Seguridad en dispositivos móviles
Transcripción
Seguridad en dispositivos móviles
Seguridad en dispositivos móviles Mauricio Cisneros [email protected] 29 de Noviembre Buenos Aires - Argentina Seguridad en Dispositivos Móviles Agenda • • • • • Introducción Sistemas Operativos móviles Problemáticas actuales Aspectos de seguridad en Aplicaciones móviles Recomendaciones de Seguridad INTRODUCCION Seguridad en Dispositivos Móviles Historia y Evolución Historia 1973 Martín Cooper 1983 Dynatac - Ejecutivos 1992 IBM Simon Seguridad en Dispositivos Móviles Historia y Evolución Generaciones Evolución Analógico Tecnología AMPS Primera Generación 0G Advanced Mobile Phone System 2.5G Segunda Generación 2G Tercera Generación 3G 4G Mayor Ancho Banda 7.2mbps GPRS56k EMS Digital HSCSD MMS GSM-CDMA-PDC EDGE 384k Digital UMTS Sistemas Operativos Móviles Apple Seguridad en Dispositivos Móviles Sistemas Operativos Móviles Sistemas Operativos Móviles + Utilizados Android iOS Blackberry ANDROID Seguridad en Dispositivos Móviles Sistemas Operativos Móviles Android Desarrollado por Android Inc. Comprado por Google Principal producto de la Open Handset Alliance (OHA) Basado en Linux. Multitarea Soporte diversos Fabricantes (OHA) Seguridad en Dispositivos Móviles Características Arquitectura Tipo Pila Cada una de las capas utiliza elementos de la capa inferior para realizar sus funciones Seguridad en Dispositivos Móviles Características Seguridad en Dispositivos Móviles Características Dalvik Virtual Machine No es Virtual Java Machine. Corre sobre sistemas ligeros y con recursos escasos. La arquitectura esta basada en registros de memoria JVM = Pila = .class DVM = Registros = .dex Dalvik = VM de procesos independientes Seguridad en Dispositivos Móviles Características Dalvik Virtual Machine Optimizada para múltiples instancias al mismo tiempo Alto rendimiento de la memoria del dispositivo Enfocada en maximizar recursos escasos (Mem, CPU) Fallo de una aplicación, no afecta a las restantes. Cada Aplicación es tratado como proceso independiente Seguridad en Dispositivos Móviles Características Rom Oficial Es el sistema operativo Android de Google base con las mejoras de la versión correspondiente. Google Motorola Release de Adaptación Release indirecta Rom oficial del Vendor Claro Customización Operadoras Cliente Google Releasedirecta de Rom oficial Release Seguridad en Dispositivos Móviles Características Rom NO oficial Es una Rom modificada a la cual se le agregan nuevos features. Generalmente poseen Rooting. Google Cyanogenmod Release de Rom oficial Modificación Perdida de garantía del equipo Riesgos de backdoor Usuario Final ROOTING Seguridad en Dispositivos Móviles Rooting Root, Rooting o Rootear Riesgos - Perdida de la garantía oficial del vendor y/o la telefónica - Método Si falla? utilizado para obtener los privilegios de - Si me agrega un Backdoor? “root root” root sobre el sistema operativo, generalmente - Perdida de alguna funcionalidad Como se hace? obtenido por la explotación de una vulnerabilidad del kernel de Android. Beneficios? Doomlord, SuperOneClick - Acceso a todo el filesystem - Ejecución de aplicaciones que requieran elevados privilegios (Sniffer) - Backup full (Titanium Backup) - Fácil cambio de ROM - Overclocking GOOGLE PLAY! Seguridad en Dispositivos Móviles Google Play Que es Google Play? Es el Market de aplicaciones de Google para dispositivos Android. Características - Requiere de un ID de Google para su uso Sin ID no se permite descarga Identificación de Dispositivo Chequeo de compatibilidad versión Android - Informa sobre los permisos de la APP a descargar Seguridad en Dispositivos Móviles Google Play Google Bouncer Servicio de análisis automatizado de software potencialmente malicioso en Google Play. Como funciona? Análisis de Aplicaciones en Sandbox Quemu Búsqueda de malware, spyware y troyanos Análisis de comportamiento Análisis de nuevas cuentas de desarrolladores Seguridad en Dispositivos Móviles Google Play Google Bouncer Si la App resulta maliciosa, es marcada y pasa a revisión manual. Android Market también tiene la capacidad de eliminación de malware remota de tu teléfono o tablet, si es