Seguridad en dispositivos móviles

Transcripción

Seguridad en
dispositivos móviles
Mauricio Cisneros
[email protected]
29 de Noviembre
Buenos Aires - Argentina
Seguridad en Dispositivos Móviles
Agenda
•
•
•
•
•
Introducción
Sistemas Operativos móviles
Problemáticas actuales
Aspectos de seguridad en Aplicaciones móviles
Recomendaciones de Seguridad
INTRODUCCION
Historia y Evolución
Historia
1973
Martín Cooper
1983
Dynatac - Ejecutivos
1992
IBM Simon
Historia y Evolución
Generaciones
Evolución
Analógico
Tecnología AMPS
Primera Generación 0G
Advanced Mobile Phone System
2.5G
Segunda Generación 2G
Tercera Generación 3G
4G
Mayor Ancho
Banda
7.2mbps
GPRS56k
EMS
Digital
HSCSD
MMS
GSM-CDMA-PDC
EDGE 384k
Digital
UMTS
Sistemas Operativos
Móviles
Apple
Sistemas Operativos Móviles
+ Utilizados
Android
iOS
Blackberry
ANDROID
Android
Desarrollado por Android Inc.
Comprado por Google
Principal producto de la Open Handset
Alliance (OHA)
Basado en Linux.
Multitarea
Soporte diversos Fabricantes (OHA)
Características
Arquitectura
Tipo Pila
Cada una de las
capas utiliza
elementos de la capa
inferior para realizar
sus funciones
Características
Características
Dalvik Virtual Machine
No es Virtual Java Machine.
Corre sobre sistemas ligeros y con recursos escasos.
La arquitectura esta basada en registros de memoria
JVM = Pila = .class
DVM = Registros = .dex
Dalvik = VM de procesos independientes
Características
Dalvik Virtual Machine
Optimizada para múltiples instancias al mismo tiempo
Alto rendimiento de la memoria del dispositivo
Enfocada en maximizar recursos escasos (Mem, CPU)
Fallo de una aplicación, no afecta a las restantes.
Cada Aplicación es tratado como proceso independiente
Características
Rom Oficial
Es el sistema operativo Android de Google base con las mejoras
de la versión correspondiente.
Google
Motorola
Release de
Adaptación
Release
indirecta
Rom oficial
del
Vendor
Claro
Customización
Operadoras
Cliente
Google
Releasedirecta
de Rom oficial
Release
Características
Rom NO oficial
Es una Rom modificada a la cual se le agregan nuevos features.
Generalmente poseen Rooting.
Google
Cyanogenmod
Release de
Rom oficial
Modificación
Perdida de garantía del equipo
Riesgos de backdoor
Usuario
Final
ROOTING
Rooting
Root, Rooting o Rootear
Riesgos
- Perdida de la garantía oficial del vendor y/o la telefónica
- Método
Si falla? utilizado para obtener los privilegios de
- Si me agrega un Backdoor?
“root
root”
root sobre el sistema operativo, generalmente
- Perdida de alguna funcionalidad
Como se hace?
obtenido por la explotación de una vulnerabilidad
del kernel de Android.
Beneficios?
Doomlord,
SuperOneClick
- Acceso a todo el filesystem
- Ejecución de aplicaciones que requieran elevados privilegios
(Sniffer)
- Backup full (Titanium Backup)
- Fácil cambio de ROM
- Overclocking
GOOGLE
PLAY!
Google Play
Que es Google Play?
Es el Market de aplicaciones de Google para dispositivos
Android.
Características
-
Requiere de un ID de Google para su uso
Sin ID no se permite descarga
Identificación de Dispositivo
Chequeo de compatibilidad versión Android
- Informa sobre los permisos de la APP a descargar
Google Play
Google Bouncer
Servicio de análisis automatizado de software potencialmente
malicioso en Google Play.
Como funciona?
Análisis de Aplicaciones en Sandbox Quemu
Búsqueda de malware, spyware y troyanos
Análisis de comportamiento
Análisis de nuevas cuentas de desarrolladores
Google Play
Google Bouncer
Si la App resulta maliciosa, es marcada y pasa a revisión
manual.
