$30 off During Our Annual Pro Sale. View Details »

Seguridad dispositivos móviles

jmortegac
September 24, 2015

Seguridad dispositivos móviles

Android and iOS security applications and devices

jmortegac

September 24, 2015
Tweet

More Decks by jmortegac

Other Decks in Technology

Transcript

  1. Seguridad en dispositivos móviles José Manuel Ortega @jmortegac

  2. Intereses

  3. About me https://about.me/jmortegac https://medium.com/@jmortegac

  4. About me

  5. Conferencias de seguridad

  6.  https://speakerdeck.com/jmortega Presentaciones

  7. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  8. Modelo de permisos iOS Android Requerido cuando primero sea necesario

    Se solicitan al instalar Denegar permisos en cualquier momento No se pueden denegar permisos (de forma oficial) Sí a través de aplicaciones de terceros
  9. Permisos en Android Normal De bajo Riesgo para el usuario

    ACCESS_NETWORK_STATE Dangerous De mayor riesgo para el usuario,pudiendo incluso acceder a información privada CAMERA,CONTACTS Signature Si dos aplicaciones están firmadas con el mismo certificado, se les concede el acceso a los datos de la otra SignatureOrSystem Uso especial cuando varias aplicaciones necesitan compartir características específicas
  10. Top 15 permisos https://github.com/android/platform_frameworks_base/blob/master/core/res/AndroidManifest.xml

  11. Permisos dangerous 50% de los usuarios de Android tienen una

    aplicación con los siguientes permisos: android.permission.ACCESS_FINE_LOCATION android.permission.INTERNET android.permission.READ_SMS android.permission.RECORD_AUDIO android.permission.CAMERA android.permission.READ_CALL_LOG android.permission.RECEIVE_BOOT_COMPLETED
  12. Ejemplos

  13. Android Permisos http://privacygrade.org

  14. Permisos en Android M • Permisos en tiempo de ejecución

  15. iOS Permisos  Privacy Analysis Tools for iOs Applications 

    patia.unileon.es
  16. Privacidad

  17. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  18. SandBox • Cada aplicación se ejecuta en su propio contexto

    de ejecución • El objetivo es proteger las aplicaciones unas de otras a nivel de acceso a datos y permisos • Por defecto las aplicaciones no pueden interactuar entre sí y poseen un acceso limitado al sistema operativo. • Si una aplicación trata de invadir el espacio asignado a otra aplicación el sistema operativo se encarga de evitarlo.
  19. Aplicaciones en Android

  20. Obtener apk  Apk extractor  http://apps.evozi.com/apk-downloader

  21. Seguridad en Android • Las aplicaciones son firmadas con certificados

    autofirmados por desarrolladores. • Permisos personalizadosRiesgo para la privacidad • Controles de seguridad de Google play (“Bouncer”) deberían ser más exhaustivos para la detección de malware
  22. Firma aplicaciones

  23. iOS architecture

  24. Seguridad en iOS

  25. JailBreak en iOS  Cydia  JailbreakME(versiones antiguas hasta la

    5)  Evasion(iOS version>=6)  http://evasi0n.com  Pangu(Windows,Mac)  http://en.pangu.io  Redsnow, SnowBreeze(reinstala iOS)
  26. Android Rooting • Permite obtener control de superusuario en el

    subsistema • El proceso consiste en explotar alguna vulnerabilidad en el firmware del dispositivo y copiar el binario de superusuario
  27. Android Rooting • ¿Qué cosas se pueden hacer cuando eres

    root?  Instalar ROMS  Eliminar las aplicaciones que vienen por defecto instaladas  Acceso a bajo nivel al hardware  Acceder a apps instaladas  Instalar aplicaciones en la SDCARD • Riesgos  Pérdida de garantía  Nos exponemos a ataques de malware  Brick
  28. Aplicaciones Root en Android

  29. Acceso Root en Android

  30. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  31. Malware iOS http://forensics.spreitzenbarth.de/current-ios-malware

  32. Malware Android http://forensics.spreitzenbarth.de/android-malware

  33. Malware en Android • 99% del malware para plataformas móviles

    está orientado a Android • Controles de seguridad en Google play no son sufucientes • Aplicaciones que no son del market oficial suponen un riesgo para el usuario
  34. Verificación de apps