necesario. Droiddream, Droiddream, Se coló en el Market de google, con más de 250.000 descargas Seguridad en Dispositivos Móviles Markets alternativos Markets alternativos ¿Qué son? Son tiendas alternativas al Market de aplicaciones de Google para dispositivos Android. Conocidas como: Black Markets Crack Markets Free Markets Seguridad en Dispositivos Móviles Markets alternativos Markets alternativos Sin controles de seguridad Dudosa procedencia Aplicaciones modificadas Malware Aplicaciones Android Seguridad en Dispositivos Móviles Seguridad en aplicaciones Aplicaciones Aplicaciones Nativas Aplicaciones de 3ros Cliente de Correo SMS Calendario Mapas Navegador Contactos Procesadores de texto Utilitarios Juegos Etc. Seguridad en Dispositivos Móviles Seguridad en aplicaciones Aplicaciones Aplicaciones Ejecución Tipo Primer Plano Foreground Juego Segundo Plano Background Servicio SMS Intermitentes Combinación Música Widgets Live wallpapers Seguridad en Dispositivos Móviles Seguridad en aplicaciones “…a la larga, todo recae en los permisos…” Las API de Android se encuentran protegidas por permisos. Con el fin de acceder a las API mediante llamados, los desarrolladores deben de solicitar los permisos correspondientes. Overprivileged Término mediante el cual se identifica a una aplicación que solicita permisos por demás. Seguridad en Dispositivos Móviles Seguridad en aplicaciones Permisos Una aplicación básica de Android no tiene los permisos asociados con ella. Para acceder a características del sistema, es necesario declarar en el AndroidManifest.xml los permisos. El usuario al momento de la instalación se le pregunta si quiere aceptar o no estos permisos. permisos Cada aplicación se ejecuta con una "identidad" distinta (ID de usuario e ID de grupo) Los permisos no se pueden cambiar en tiempo de ejecución Seguridad en Dispositivos Móviles Seguridad en aplicaciones AndroidManifest.xml Contiene la definición en XML de los aspectos principales de la aplicación, como por ejemplo su identificación (nombre, versión, etc), incluidos los permisos necesarios para su ejecución. Seguridad en Dispositivos Móviles Seguridad en aplicaciones Estructura APK Una aplicación de Android empaquetada. El Archivo .APK en realidad, no es más que un fichero comprimido .ZIP renombrado, con una cierta estructura general. Gestión de dispositivos móviles Android. Seguridad en Dispositivos Móviles Gestión de dispositivos Android Gestión - Cerberus Protección: - Gestión Via Web fabricante (www.cerberusapp.com) - Control SMS - SIM Checker -Localización - Alerta Sonora - Wipe remoto (Memoria interna - Tarjeta SD) - Ocultar la aplicación - Bloquear de dispositivo - Grabar audio desde el micrófono - Registro de llamadas del dispositivo - Sacar fotos Seguridad en Dispositivos Móviles Sistemas Operativos Móviles - Android Beam - NFC - Face Unlock - App Encryption Apple Seguridad en Dispositivos Móviles Sistemas Operativos Móviles iOS - Apple Conocido como iPhone OS en sus orígenes. No funciona en Hardware de 3ros. Orientado a uso personal Enfoque en seguridad Sistema operativo del tipo UNIX basado en Darwin BSD. Seguridad en Dispositivos Móviles iOS - Características El Sistema Operativo de los dispositivos de Apple (iOS), está formado por un conjunto de capas, que conforman el conjunto de servicios ofrecidos por el dispositivo. Arquitectura: HARDWARE Seguridad en Dispositivos Móviles iOS - Características Estructura 2} Partición de datos de Usuario Partición de Sistema Particiones 1} Motor de cifrado AES 256 crypto engine Seguridad en Dispositivos Móviles iOS - Características File Data Protection Además del cifrado por Hardware, Apple utiliza una capa más de seguridad llamada File Data Protection Este permite al dispositivo atender otros eventos (llamadas, email, etc), sin descifrar datos confidenciales. Seguridad en Dispositivos Móviles Seguridad en dispositivos iOS iOS permite el Cifrado por Hardware. Hardware. El cifrado por hardware emplea la codificación AES de 256 bits para proteger todos los datos del dispositivo. El cifrado está siempre activado, y el usuario no lo puede desactivar. La protección de datos emplea la contraseña exclusiva del dispositivo