Android Market también tiene la capacidad de eliminación de
malware remota de tu teléfono o tablet, si es necesario.
Droiddream,
Droiddream,
Se coló en el Market de google, con más
de 250.000 descargas
Markets alternativos
¿Qué son?
Son tiendas alternativas al Market de aplicaciones de Google
para dispositivos Android.
Conocidas como:
Black Markets
Crack Markets
Free Markets
Sin controles de seguridad
Dudosa procedencia
Aplicaciones modificadas
Malware
Aplicaciones
Android
Seguridad en aplicaciones
Aplicaciones
Aplicaciones
Nativas
Aplicaciones de
3ros
Cliente de Correo
SMS
Calendario
Mapas
Navegador
Contactos
Procesadores de texto
Utilitarios
Juegos
Etc.
Aplicaciones
Aplicaciones
Ejecución
Tipo
Primer Plano
Foreground
Juego
Segundo Plano
Background
Servicio SMS
Intermitentes
Combinación
Música
Widgets
Live wallpapers
“…a la larga, todo recae en los permisos…”
Las API de Android se encuentran protegidas por permisos.
Con el fin de acceder a las API mediante llamados, los
desarrolladores deben de solicitar los permisos correspondientes.
Overprivileged
Término mediante el cual se identifica a una
aplicación que solicita permisos por demás.
Permisos
Una aplicación básica de Android no tiene los permisos
asociados con ella.
Para acceder a características del sistema, es necesario
declarar en el AndroidManifest.xml los permisos.
El usuario al momento de la instalación se le pregunta si
quiere aceptar o no estos permisos.
permisos
Cada aplicación se ejecuta con una "identidad" distinta (ID de
usuario e ID de grupo)
Los permisos no se pueden cambiar en tiempo de ejecución
AndroidManifest.xml
Contiene la definición en XML de los aspectos principales
de la aplicación, como por ejemplo su identificación
(nombre, versión, etc), incluidos los permisos necesarios
para su ejecución.
Estructura APK
Una aplicación de Android empaquetada.
El Archivo .APK en realidad, no es más que un fichero
comprimido .ZIP renombrado, con una cierta estructura
general.
Gestión de
dispositivos
móviles Android.
Gestión de dispositivos Android
Gestión - Cerberus
Protección:
- Gestión Via Web fabricante (www.cerberusapp.com)
- Control SMS
- SIM Checker
-Localización - Alerta Sonora
- Wipe remoto (Memoria interna - Tarjeta SD)
- Ocultar la aplicación
- Bloquear de dispositivo
- Grabar audio desde el micrófono
- Registro de llamadas del dispositivo
- Sacar fotos
- Android Beam - NFC
- Face Unlock
- App Encryption
Apple
iOS - Apple
Conocido como iPhone OS en sus orígenes.
No funciona en Hardware de 3ros.
Orientado a uso personal
Enfoque en seguridad
Sistema operativo del tipo UNIX basado en Darwin
BSD.
iOS - Características
El Sistema Operativo de los dispositivos de Apple (iOS), está
formado por un conjunto de capas, que conforman el conjunto de
servicios ofrecidos por el dispositivo. Arquitectura:
HARDWARE
Estructura
2}
Partición de datos de Usuario
Partición de Sistema
Particiones
1}
Motor de
cifrado
AES 256 crypto engine
File Data Protection
Además del cifrado por
Hardware, Apple utiliza una
capa más de seguridad llamada
File Data Protection
Este permite al dispositivo
atender otros eventos (llamadas,
email, etc), sin descifrar datos
confidenciales.
Seguridad en dispositivos iOS
iOS permite el Cifrado por Hardware.
Hardware.
El cifrado por hardware emplea la codificación AES de 256
bits para proteger todos los datos del dispositivo. El cifrado
está siempre activado, y el usuario no lo puede desactivar.
La protección de datos emplea la contraseña exclusiva del
dispositivo del usuario en combinación con el cifrado por
hardware del dispositivo para generar una clave de cifrado
sólida. Esta clave evita el acceso a los datos cuando el
dispositivo está bloqueado.