  35. Recomendaciones  Instalar de orígenes conocidos Comprobar los permisos antes

    de instalar/actualizar Revisar comentarios de los usuarios Deshabilitar conexión automática a redes Wifi y evitar conectarnos a redes Free.
  36. VPN  https://www.tunnelbear.com  500MB free/month

  37. Wifi free

  38. Recomendaciones Evitar aplicaciones que no sean de markets oficiales No

    aceptar mensajes o archivos vía Bluetooth por parte de desconocidos. No instalar aplicaciones sin haber verificado su procedencia, especialmente si no están firmadas. En caso de hacer jailbreak a tu iPhone, cambia la contraseña de superusuario. Si tienes un Android rooteado, instala Superuser para que toda aplicación solicite permiso. Instala programas antivirus /antimalware móvil para tu plataforma.
  39. Aplicaciones maliciosas Suscripción a SMS premium Seguimiento de ubicaciones del

    dispositivo Robo de información personal Grabación de audio/video Simulaciones de aplicaciones:FakeAV
  40. SMS Premium android.permission.RECEIVE_SMS android.permission.SEND_SMS

  41. Malware/troyan manifest

  42. Anti-malware

  43. Anti-malware

  44. Análisis de malware • Informes de virusTotal • Permisos •

    Services • Receivers • ContentProviders • Librerías externas(monetización)
  45. Análisis en la nube

  46. Análisis en la nube

  47. Análisis en la nube https://anubis.iseclab.org

  48. Análisis en la nube http://foresafe.com/submit

  49. Análisis en la nube http://andrototal.org/scan

  50. Análisis en la nube

  51. Análisis en la nube http://www.visualthreat.com

  52. Análisis en la nube http://apkscan.nviso.be

  53. Análisis en la nube

  54. Análisis en la nube http://sanddroid.xjtu.edu.cn

  55. Análisis en la nube http://tracedroid.few.vu.nl • Análisis online de peticiones

    de red,llamadas,sms • También realiza un análisis estático y de cobertura de código • Está orientada a detección de malware
  56. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  57. Ataques de ingeniería social • Phising  Estafa que mediante

    ingeniería social pretende obtener información de una victima de forma fraudulenta.  El estafador envía un email a la victima haciéndose pasar por una organización legitima.  En este email se insta a la victima a acceder a un enlace adjunto e introducir sus datos con el fin de confirmar su cuenta, recibir dinero, haber ganado un concurso.  El enlace dirige a una aplicación web controlada por el estafador y similar a la de la organización suplantada.  La victima accede a la aplicación web del enlace e introduce en ella los datos solicitados.  La aplicación web envía los datos introducidos al estafador.
  58. Ataques de ingeniería social

  59. Ataques de ingeniería social  Particularidades del navegador en el

    dispositivo:  Aprovechan las características del navegador de los dispositivos móviles para realizar Phishing UrlSpoofingAtack:  Aprovechan que solo se muestra el inicio de la url en el navegador  Phising con nombres de subdominio legítimos UISpoofingSafari:  Ciertas versiones de Safari ocultan la pestaña de navegación tras cargar una página.  Aprovechando lo anterior mediante la inserción de una imagen,se puede hacer creer al usuario que se encuentra en un dominio legitimo.
  60. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  61. Riesgos Riesgos en disp móviles

  62. Moble Thread Model APPS OS Web Coporate Networks Web Services

    Websites App Stores Cloud Storage SMS Voice - Carrie Network - Local Network (Wifi, VPN, etc) Hardware extensions
  63. OWASP Mobile Project • OWASP inició en 2010 un proyecto

    de seguridad móvil • Objetivo: Proporcionar a desarrolladores y profesionales de seguridad recursos para asegurar aplicaciones móviles • Hitos: OWASP Top 10 riesgos móviles Guías de desarrollo y pruebas de seguridad Proyecto OWASP GoatDroid https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  64. OWASP Mobile Top 10 Risks

  65. OWASP Mobile Top 10 Risks 1- Almacenamient o de datos

    inseguro 2- Controles débiles en el lado del servidor 3- Protección insuficiente en la capa de transporte 4- Inyección en el lado del cliente 5- Sistema pobre de autenticación y autorización 6- Gestión inadecuada de la sesión 7- Decisiones de seguridad a partir de entradas inseguras 8- Canal lateral de fuga de datos 9- Rotura de la criptografía 10- Divulgación de información confidencial
  66. Riesgos • Tienda de aplicaciones(appstore) • Permisos de las aplicaciones