del usuario en combinación con el cifrado por hardware del dispositivo para generar una clave de cifrado sólida. Esta clave evita el acceso a los datos cuando el dispositivo está bloqueado. Seguridad en Dispositivos Móviles Seguridad en dispositivos iOS Aplicaciones Sandbox App • • • Documents Library Tmp Jailbreak Seguridad en Dispositivos Móviles iOS - Jailbreak Jailbreak Es el proceso de quitar las limitaciones impuestas por Apple en dispositivos que utilicen el sistema operativo iOS. Que permite? Instalación de aplicaciones no firmadas. Acceso al sistema de archivos del dispositivo Seguridad en Dispositivos Móviles iOS - Jailbreak Riesgos: Riesgos: Bypass del Cifrado Acceso remoto al dispositivo A saber… saber… Usuario “root”, clave “alpine” Cómo lo hacen? Software Online según la versión de iOS RedSnow JailbreakMe Seguridad en Dispositivos Móviles iOS - Jailbreak Tethered Untethered AppStore Seguridad en Dispositivos Móviles iOS - AppStore ¿Que es AppStore? AppStore? Es el Market de aplicaciones de Apple, el cual es un servicio centralizado de aplicaciones. Características Requiere de un ID de Apple para su uso. Sin ID no se permite descarga. Descarga - iTunes - Directa Seguridad en Dispositivos Móviles iOS - AppStore AppStore •iOS Developer Program •iOS Enterprise Program •iOS University Program 99 299 Gratis 47 iTunes Seguridad en Dispositivos Móviles iOS - iTunes Itunes es la herramienta de administración multimedia de Apple para con sus dispositivos. Entre sus funciones se destaca: - Organización Multimedia (Música, video, fotos) - Administración de Aplicaciones - Backup de dispositivos iTunes no realiza backup de la imagen del OS La imagen sólo cambia cuando hay una actualización NO cifra el backup a disco. Seguridad en Dispositivos Móviles iOS - iTunes iTunes Backup Elementos que conforman el backup a disco SMS Preferencias del usuario Fotos Notas Contactos Calendario Bookmarks y Cookies de navegación (Safari) 50 iCloud Seguridad en Dispositivos Móviles iOS - iCloud ¿Qué es iCloud? iCloud? iCloud es un sistema de almacenamiento nube o cloud computing de Apple Inc. El sistema basado en la nube permite a los usuarios almacenar música, videos, fotos, fotos aplicaciones, documentos, documentos enlaces favoritos de navegador, recordatorios, notas, notas iBooks y contactos, contactos además de servir como plataforma para servidores de correo electrónico de Apple y los calendarios Seguridad en Dispositivos Móviles iOS - iCloud iCloud incluye iTunes en la nube (Música) Fotos en Streaming Documentos en la nube Copia de seguridad Contactos, Calendario y Mail Notas y Recordatorios Buscar mi iDevice Seguridad en Dispositivos Móviles iOS - iCloud Copia de seguridad iCloud hace una copia de seguridad automática por Wi-Fi cuando este se encuentra conectado a una fuente de alimentación y su pantalla está bloqueada. - Calendario Contactos E-mails Fotografías Ajustes de configuración Música Aplicaciones (Datos y configuraciones) Seguridad en Dispositivos Móviles iOS - iCloud Seguridad de iCloud Servicio iCloud cifra contenidos antes de enviarlos por Internet Contenidos son almacenados en formato cifrado Se emplean parámetros de seguridad para su autenticación iCloud utiliza una encriptación AES 128 Seguridad en Dispositivos Móviles Sistemas Operativos Móviles Versiones iOS Versión Mejora 3.x Cifrado por Hardware (a partir 3GS) 4.x SSL VPN – MDM – Multitasking – Remote Wipe 5.x iCloud 6.x Corrigen 197 fallas de seguridad 6.0.x Corrigen más fallas de seguridad Blackberry Seguridad en Dispositivos Móviles Sistemas Operativos Móviles Blackberry OS Sistema operativo móvil RIM Kernel Java-based Multitasking Orientado a uso profesional Enfoque en seguridad No funciona en Hardware de 3ros. Blackberry Internet Service (BIS) Seguridad en Dispositivos Móviles Servicios Bis y Bes BIS BlackBerry® Internet Service (BIS) es el servicio que viene con cada dispositivo BlackBerry® que se activa con un plan de datos. En Latinoamérica se lo suele conocer popularmente como “Plan Blackberry”. El tráfico de los servicios principales correo y el servicio de Blackberry Messenger, Messenger se canalizan a través del BIS. BIS Sin este servicio