Seguridad en dispositivos iOS
Aplicaciones
Sandbox
App
•
•
•
Documents
Library
Tmp
Jailbreak
iOS - Jailbreak
Jailbreak
Es el proceso de quitar las limitaciones impuestas por Apple en
dispositivos que utilicen el sistema operativo iOS.
Que permite?
Instalación de aplicaciones no firmadas.
Acceso al sistema de archivos del dispositivo
iOS - Jailbreak
Riesgos:
Riesgos:
Bypass del Cifrado
Acceso remoto al dispositivo
A saber…
saber…
Usuario “root”, clave “alpine”
Cómo lo hacen?
Software
Online según la versión de iOS
RedSnow
JailbreakMe
iOS - Jailbreak
Tethered
Untethered
AppStore
iOS - AppStore
¿Que es AppStore?
AppStore?
Es el Market de aplicaciones de Apple, el cual es un servicio
centralizado de aplicaciones.
Características
Requiere de un ID de Apple para su uso.
Sin ID no se permite descarga.
Descarga
- iTunes
- Directa
iOS - AppStore
AppStore
•iOS Developer Program
•iOS Enterprise Program
•iOS University Program
99
299
Gratis
47
iTunes
iOS - iTunes
Itunes es la herramienta de administración multimedia de
Apple para con sus dispositivos.
Entre sus funciones se destaca:
- Organización Multimedia (Música, video, fotos)
- Administración de Aplicaciones
- Backup de dispositivos
iTunes no realiza
backup de la
imagen del OS
La imagen sólo
cambia cuando
hay una
actualización
NO cifra el
backup a disco.
iOS - iTunes
iTunes Backup
Elementos que conforman el backup a disco
SMS
Preferencias del usuario
Fotos
Notas
Contactos
Calendario
Bookmarks y Cookies de navegación (Safari)
50
iCloud
iOS - iCloud
¿Qué es iCloud?
iCloud?
iCloud es un sistema de almacenamiento nube o cloud
computing de Apple Inc.
El sistema basado en la nube permite a los usuarios
almacenar música, videos, fotos,
fotos aplicaciones, documentos,
documentos
enlaces favoritos de navegador, recordatorios, notas,
notas iBooks
y contactos,
contactos además de servir como plataforma para
servidores de correo electrónico de Apple y los calendarios
iOS - iCloud
iCloud incluye
iTunes en la nube (Música)
Fotos en Streaming
Documentos en la nube
Copia de seguridad
Contactos, Calendario y Mail
Notas y Recordatorios
Buscar mi iDevice
iOS - iCloud
Copia de seguridad
iCloud hace una copia de seguridad automática por Wi-Fi
cuando este se encuentra conectado a una fuente de
alimentación y su pantalla está bloqueada.
-
Calendario
Contactos
E-mails
Fotografías
Ajustes de configuración
Música
Aplicaciones (Datos y configuraciones)
iOS - iCloud
Seguridad de iCloud
Servicio iCloud cifra contenidos antes de enviarlos por
Internet
Contenidos son almacenados en formato cifrado
Se emplean parámetros de seguridad para su autenticación
iCloud utiliza una encriptación AES 128
Versiones iOS
Versión
Mejora
3.x
Cifrado por Hardware (a partir 3GS)
4.x
SSL VPN – MDM – Multitasking – Remote Wipe
5.x
iCloud
6.x
Corrigen 197 fallas de seguridad
6.0.x
Corrigen más fallas de seguridad
Blackberry
Blackberry OS
Sistema operativo móvil RIM
Kernel Java-based
Multitasking
Orientado a uso profesional
Enfoque en seguridad
No funciona en Hardware de 3ros.
Blackberry
Internet
Service (BIS)
Servicios Bis y Bes
BIS
BlackBerry® Internet Service (BIS) es el servicio que viene
con cada dispositivo BlackBerry® que se activa con un plan
de datos. En Latinoamérica se lo suele conocer popularmente
como “Plan Blackberry”.
El tráfico de los servicios principales correo y el servicio de
Blackberry Messenger,
Messenger se canalizan a través del BIS.