    • Malware móvil • App sandboxingJailBreaking /Rooting • Cifrado de dispositivo y aplicaciones • Actualizaciones del sistema y aplicaciones • Problemas de privacidad(Geolocalización) • Seguridad de las comunicaciones • Robo del dispositivo
  67. JailBreak/Root Risks • Las aplicaciones pueden acceder a la capas

    más bajas del sistema • Se podría acceder a datos sensibles de aplicaciones que tengas instaladas(gmail,evernote)
  68. Factores de riesgo • Permisos en androidManifest.xml • Verificar la

    firma de la aplicación • Origen de la aplicación • Dispositivo rooteado • Depuración habilitada en androidManifest • Ayuda a un atacante a aprender el funcionamiento de la App
  69. Librerías de terceros • Analizar posibles vulnerabilidades • PhoneGap •

    Apache Cordova
  70. Permisos • Usuario: Aplicar sentido común • Desarrollador: No abusar

    de la solicitud de permisos (overprivileged) • Principio de mínimo privilegio
  71. Permisos  Minimizar el número de permisos que se piden

     33% aplicaciones piden más permisos de los necesarios  ¿Es necesario android.permission.CAMERA?
  72. Permisos

  73. Almacenamiento en Android • Ficheros o Almacenamiento interno o Almacenamiento

    externo(SDCARD) • Base de datos SQLite • Preferencias de usuario(Shared Preferences) • Web Cache
  74. Almacenamiento inseguro

  75. Ficheros SQLite • Caché y consultas offline por parte de

    las aplicaciones • Gmail almacena la información de emails para acceder cuando el usuario no tiene conexión • BD muy rápida que no requiere config • No soporta encriptación
  76. LogCat Android

  77. Vectores de ataque • Manipulación de datos:  Modificación por

    otra aplicación  JailBreak /root del dispositivo • Pérdida de datos:  Pérdida del dispositivo  Intento de acceder de forma física • Malware:  Virus y rootkits
  78. Amenazas Amenazas basadas en aplicaciones • Malware /• Spyware •

    Amenazas de privacidad • Vulnerabilidades en aplicaciones Amenazas basadas en la web • Phishing • Drive-by-downloads • Exploits en navegadores Amenazas basadas en las redes • Exploits para protocolos de red • Wi-fi sniffing Amenazas físicas • Pérdida o robo del dispositivo
  79. Soluciones antiVirus

  80. Localizar dispositivo https://preyproject.com

  81. Localizar dispositivo

  82. Mensajería segura WhisperSystems

  83. Mensajería segura https://github.com/WhisperSystems/TextSecure

  84. Mensajería segura

  85. Surespot

  86. Telegram • Protección nativa con contraseña • Mensajes privados con

    cifrado • Auto destrucción de mensajes.
  87. Telegram(Source Code + Api)

  88. Connan Mobile para Android  https://play.google.com/store/apps/details?id=es.inteco.conanmobile  Configuración segura del

    dispositivo  Permisos de aplicaciones  Servicios proactivos de seguridad  Desarrollada por el INCIBE(Instituto Nacional de Ciberseguridad)  https://www.osi.es/es/conan-mobile
  89. Connan Mobile para Android

  90. Connan Mobile para Android

  91. Escanner de vulnerabilidades

  92. X-Ray • Aplicación que realiza un escaneo del dispositivo para

    determinar si hay vulnerabilidades o falta de parches en el sistema • Presenta una lista de vulnerabilidades que permiten identificar y revisar la presencia de cada vulnerabildiad en el dispositivo
  93. Android Vulnerability test suite https://github.com/nowsecure/android-vts

  94. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  95. None
  96. Buenas prácticas de desarrollo • Análisis estático • Análisis dinámico

    • Encriptación de datos • Ofuscación • Anti-debug • Anti-patching
  97. Android Lint