un blackberry es solo un celular con las mismas posibilidades que cualquier otro smartphone. Seguridad en Dispositivos Móviles Servicios Bis y Bes BIS El tráfico de datos de una BlackBerry se “canaliza” a través de su servicio BIS, pero quedan fuera algunas cosas, típicamente la navegación WAP o el tráfico de aplicaciones de terceros. Porque algunas aplicaciones no utilizan BIS? Costos para los desarrolladores. Blackberry Enterprise Server (BES) Seguridad en Dispositivos Móviles Blackberry Enterprise Solution Blackberry Enterprise Server Administrar múltiples dispositivos Blackberry Integrar el resto de los sistemas al dispositivo Centrado en la seguridad (AES256 – 3DES) ABM de dispositivos Aplicar políticas a dispositivos y usuarios Esquema similar a Active Directory Bloqueo de equipos Localización remota Wipe remoto Seguridad en Dispositivos Móviles Blackberry Enterprise Solution Blackberry Enterprise Server Cifrado de comunicaciones entre el dispositivo y el BES Cifrado Extremo a extremo (AES – 3DES) Soporta autenticación RSA Acceso a Intranet con cifrado AES y/o 3DES Firma de Código y Certificados Digitales (para Apps) Solo acepta conexiones autenticadas y entrantes desde Blackberry y Mail Server Autenticación cifrada entre componentes y servicios Server Relay Protocol ID Seguridad en Dispositivos Móviles Blackberry Enterprise Solution Infraestructura BES Seguridad en Dispositivos Móviles Blackberry Enterprise Solution Políticas Consideraciones • • • • Implementación de políticas por grupos Políticas de contraseña Rastreo de equipos Cifrado dispositivo/memorias externas • Registro de • Sms, • Blackberry Messenger, • Llamadas Seguridad en Dispositivos Móviles Blackberry Enterprise Solution Políticas – Registro de eventos Registro de: • SMS / MMS, • Blackberry Messenger • Registro de llamadas Archivos en texto plano Cualquier administrador del Equipo tiene acceso a ellos NO habilitado por defecto Seguridad en Dispositivos Móviles Blackberry Enterprise Solution BES Enterprise Pequeña, medianas y grandes empresas Pago Plan de datos Enterprise Blackberry + un par de USD Mensajería Exchange, Lotus Domino, Novell Groupwise 2000 usuarios por servidor Set de políticas de seguridad completo Integración PBX – Mobile Voice System (+500) Seguridad en Dispositivos Móviles Blackberry Enterprise Solution BES Express Pequeña y medianas empresas Gratuito Plan de datos Blackberry Exchange, Windows Small Bussiness Server Hasta 75 usuarios Set de 75 políticas de seguridad Seguridad en Dispositivos Móviles Sistemas Operativos Móviles Blackberry Versión Mejora 4.x Mejoras de usabilidad 5.x Nuevas funciones (Gmail, Contactos, calendario) 6.x Mejoras multimedia 7.x Blackberry Balance 10 QNX - Salvación de Rim? Problemáticas Actuales Seguridad en Dispositivos Móviles Problemáticas Actuales 1 día 6.000aprox. 1 semana 42.000aprox. 1 mes 180.000aprox. 1 año 2.190.000aprox. 78% Consultora Carrier y Asociados Seguridad en Dispositivos Móviles Problemáticas Actuales Individuales Empresariales Seguridad en Dispositivos Móviles Problemáticas Actuales Ataques basados en la web y en redes Software malicioso Ingeniería social Individuales Abuso de servicios y recursos Robo de datos Seguridad en Dispositivos Móviles Problemáticas Actuales Ataques a dispositivos WEBAPPS BROWSER SMS APPS MALWARE NETWORK Seguridad en Dispositivos Móviles Problemáticas Actuales Falta de Falta de Inventario Diversidad de Tecnologías registro de CAPA Empresariales 8 actividades Versiones de S.O. Uso de Información recursos laboral y de la Cía. personal 76 Seguridad en Dispositivos Móviles BYOD Consumerización Tendencia, en la cual las nuevas tecnologías surgen en primer lugar en el mercado del consumidor final y luego se extienden a las empresas… O en otras palabras, “la intrusión de la tecnología doméstica en el ámbito MDM laboral”. BYOD Soluciones MDM Multiplataforma Seguridad en Dispositivos Móviles Tecnologías Mobile Device Management Respuesta a la necesidad empresarial de poder gestionar de forma centralizada los dispositivos móviles (principalmente tablets y smartphones) Seguridad en Dispositivos Móviles Tecnologías Mobile Device Management MDM Seguridad en