BIS
Sin este servicio un blackberry es solo un celular con las
mismas posibilidades que cualquier otro smartphone.
Servicios Bis y Bes
BIS
El tráfico de datos de una BlackBerry se “canaliza” a
través de su servicio BIS, pero quedan fuera algunas
cosas, típicamente la navegación WAP o el tráfico de
aplicaciones de terceros.
Porque algunas aplicaciones no utilizan BIS?
Costos para los desarrolladores.
Blackberry
Enterprise
Server (BES)
Blackberry Enterprise Solution
Blackberry Enterprise Server
Administrar múltiples dispositivos Blackberry
Integrar el resto de los sistemas al dispositivo
Centrado en la seguridad (AES256 – 3DES)
ABM de dispositivos
Aplicar políticas a dispositivos y usuarios
Esquema similar a Active Directory
Bloqueo de equipos
Localización remota
Wipe remoto
Blackberry Enterprise Server
Cifrado de comunicaciones entre el dispositivo y el BES
Cifrado Extremo a extremo (AES – 3DES)
Soporta autenticación RSA
Acceso a Intranet con cifrado AES y/o 3DES
Firma de Código y Certificados Digitales (para Apps)
Solo acepta conexiones autenticadas y entrantes desde
Blackberry y Mail Server
Autenticación cifrada entre componentes y servicios
Server Relay Protocol ID
Infraestructura BES
Políticas
Consideraciones
•
•
•
•
Implementación de políticas por grupos
Políticas de contraseña
Rastreo de equipos
Cifrado dispositivo/memorias externas
• Registro de
• Sms,
• Blackberry Messenger,
• Llamadas
Políticas – Registro de eventos
Registro de:
• SMS / MMS,
• Blackberry Messenger
• Registro de llamadas
Archivos en texto plano
Cualquier administrador del Equipo tiene acceso a ellos
NO habilitado por defecto
BES Enterprise
Pequeña, medianas y grandes empresas
Pago
Plan de datos Enterprise Blackberry + un par de USD
Mensajería Exchange, Lotus Domino, Novell Groupwise
2000 usuarios por servidor
Set de políticas de seguridad completo
Integración PBX – Mobile Voice System
(+500)
BES Express
Pequeña y medianas empresas
Gratuito
Plan de datos Blackberry
Exchange, Windows Small Bussiness Server
Hasta
75 usuarios
Set de 75
políticas de seguridad
Blackberry
Versión
Mejora
4.x
Mejoras de usabilidad
5.x
Nuevas funciones (Gmail, Contactos, calendario)
6.x
Mejoras multimedia
7.x
Blackberry Balance
10
QNX - Salvación de Rim?
Problemáticas
Actuales
Problemáticas Actuales
1 día
6.000aprox.
1 semana
42.000aprox.
1 mes
180.000aprox.
1 año
2.190.000aprox.
78%
Consultora Carrier y Asociados
Individuales
Empresariales
Ataques basados en
la web y en redes
Software malicioso
Ingeniería social
Individuales
Abuso de
servicios y
recursos
Robo de datos
Ataques a dispositivos
WEBAPPS
BROWSER
SMS
APPS
MALWARE
NETWORK
Falta de
Falta de
Inventario
Diversidad
de
Tecnologías
registro de
CAPA
Empresariales
8
actividades
Versiones de
S.O.
Uso de
Información
recursos
laboral y
de la Cía.
personal
76
BYOD
Consumerización
Tendencia, en la cual las nuevas tecnologías surgen
en primer lugar en el mercado del consumidor final
y luego se extienden a las empresas…
O en otras palabras, “la intrusión de la
tecnología
doméstica
en
el
ámbito
MDM
laboral”.
BYOD
Soluciones
MDM
Multiplataforma
Tecnologías Mobile Device Management
Respuesta a la necesidad empresarial de poder gestionar de forma
centralizada
los dispositivos móviles (principalmente tablets y
smartphones)
Tecnologías Mobile Device Management
MDM
Soluciones multiplataforma
CLOUD
ONON-PREMISE
¿Qué debe ofrecer una solución MDM?