  98. Android Lint

  99. Android Inspect Code

  100. Android Sonar plugin https://github.com/SonarCommunity/sonar-android

  101. Sonar security plugin

  102. Androwarn python androwarn.py -i my_apk.apk -r html -v 3 Telephony

    identifiers exfiltration: IMEI, IMSI, MCC, MNC, LAC, CID, operator's name... Device settings exfiltration: software version, usage statistics, system settings, logs... Geolocation information leakage: GPS/WiFi geolocation... Connection interfaces information exfiltration: WiFi credentials Telephony services abuse: premium SMS sending, phone call composition... Audio/video flow interception: call recording, video capture... Remote connection establishment: socket open call, Bluetooth pairing, APN settings edit... PIM data leakage: contacts, calendar, SMS, mails... External memory operations: file access on SD card... PIM data modification: add/delete contacts, calendar events... Arbitrary code execution: native code using JNI, UNIX command, privilege escalation... Denial of Service: event notification deactivation, file deletion, process killing, virtual keyboard disable, terminal shutdown/reboot...
  103. Análisis estático apps • dex2jar http://code.google.com/p/dex2jar • Java Deceomplier /

    JD-GUI http://java.decompiler.free.fr
  104. Análisis estático apps https://code.google.com/p/android-apktool

  105. Análisis estático

  106. Análisis de código fuente • Siempre es buen punto de

    inicio listar todas las llamadas a funciones que podrían ser usadas de forma insegura como: • putString • setJavaScriptEnabled(true) • getExternalStorageDirectory() • getBundleExtra() • sharedPreferences
  107. Script-Droid

  108. Análisis dinámico apps  Cobertura de código  Hashes para

    los paquetes analizados  Datos de red mediante herramientas como wireShark para analizar los paquetes de red  Información de debug  Operaciones de lectura/escritura en ficheros  Operaciones de criptografía utilizando la API de Android  Envío de SMS y llamadas de teléfono
  109. Análisis dinámico apps • Wireshark / NetWorkMiner https://www.wireshark.org http://www.netresec.com/?page=NetworkMiner •

    Drozer https://www.mwrinfosecurity.com/products/drozer • DroidBox / introSpy https://github.com/iSECPartners/Introspy-Android
  110. Análisis dinámico • WireShark / Ficheros pcap

  111. Cifrado aplicaciones • 256-bit AES Encrypt SQLite database • http://sqlcipher.net/sqlcipher-for-android

  112. Cifrado aplicaciones • Secure-Preferences • http://github.com/scottyab/secure-preferences

  113. Almacenamiento ficheros WORLD_READABLE / WORLD_WRITABLE Otras apps podrían leer el

    fichero si conocen la ruta Los ficheros deberían crearse en MODE_PRIVATE FileOutputStream fos = openFileOutput(“MyFile", Context.MODE_PRIVATE); fos.write(“contenido”.getBytes()); fos.close();
  114. WebView

  115. Encrypt /Decrypt Android public String encrypt(String cleartext, String password) {

    byte[] encryptedText = null; String result = ""; try { // Get key based on user-provided password PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, PBE_ITERATION_COUNT, 256); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(PBE_ALGORITHM); SecretKey tmp = keyFactory.generateSecret(keySpec); // Encrypt SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES"); Cipher encryptionCipher = Cipher.getInstance(CIPHER_ALGORITHM); IvParameterSpec ivspec = new IvParameterSpec(initVector); encryptionCipher.init(Cipher.ENCRYPT_MODE, secret, ivspec); encryptedText = encryptionCipher.doFinal(cleartext.getBytes()); // Encode encrypted bytes to Base64 text to save in text file result = Base64.encodeToString(encryptedText, Base64.DEFAULT); } catch (Exception e) { e.printStackTrace(); } return result; }
  116. Encrypt /Decrypt Android public String decrypt(String encryptedText, String password) {

    byte[] encryptedText = null; String result = ""; try { // Decode Base64 text back to encrypted bytes byte[] toDecrypt = Base64.decode(encryptedText, Base64.DEFAULT); // Get key based on user-provided password PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, PBE_ITERATION_COUNT, 256); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(PBE_ALGORITHM); SecretKey tmp = keyFactory.generateSecret(keySpec); // Decrypt SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES"); Cipher decryptionCipher = Cipher.getInstance(CIPHER_ALGORITHM); IvParameterSpec ivspec = new IvParameterSpec(initVector); decryptionCipher.init(Cipher.DECRYPT_MODE, secret, ivspec); byte[] decryptedText = decryptionCipher.doFinal(toDecrypt); result = new String(decryptedText); } catch (Exception e) { e.printStackTrace(); } return result; }
  117. Android root