Dispositivos Móviles Soluciones multiplataforma CLOUD ONON-PREMISE Seguridad en Dispositivos Móviles Soluciones multiplataforma ¿Qué debe ofrecer una solución MDM? Gestión Software Hardware Securización Dispositivos Administración de perfiles y Configuraciones 82 Seguridad en Dispositivos Móviles Soluciones multiplataforma Gestión de Software y Hardware Inventario de dispositivos Catálogo de software Consideraciones Distribución de aplicaciones Distribución de Actualizaciones Listado de Apps permitidas 83 Seguridad en Dispositivos Móviles Soluciones multiplataforma Securización de Dispositivos Control de dispositivos Bloqueo remoto Consideraciones Borrado remoto (total o Selectivo) Cifrado Política de contraseñas 84 Seguridad en Dispositivos Móviles Soluciones multiplataforma Administración de Perfiles Configuraciones de correo Distribución de… Configuraciones Wifi Configuraciones VPN Política de Backup 85 Seguridad en Dispositivos Móviles Soluciones multiplataforma Infraestructuras MDM’s S.O. Soportados iOS / And / BB Tipo de Mensajería soportada Interfaz Web Integración AD Integración PKI Aspectos de seguridad en el desarrollo de Aplicaciones móviles Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Seguridad en aplicaciones móviles Modelo de Seguridad por Niveles Requiere cubrir todos los puntos de riesgo. Esquema de seguridad distribuidos en diferentes niveles Capa Sistema Operativo OWASP Mobile Security project Capa Comunicaciones Organización mundial, sin fines de lucro. Top 10 riesgos dispositivos móviles Capa Almacenamiento Capa de aplicación Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Capa - Sistema Operativo Riesgos: Riesgos: - Ejecución de código malicioso Ataques de denegación de servicio Exploits (rooting) Perdida o Robo del dispositivo Modificación o Reemplazo de la aplicación original Recomendaciones: Recomendaciones - Deshabilitar operaciones automáticas (Conectividad) - Utilizar contraseña de acceso al dispositivo - Utilizar certificados Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Capa - Comunicaciones Riesgos: Riesgos: - Ataques de denegación de servicio Interceptación de tráfico Conexiones no seguras Hardware habilitado innecesario Recomendaciones: Recomendaciones - No habilitar HW sin aviso al usuario - Utilizar SSL - Cifrado de datos -Ej: Conectividad BlueTooth - Wifi Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Capa - Almacenamiento Riesgos: Riesgos: - Acceso no autorizado al contenido del folder Alteración de datos y aplicaciones Extracción de credenciales de acceso Extracción de datos confidenciales Extracción de cookies Recomendaciones: Recomendaciones - Protección de acceso al dispositivo Utilizar librerías de Cifrado del vendor Limpieza de cache – Eliminación de cookies Configuraciones cifradas Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Capa - Aplicación Riesgos: Riesgos: - Usuario Uso excesivo de recursos del dispositivo Demasiados permisos (Overprivileged) Solicitud de datos innecesarios Publicación de datos sin consentimiento del usuario Interacción con otras Aplicaciones (Twitter) Recomendaciones: Recomendaciones - Prácticas de programación segura - Testing de la aplicación - Validación de datos Seguridad en Dispositivos Móviles Prácticas de seguridad en el desarrollo móvil Capa – Aplicación ¿Es necesario que la aplicación comparta datos hacia internet? Recomendaciones de seguridad Seguridad en Dispositivos Móviles Seguridad en dispositivos móviles individuales Consejos sobre Dispositivos • • • • • • • • • • • • Mantener actualizado el S.O. y aplicaciones Active el acceso a su dispositivo mediante PIN No utilizar patrón de desbloqueo Realizar copia de seguridad de los datos del dispositivo. Activar bluetooth y WiFi sólo cuando sea necesario Utilizar Markets oficiales No abrir enlaces que lleguen vía SMS/MMS Guardar número IMEI *#06# No compruebe su número IMEI en ninguna WEB Utilizar Antivirus (de ser posible) Utilizar Software de seguridad (Rastreo, Wipe remoto) No hacer Jailbreak, Rooting, Flashing al dispositivo Seguridad en Dispositivos Móviles Preguntas Preguntas? Seguridad en Dispositivos Móviles Gracias Mauricio Cisneros [email protected]