Gestión
Software
Hardware
Securización
Dispositivos
Administración
de perfiles y
Configuraciones
82
Gestión de Software y Hardware
Inventario de dispositivos
Catálogo de software
Consideraciones
Distribución de aplicaciones
Distribución de Actualizaciones
Listado de Apps permitidas
83
Securización de Dispositivos
Control de dispositivos
Bloqueo remoto
Consideraciones
Borrado remoto
(total o Selectivo)
Cifrado
Política de contraseñas
84
Administración de Perfiles
Configuraciones de correo
Distribución
de…
Configuraciones Wifi
Configuraciones VPN
Política de Backup
85
Infraestructuras MDM’s
S.O.
Soportados
iOS / And /
BB
Tipo de
Mensajería
soportada
Interfaz
Web
Integración
AD
Integración
PKI
Aspectos de seguridad en el
desarrollo de Aplicaciones
móviles
Prácticas de seguridad en el desarrollo móvil
Seguridad en aplicaciones móviles
Modelo de Seguridad por Niveles
Requiere cubrir todos los puntos de riesgo.
Esquema de seguridad distribuidos en diferentes niveles
Capa Sistema Operativo
OWASP Mobile Security project
Capa Comunicaciones
Organización mundial, sin fines de lucro.
Top 10 riesgos dispositivos móviles
Capa Almacenamiento
Capa de aplicación
Capa - Sistema Operativo
Riesgos:
Riesgos:
-
Ejecución de código malicioso
Ataques de denegación de servicio
Exploits (rooting)
Perdida o Robo del dispositivo
Modificación o Reemplazo de la aplicación original
Recomendaciones:
Recomendaciones
- Deshabilitar operaciones automáticas (Conectividad)
- Utilizar contraseña de acceso al dispositivo
- Utilizar certificados
Capa - Comunicaciones
Riesgos:
Riesgos:
-
Ataques de denegación de servicio
Interceptación de tráfico
Conexiones no seguras
Hardware habilitado innecesario
Recomendaciones:
Recomendaciones
- No habilitar HW sin aviso al usuario
- Utilizar SSL
- Cifrado de datos
-Ej: Conectividad BlueTooth - Wifi
Capa - Almacenamiento
Riesgos:
Riesgos:
-
Acceso no autorizado al contenido del folder
Alteración de datos y aplicaciones
Extracción de credenciales de acceso
Extracción de datos confidenciales
Extracción de cookies
Recomendaciones:
Recomendaciones
-
Protección de acceso al dispositivo
Utilizar librerías de Cifrado del vendor
Limpieza de cache – Eliminación de cookies
Configuraciones cifradas
Capa - Aplicación
Riesgos:
Riesgos:
-
Usuario
Uso excesivo de recursos del dispositivo
Demasiados permisos (Overprivileged)
Solicitud de datos innecesarios
Publicación de datos sin consentimiento del usuario
Interacción con otras Aplicaciones (Twitter)
Recomendaciones:
Recomendaciones
- Prácticas de programación segura
- Testing de la aplicación
- Validación de datos
Capa – Aplicación
¿Es necesario que la aplicación comparta datos
hacia internet?
Recomendaciones
de seguridad
Seguridad en dispositivos móviles individuales
Consejos sobre Dispositivos
•
•
•
•
•
•
•
•
•
•
•
•
Mantener actualizado el S.O. y aplicaciones
Active el acceso a su dispositivo mediante PIN
No utilizar patrón de desbloqueo
Realizar copia de seguridad de los datos del dispositivo.
Activar bluetooth y WiFi sólo cuando sea necesario
Utilizar Markets oficiales
No abrir enlaces que lleguen vía SMS/MMS
Guardar número IMEI *#06#
No compruebe su número IMEI en ninguna WEB
Utilizar Antivirus (de ser posible)
Utilizar Software de seguridad (Rastreo, Wipe remoto)
No hacer Jailbreak, Rooting, Flashing al dispositivo
Preguntas
Preguntas?
Gracias
Mauricio Cisneros
[email protected]

Seguridad en dispositivos móviles

Transcripción

Documentos relacionados

Descargar Archivo

Presentación de PowerPoint

Universidad Nacional Autónoma de Honduras