  118. Android root public class RootUtil { public static boolean isDeviceRooted()

    { return checkRootMethod1() || checkRootMethod2() || checkRootMethod3(); } private static boolean checkRootMethod1() { String buildTags = android.os.Build.TAGS; return buildTags != null && buildTags.contains("test-keys"); } private static boolean checkRootMethod2(){ String[] paths = { "/system/app/Superuser.apk", "/sbin/su", "/system/bin/su", "/system/xbin/su", "/data/local/xbin/su", "/data/local/bin/su", "/system/sd/xbin/su", "/system/bin/failsafe/su", "/data/local/su" }; for (String path : paths) { if (new File(path).exists()) return true; } return false; } private static boolean checkRootMethod3() { Process process = null; try { process = Runtime.getRuntime().exec(new String[] { "/system/xbin/which", "su" }); BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream())); if (in.readLine() != null) return true; return false; } catch (Throwable t) { return false; } finally { if (process != null) process.destroy(); } } }
  119. Seguridad certificados

  120. xCode  Static Analyzer  Detect memory leaks  ARC(Automatic

    Reference Counting)
  121. Ofuscar el código http://proguard.sourceforge.net

  122. Ofuscar el código Proguard • Clase gratuita que optimiza, ofusca

    el código. Detectando y eliminando las clases no utilizadas, campos, métodos y atributos. Se optimiza el código en bytes y elimina las instrucciones que no estén siendo utilizadas. Se cambia el nombre de las clases restantes, campos, métodos por nombres cortos sin sentido aparente. • Por defecto al instalar el SDK de Android viene incluido. • Sólo debemos de activarlo modificando el fichero project.properties y activar el flag proguard.config=proguard.cfg • Todas las opciones que queramos incluir las escribiremos en el fichero proguard.cfg • Cuando exportemos la aplicación automáticamente nos generara el fichero APK con el código de la misma ofuscado
  123. Ofuscar el código

  124. Testear seguridad aplicaciones Análisis estático Código fuente • Code Review

    Binario • Ingeniería inversa Análisis dinámico • Debug en tiempo de ejecución • Capturar logs y tráfico que generan • Llamadas a servicios remotos • Peticiones de red Análisis forense • Permisos en ficheros • Análisis del contenido de ficheros
  125. Forensics en Android http://www.andriller.com

  126. Patrón de Bloqueo en Android

  127. Patrón de Bloqueo en Android adb shell cd /data/data/com.android.providers.settings/databases sqlite3

    settings.db update system set value=0 where name='lock_pattern_autolock'; update system set value=0 where name='lockscreen.lockedoutpermanently'; adb shell rm /data/system/gesture.key
  128. Santoku linux

  129. Kali linux

  130. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  131. Retos actuales en movilidad • Información sin cifrar(store+ request) •

    Diversidad de dispositivos (BYOD) • Internet of things(IoT) • Seguridad en la nube • Sistemas de pago seguro
  132. Riesgos de seguridad en la empresa Riesgo Posible solución Sin

    control sobre los dispositivos (robo o pérdida) Encriptar Dispositivos externos (BYOD / Bring Your Own Device) MDM Conexión a redes no confiables VPN Aplicaciones no conables en dispositivos de empresa Concienciar y formar a los usuarios Contenido de origen desconocido (QR con página maliciosa) Antivirus / Antimalware y estar en alerta Rastreo por GPS Desconexión de GPS cuando sea posible
  133. BYOD • Bring Your Own Device • Política que permite

    a los empleados llevar sus dispositivos al trabajo • Espías y hackers podrían captar esta información si no se implantan los sistemas de seguridad adecuados para impedirlo. • Controlar las aplicaciones que se instala el usuario. Tanto aplicaciones pasa uso personal como aplicaciones que se usan para incrementar la productividad en el trabajo.
  134. 1 • Protección del acceso password, reconocimiento dactilar o facial

