View
768
Download
0
Category
Preview:
Citation preview
OWASP Mobile Top 10Riesgos de Seguridad
Alberto Wilson
alwilson@deloitte.com
#GX2408
Mauro Flores
mauflores@deloitte.com
¿De qué vamos a hablar?
• Un poco de contexto
• OWASP y sus proyectos
• El famoso Top 10
• Algunas recomendaciones
• Conclusiones
• ¿Preguntas?
UN POCO DE CONTEXTO
¿Qué se está usando?
¿como viene evolucionando?
Symbian, 27.4
Android, 36
RIM, 12.9
iOS, 16.8
Microsoft, 3.6
Otros, 3.3
Symbian, 63.5
Android, 0
RIM, 9.6
iOS, 2.7
Microsoft, 12
Otros, 12.1
2007 Segundo cuarto 2011Unidades: 428.7 M
Fuente: Gartner
OWASP Y SUS PROYECTOS
¿Qué es OWASP?
• Open Web Application Security Project
• Organización mundial, sin fines de lucro
• Busca promover la seguridad y generar conciencia
• En el 2010 se formó el Capítulo Uruguay
Proyectos
• Guía de desarrollo seguro y guía de revisión de código
• WebScarab, WebGoat, GoatDroid
• Top 10 Vulnerabilidades Web
• Metodología ASVS
• Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011)
• Y muchos mas…
EL TOP 10VULNERABILIDADES EN DISPOSITIVOS MÓVILES
Top 10 - La lista
Almacenamiento
inseguro1
Transmisión
insegura de datos2
Fuga de
información
personal3
Autenticación
débil4
Errores en asignación
de privilegios5
Inyección del lado
del cliente6
Denial of Service7
Código malicioso8
Buffer overflow9
Errores en
controles del
servidor10
Almacenamiento inseguro
1
2
3
4
5
6
7
8
9
10
¿Qué almacenamos?
•Información personal, como si fuera un pendrive
•Archivos temporales de navegación, GPS, cachés
•Cookies de sesión
•Adjuntos de los mails, fotos
•¿Cual es el problema?
Almacenamiento inseguro
1
2
3
4
5
6
7
8
9
10
•Por lo general, no ciframos la información
•Vulnerabilidades en los distintos protocolos de transferencia, Bluetooth
•El dispositivo puede caer en manos ajenas
Transmisión insegura de datos
1
2
3
4
5
6
7
8
9
10
• Básicamente, ausencia de cifrado en la transmisión de los datos
•Vía HTTP, Correo, SMS, etc
•Confiar demasiado en la red celular
•Ataques al navegador, vulnerabilidades SSL•Certificados no confiables•Ataque a DigiNotar y Comodo
Transmisión insegura de datos
1
2
3
4
5
6
7
8
9
10
• Algunas aplicaciones de Android, no cifran la comunicación con el server:
•Twitter•Facebook•Google Calendar•Picasa
•Conexión a redes WiFi sin cifrar
• Tecnología NFC, en sí no cifra, hay que encapsular por SSL, no es posible MiTM
Fuga de información personal
1
2
3
4
5
6
7
8
9
10
•Información personal almacenada:•Agenda de contactos•Citas•Fotos (personas y documentos), archivos, etc.
•Lo mas riesgoso en este caso, es dejar el celular en manos ajenas:
•Robo o extravío•Soporte Técnico•Para pasar música•Se lo prestas al sobrino de un amigo para que
instale la última aplicación•Backups sin proteger en alguna PC
Autenticación débil
1
2
3
4
5
6
7
8
9
10
•Fuerza bruta a claves débiles:
•PIN de la SIM
•Contraseñas de bloqueo
•Claves para conexiones Bluetooth
•Passphrases de cifrado
•Errores de implementación en mecanismos de autenticación
Errores en asignación de privilegios
1
2
3
4
5
6
7
8
9
10
•Privilegios ajustados incorrectamente•Por ejemplo sobre archivos
•Errores de implementación:•En el sistema operativo•En las aplicaciones
• Aplicaciones que requieren más privilegios de los necesarios
Inyección del lado del cliente
1
2
3
4
5
6
7
8
9
10
•Al igual que en el mundo Web•ejecución de código en los navegadores
•Aplicaciones vulnerables•Pueden impactar en el servidor
•QRCodes•Algunas aplicaciones dirigen al usuario
directamente•Ataques de Phishing
Denial of Service
1
2
3
4
5
6
7
8
9
10
•QRCodes como vector de ataque
•Bluetooth
•Bruteforcing y bloqueo de dispositivo
• Compromiso del código de aplicaciones de prevención de robo.
Código malicioso
1
2
3
4
5
6
7
8
9
10
Descarga
DesarrolloOficial
Descarga
AppStore de Tercero
Sube versióncon Malware
Envío de Información
Código malicioso
1
2
3
4
5
6
7
8
9
10
•QRCodes como vector de ataque
•Problemas de certificados y MiTM
•Aplicaciones sin firmar
•Instalación manual de malware
•Servidor que distribuye aplicación comprometido
Buffer overflow
1
2
3
4
5
6
7
8
9
10
•Errores de implementación•En el sistema operativo•En las aplicaciones
• Se pueden comprometer archivos y recursos internos del sistema
Errores en controles del servidor
1
2
3
4
5
6
7
8
9
10
•Validación del cliente por el servidor y viceversa
•Ataques MiTM
•Validación de la información enviada desde el dispositivo movil
•Se puede comprometer el servidor
ALGUNAS RECOMENDACIONES
Algunas recomendaciones
Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los
dispositivos
Tener cuidado con las aplicaciones que se instalen, verificar que estén firmadas y validar la AppStore, verificar certificados
Estos dispositivos son personales, hay que mantenerlos con uno y cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN)
En lo posible, no almacenar información sensible en celulares, tablets y notebooks, no conectarse a redes WiFi no cifradas
CONCLUSIONES
Conclusiones
• A los dispositivos móviles, se les dá mas confianza de la que merecen, cuando debería ser todo lo contrario
• El celular es un ambiente dinámico y como tal hay que incorporar medidas extras de seguridad
• La gente es más propensa a instalar aplicaciones “curiosas”, sin importar su procedencia
• El celular es un punto de acceso a la información de nuestras vidas, y está muy expuesto
• Esta película, ya la vimos…
Conclusiones
• … debemos cambiarle el final!
• Hay que usarlo con conciencia
• Considerar las vulnerabilidades comunes para otras plataformas y trasladar los mecanismos de protección al mundo móvil
• El desarrollo debe considerar medidas extras de seguridad para estos dispositivos
Cuanto más smart el
device, más smart
debemos ser
nosotros
”
Links de interés
Proyecto OWASP:•https://www.owasp.org/index.php/Main_Page
OWASP “Mobile Security Project”:•https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
Deloitte Uruguay•http://www.deloitte.com/view/es_UY/uy/servicios/consultora/estrategiaoperaciones/index.htm
NIST – “Guide to bluetooth security”:•http://csrc.nist.gov/publications/nistpubs/800-121/SP800-121.pdf
NIST – “Cell Phone and PDA Security”•http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf
Vulnerabilidades en Google ClientLogin•http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
WhisperSys – Framework de Seguridad para Android•http://www.whispersys.com/
¡GRACIAS!
¿PREGUNTAS?
Mauro Floresmauflores@deloitte.com@mauro_fcib
Alberto Wilsonalwilson@deloitte.com@v8vito
@DeloitteUYSeg
Recommended