaciones aprobadas puedan acceder.
  • 63. Tecnologías Mobile Device Management Se entiende por MDM (Gestión de dispositivos móviles) a las soluciones de software que han nacido para dar respuesta a la necesidad empresarial de poder gestionar de forma centralizada los dispositivos móviles. MDM es un sistema de gestión integral de dispositivos móviles. La demanda y la proliferación de movilidad empresarial requieren herramientas de administración flexibles como uno de sus principales objetivos. Para hacer frente a esta necesidad, la plataforma MDM busca ofrecer a sus clientes la solución mas flexible para adaptarse a una estrategia de movilidad empresarial mas amplia. Es la gestión de productos empresariales derivados de las tecnologías MDM combina la gestión de dispositivos móviles (MDM), gestión de aplicaciones móviles (MAM) y la gestión de contenido móviles (MCM) con acceso remoto seguro.
  • 64. Soluciones multiplataforma ¿Qué ofrece una solución MDM? • Gestión de software hardware • Segurización de dispositivos • Administración de perfiles y configuraciones • Inventario de dispositivos • Catálogo de software • Distribución de aplicaciones y actualizaciones • Lista blanca de aplicaciones • Control de dispositivos • Bloqueo y borrado remoto • Cifrado • Política de contraseña • Configuración de correo • Configuración WIFI y VPN • Backup
  • 65. Características MDM Administración centralizada Posee su propia estructura presentando una pantalla de inicio, menú, aplicaciones y widgets. Todos los datos y aplicaciones almacenadas en el contenedor están totalmente aislados del resto de componentes. Ninguna aplicación o proceso dentro de este entorno seguro puede comunicarse con un proceso exterior y viceversa. Cifrado AES 128 o superior.
  • 66. MDM •Gestión de diversas plataformas •Control de dispositivos •Control de la información •Fácil implementación Ventajas: •Alcance restringido •Identificación de dispositivos •Costos elevados Desventajas:
  • 67. Consideraciones Funcionalidad en la gestión y aseguramiento de múltiples plataformas móviles. Las características de seguridad de iOS en tránsito y en reposo. Reputación y fiabilidad de los proveedores. Soporte en línea. Políticas de gestión y auditoría.
  • 70. Aplicaciones nativas Ventajas: Control de acceso Cifrado Actualizaciones Utilización de recursos locales Permiten PUSH Permite la utilización de recursos locales tales como GPS, acelerómetros, captura de imágenes, audio y video, agenda de contactos, calendario, etc. Son aquellas aplicaciones que han sido desarrolladas para ejecutarse dentro del sistema operativo del vendor.
  • 71. Aplicaciones híbridas Son aplicaciones nativas, en determinadas partes de la misma tiene la capacidad de mostrar contenido web cargado desde un servidor o en forma local.
  • 72. Aplicaciones Web Son aquellas aplicaciones Multiplataforma, que han sido desarrolladas para ser utilizadas mediante un motor de navegador web, por ejemplo Webkit. Características del Webkit: • Permiten la utilización de recursos externos • Requieren conectividad • Requieren motor webkit • No utilizan recursos locales • Compatible con MacOS, iOS y Linux
  • 73. Metodologías de desarrollo Modelo Cascada (Waterfall) Mobile-D Desarrollo ágil Desarrollo rápido
  • 74. Modelo Waterfall (cascada) Solo aplicable cuando están cerrados los requisitos. No hay retroalimentación entre las fases en las que se divide el proyecto. Proceso fijado por fechas y presupuestos. Aconsejable para proyectos móviles muy controlados, no afectados por cambios externos.
  • 75. Mobile-D Objetivo: Conseguir ciclos de desarrollo rápidos en equipos pequeños. Basados en metodologías: • Extreme programing • Crystal Methodologies • Rational Unified Process (RUP) Compuesto por las siguientes fases: Exploración Inicialización Fase de producto Fase de estabilización Fase de pruebas.
  • 76. Desarrollo Ágil Adecuadas para el desarrollo de aplicaciones móviles: Alta volatibilidad del entorno, permite adaptación a nuevos dispositivos móviles o cambio de plataforma. Las interacciones en el proceso y las herramientas son mas controlables. Una aplicación se suele realizar en períodos cortos. Permite realizar actualizaciones según entregas.