    2 • Control de la conectividad WiFi , GPS o Bluetooth 3 • Controlar el acceso y permisos de la aplicaciones debemos considerarlo durante la instalación 4 • Mantener el firmware y S.O. actualizado considerar las actualizaciones del fabricante 5 • Mantener copia de los datos sobre los datos críticos, personales y de la empresa 6 • Borrar datos si el dispositivo se pierde algunos servicios permiten el borrado de datos de forma remota 7 • No almacene información privada datos como tarjetas de crédito y passwords 8 • Cuidado con las aplicaciones gratuitas pueden haber sido alteradas o contener spyware 9 • Use antivirus y herramientas de escaneo tenerlos actualizados 10 • Use software MDM configuran y monitorizan el acceso
  135. Medidas para empresas • Definir estándares de seguridad independientemente de

    la plataforma. • Utilizar los sistemas de administración centralizada (Mobile Device Manager) para las plataformas implementadas:  Habilitar borrado remoto  Habilitar bloqueo remoto  Geolocalización del equipo  Aplicación de Políticas (OTA)
  136. MDM • MDM ayuda a implementar directivas en toda la

    empresa para reducir costos de soporte,discontinuidad del negocio y riesgos de seguridad. • Ayuda a los administradores de sistema a implementar y administrar aplicaciones de software por todos los dispositivos de la empresa para asegurar y monitorizar dispositivos móviles(smartphones,tablets) • Puede ser utilizado para administrar dispositivos de la organización y personales • Permite al personal de TI realizar de forma remota acciones de registro y rastreo de los dispositivos
  137. Políticas de seguridad MDM • Autenticar el accesos a los

    datos para usuarios y dispositivos. • Proporcionar seguridad en la conexiones. • Formar a los usuarios. • Instalación de herramientas para la detección de malware. • Centralizar la seguridad de los dispositivos móviles.
  138. MDM

  139. Administrar MDM Se instala un agente en cada terminal y

    permite la gestión desde un servidor centralizado.  Complejidad de las contraseñas  Tiempos de bloqueo de pantalla  VPNs  Desinstalar funciones específicas  Instalar,actualizar y desinstalar aplicaciones  Localizar dispositivos con GPS  Borrar información de forma remota
  140. Soluciones MDM • Citrix XenMobile MDM http://www.citrix.com/products/xenmobile/overview.html • Airwatch http://www.air-watch.com

    • WSO2 Enterprise Mobility Manager http://wso2.com/products/enterprise-mobility-manager
  141. Administrador de dispositivos Diseñado para la gestión de dispositivos móviles

    (MDM) de la empresa
  142. Aplicaciones  Checkear el estado de la red  Fing(NetWork

    Discovery,TCP SCan,Ping,traceroute)  Wireless Network Watcher(NetWork Discovery)  Aplicaciones para obtener información sobre paquetes capturados  WireShark / tcpdump  NetWorkMiner
  143. NetWorkMiner

  144. DroidWall • Funciona como un firewall para las aplicaciones a

    la hora de acceder a la red(wifi,3G) ROOT
  145. Protocolos WIFI • WEPVulnerable.En pocos minutos se puede sacar una

    password • WPATambién vulnerable frente ataques por fuerza fruta mediante diccionario • WPA2+PSKCifrado AES de 256 bits.Actualmente el método más robusto • Uso de contraseñas seguras para evitar ataques por diccionario
  146. Comunicaciones seguras • Confidencialidad, integridad, autenticación, no repudio • Establecer

    canales seguros en medios inseguros • HTTPS • VPN • WiFi cifrada con WPA2 • Bluetooth no descubrible • Uso de PKI
  147. Cifrado

  148. Analizando el tráfico de red • Es importante analizar el

    tráfico de red que fluye entre el cliente / servidor en una aplicación. • Busque credenciales, tokens de autenticación, las claves API que se transmiten a través de canales http no seguro. • El tráfico puede ser analizada utilizando una herramienta de proxy como BurpSuite
  149. Analizando el tráfico de red • Configurar Burp Proxy para

    empezar a escuchar el tráfico.
  150. Encriptación en Android Rendimiento 1h 3.0

  151. Segundo factor de autenticación https://accounts.google.com/smsauthconfig

  152. Segundo factor de autenticación

  153. Segundo factor de autenticación

  154. Conclusiones Lograr un equilibrio entre la seguridad del dispositivo y

    la funcionalidad para el usuario Funcionalidad Seguridad
  155. Conclusiones

  156. Conclusiones Leer permisos Leer comentarios de usuarios Instalar sólo de

    market oficial
  157. Books

  158. Books

  159. Referencias y blogs  Open Android Security Assessment Methodology 

    http://oasam.org/es/oasam  Developer.android.com  https://developer.android.com/training/articles/security-tips.html  https://source.android.com/devices/tech/security  http://globbsecurity.com  http://www.securitybydefault.com  http://blog.s21sec.com  http://hacking-etico.com
  160. questions?