  • 77. Desarrollo Rápido Objetivo de obtención de un prototipo funcional Mejora del prototipo Aplica a plazos de entrega cortos que necesitan entregarse de forma inmediata Puede llegar a ser usado para mostrar un esbozo de la aplicación a un cliente en corto tiempo.
  • 78. Lenguajes y SDK de Desarrollo Android Studio Android Studio es el entorno de desarrollo integrado oficial para la plataforma Android. Fue anunciado el 16 de mayo de 2013 en la conferencia Google I/O, y reemplazó a Eclipse como el IDE oficial para el desarrollo de aplicaciones para Android. La primera versión estable fue publicada en diciembre de 2014. Eclipse Eclipse es una plataforma de software compuesto por un conjunto de herramientas de programación de código abierto multiplataforma para desarrollar lo que el proyecto llama "Aplicaciones de Cliente Enriquecido", opuesto a las aplicaciones "Cliente-liviano" basadas en navegadores. Esta plataforma, típicamente ha sido usada para desarrollar entornos de desarrollo integrados (del inglés IDE), como el IDE de Java llamado Java Development Toolkit (JDT) y el compilador (ECJ) que se entrega como parte de Eclipse (y que son usados también para desarrollar el mismo Eclipse). Xcode Incluye el SDK de IOS: el cual es el IDE de Xcode para codificación, desarrollo y depuración de tu aplicación, interface Builder para diseñar la interfaz de usuario, e instrumentos para analizar el comportamiento y el desempeño además de decenas de herramientas adicionales. • Herramienta propietaria de Apple • Desarrollo directo iPhone, iPad y Mac • Gratuita
  • 79. Vulnerabilidades web mas comunes OWASP Mobile top 10 Risks M1- Weak server side controls M2- Insecure Data Storage M3- Insufficient Transport Layer Protecction M4- Unintended Data Leakage M5 – Poor Authorization and Authentication M6 – Broken Cryptoraphy M7 – Client Side Injection M8 – Security Descisions via Untrusted inputsM9 – Improper Session Handing M10 – Lack of Binary Protection
  • 80. Testing de aplicaciones móviles • Cuanto antes aparezca un fallo menos cuesta solventarlo • La aplicación debe cubrir los aspectos de seguridad sin perder funcionalidad • Análisis de comportamiento • Verificación de código • Prueba de requisitos funcionales • Pruebas de stress • Gestión de configuración y versiones Verificación de: • Cifrado de datos • Validación de datos • Cierre de sesión • Eliminación de cache • Evitar log con información sensible o confidencial
  • 81. Seguridad de aplicaciones móviles Esquema de seguridad distribuidos en diferentes niveles Capa de aplicación Capa Almacenamiento Capa Comunicaciones Capa Sistemas Operativo
  • 82. Capa – Sistema Operativo Riesgo:  Ejecución de código malicioso  Ataques de denegación de servicio  Acceso no autorizado al dispositivo  Perdida o robo del dispositivo  Modificación o reemplazo de la aplicación original Recomendaciones:  Deshabilitar operaciones automáticas  Utilizar contraseña de acceso al dispositivo  Utilizar certificados
  • 83. Capa – Comunicaciones • Ataques de denegación de servicio (DoS) • Intercepción de tráfico (MitM) • Conexiones no seguras • Hardware habilitado innecesario Riesgos: • No habilitar hardware sin aviso al usuario • Utilizar TLS 1.2 • Cifrado de datos • Conectividad Bluetooth – Wifi seguro Recomendaciones:
  • 84. Capa- Almacenamiento Riesgos: • Acceso no autorizado al contenido del archivo • Alteración de datos y aplicaciones • Extracción de credenciales de acceso • Extracción de datos confidenciales • Extracción de cookies Recomendaciones: • Protección de acceso al dispositivo • Utilizar librerías de cifrado del vendor • Limpieza de cache – Eliminación de cookies • Configuraciones cifradas
  • 85. Capa – Aplicación •Usuarios •Uso excesivo de recursos del dispositivo •Demasiados permisos (OverPrivileged) •Solicitud de datos innecesarios •Publicación de datos sin consentimiento del usuario •Interacción con otras aplicaciones Riesgos: •Prácticas de programación seguras •Testing de la aplicación •Validación de datos Recomendaciones: