Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad dispositivos móviles

7c4b1ae16723b56facc7a8a8f95aa6ce?s=47 jmortegac
September 24, 2015

Seguridad dispositivos móviles

Android and iOS security applications and devices

7c4b1ae16723b56facc7a8a8f95aa6ce?s=128

jmortegac

September 24, 2015
Tweet

More Decks by jmortegac

Other Decks in Technology

Transcript

  1. Seguridad en dispositivos móviles José Manuel Ortega @jmortegac

  2. Intereses

  3. About me https://about.me/jmortegac https://medium.com/@jmortegac

  4. About me

  5. Conferencias de seguridad

  6.  https://speakerdeck.com/jmortega Presentaciones

  7. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  8. Modelo de permisos iOS Android Requerido cuando primero sea necesario

    Se solicitan al instalar Denegar permisos en cualquier momento No se pueden denegar permisos (de forma oficial) Sí a través de aplicaciones de terceros
  9. Permisos en Android Normal De bajo Riesgo para el usuario

    ACCESS_NETWORK_STATE Dangerous De mayor riesgo para el usuario,pudiendo incluso acceder a información privada CAMERA,CONTACTS Signature Si dos aplicaciones están firmadas con el mismo certificado, se les concede el acceso a los datos de la otra SignatureOrSystem Uso especial cuando varias aplicaciones necesitan compartir características específicas
  10. Top 15 permisos https://github.com/android/platform_frameworks_base/blob/master/core/res/AndroidManifest.xml

  11. Permisos dangerous 50% de los usuarios de Android tienen una

    aplicación con los siguientes permisos: android.permission.ACCESS_FINE_LOCATION android.permission.INTERNET android.permission.READ_SMS android.permission.RECORD_AUDIO android.permission.CAMERA android.permission.READ_CALL_LOG android.permission.RECEIVE_BOOT_COMPLETED
  12. Ejemplos

  13. Android Permisos http://privacygrade.org

  14. Permisos en Android M • Permisos en tiempo de ejecución

  15. iOS Permisos  Privacy Analysis Tools for iOs Applications 

    patia.unileon.es
  16. Privacidad

  17. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  18. SandBox • Cada aplicación se ejecuta en su propio contexto

    de ejecución • El objetivo es proteger las aplicaciones unas de otras a nivel de acceso a datos y permisos • Por defecto las aplicaciones no pueden interactuar entre sí y poseen un acceso limitado al sistema operativo. • Si una aplicación trata de invadir el espacio asignado a otra aplicación el sistema operativo se encarga de evitarlo.
  19. Aplicaciones en Android

  20. Obtener apk  Apk extractor  http://apps.evozi.com/apk-downloader

  21. Seguridad en Android • Las aplicaciones son firmadas con certificados

    autofirmados por desarrolladores. • Permisos personalizadosRiesgo para la privacidad • Controles de seguridad de Google play (“Bouncer”) deberían ser más exhaustivos para la detección de malware
  22. Firma aplicaciones

  23. iOS architecture

  24. Seguridad en iOS

  25. JailBreak en iOS  Cydia  JailbreakME(versiones antiguas hasta la

    5)  Evasion(iOS version>=6)  http://evasi0n.com  Pangu(Windows,Mac)  http://en.pangu.io  Redsnow, SnowBreeze(reinstala iOS)
  26. Android Rooting • Permite obtener control de superusuario en el

    subsistema • El proceso consiste en explotar alguna vulnerabilidad en el firmware del dispositivo y copiar el binario de superusuario
  27. Android Rooting • ¿Qué cosas se pueden hacer cuando eres

    root?  Instalar ROMS  Eliminar las aplicaciones que vienen por defecto instaladas  Acceso a bajo nivel al hardware  Acceder a apps instaladas  Instalar aplicaciones en la SDCARD • Riesgos  Pérdida de garantía  Nos exponemos a ataques de malware  Brick
  28. Aplicaciones Root en Android

  29. Acceso Root en Android

  30. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  31. Malware iOS http://forensics.spreitzenbarth.de/current-ios-malware

  32. Malware Android http://forensics.spreitzenbarth.de/android-malware

  33. Malware en Android • 99% del malware para plataformas móviles

    está orientado a Android • Controles de seguridad en Google play no son sufucientes • Aplicaciones que no son del market oficial suponen un riesgo para el usuario
  34. Verificación de apps

  35. Recomendaciones  Instalar de orígenes conocidos Comprobar los permisos antes

    de instalar/actualizar Revisar comentarios de los usuarios Deshabilitar conexión automática a redes Wifi y evitar conectarnos a redes Free.
  36. VPN  https://www.tunnelbear.com  500MB free/month

  37. Wifi free

  38. Recomendaciones Evitar aplicaciones que no sean de markets oficiales No

    aceptar mensajes o archivos vía Bluetooth por parte de desconocidos. No instalar aplicaciones sin haber verificado su procedencia, especialmente si no están firmadas. En caso de hacer jailbreak a tu iPhone, cambia la contraseña de superusuario. Si tienes un Android rooteado, instala Superuser para que toda aplicación solicite permiso. Instala programas antivirus /antimalware móvil para tu plataforma.
  39. Aplicaciones maliciosas Suscripción a SMS premium Seguimiento de ubicaciones del

    dispositivo Robo de información personal Grabación de audio/video Simulaciones de aplicaciones:FakeAV
  40. SMS Premium android.permission.RECEIVE_SMS android.permission.SEND_SMS

  41. Malware/troyan manifest

  42. Anti-malware

  43. Anti-malware

  44. Análisis de malware • Informes de virusTotal • Permisos •

    Services • Receivers • ContentProviders • Librerías externas(monetización)
  45. Análisis en la nube

  46. Análisis en la nube

  47. Análisis en la nube https://anubis.iseclab.org

  48. Análisis en la nube http://foresafe.com/submit

  49. Análisis en la nube http://andrototal.org/scan

  50. Análisis en la nube

  51. Análisis en la nube http://www.visualthreat.com

  52. Análisis en la nube http://apkscan.nviso.be

  53. Análisis en la nube

  54. Análisis en la nube http://sanddroid.xjtu.edu.cn

  55. Análisis en la nube http://tracedroid.few.vu.nl • Análisis online de peticiones

    de red,llamadas,sms • También realiza un análisis estático y de cobertura de código • Está orientada a detección de malware
  56. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  57. Ataques de ingeniería social • Phising  Estafa que mediante

    ingeniería social pretende obtener información de una victima de forma fraudulenta.  El estafador envía un email a la victima haciéndose pasar por una organización legitima.  En este email se insta a la victima a acceder a un enlace adjunto e introducir sus datos con el fin de confirmar su cuenta, recibir dinero, haber ganado un concurso.  El enlace dirige a una aplicación web controlada por el estafador y similar a la de la organización suplantada.  La victima accede a la aplicación web del enlace e introduce en ella los datos solicitados.  La aplicación web envía los datos introducidos al estafador.
  58. Ataques de ingeniería social

  59. Ataques de ingeniería social  Particularidades del navegador en el

    dispositivo:  Aprovechan las características del navegador de los dispositivos móviles para realizar Phishing UrlSpoofingAtack:  Aprovechan que solo se muestra el inicio de la url en el navegador  Phising con nombres de subdominio legítimos UISpoofingSafari:  Ciertas versiones de Safari ocultan la pestaña de navegación tras cargar una página.  Aprovechando lo anterior mediante la inserción de una imagen,se puede hacer creer al usuario que se encuentra en un dominio legitimo.
  60. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  61. Riesgos Riesgos en disp móviles

  62. Moble Thread Model APPS OS Web Coporate Networks Web Services

    Websites App Stores Cloud Storage SMS Voice - Carrie Network - Local Network (Wifi, VPN, etc) Hardware extensions
  63. OWASP Mobile Project • OWASP inició en 2010 un proyecto

    de seguridad móvil • Objetivo: Proporcionar a desarrolladores y profesionales de seguridad recursos para asegurar aplicaciones móviles • Hitos: OWASP Top 10 riesgos móviles Guías de desarrollo y pruebas de seguridad Proyecto OWASP GoatDroid https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  64. OWASP Mobile Top 10 Risks

  65. OWASP Mobile Top 10 Risks 1- Almacenamient o de datos

    inseguro 2- Controles débiles en el lado del servidor 3- Protección insuficiente en la capa de transporte 4- Inyección en el lado del cliente 5- Sistema pobre de autenticación y autorización 6- Gestión inadecuada de la sesión 7- Decisiones de seguridad a partir de entradas inseguras 8- Canal lateral de fuga de datos 9- Rotura de la criptografía 10- Divulgación de información confidencial
  66. Riesgos • Tienda de aplicaciones(appstore) • Permisos de las aplicaciones

    • Malware móvil • App sandboxingJailBreaking /Rooting • Cifrado de dispositivo y aplicaciones • Actualizaciones del sistema y aplicaciones • Problemas de privacidad(Geolocalización) • Seguridad de las comunicaciones • Robo del dispositivo
  67. JailBreak/Root Risks • Las aplicaciones pueden acceder a la capas

    más bajas del sistema • Se podría acceder a datos sensibles de aplicaciones que tengas instaladas(gmail,evernote)
  68. Factores de riesgo • Permisos en androidManifest.xml • Verificar la

    firma de la aplicación • Origen de la aplicación • Dispositivo rooteado • Depuración habilitada en androidManifest • Ayuda a un atacante a aprender el funcionamiento de la App
  69. Librerías de terceros • Analizar posibles vulnerabilidades • PhoneGap •

    Apache Cordova
  70. Permisos • Usuario: Aplicar sentido común • Desarrollador: No abusar

    de la solicitud de permisos (overprivileged) • Principio de mínimo privilegio
  71. Permisos  Minimizar el número de permisos que se piden

     33% aplicaciones piden más permisos de los necesarios  ¿Es necesario android.permission.CAMERA?
  72. Permisos

  73. Almacenamiento en Android • Ficheros o Almacenamiento interno o Almacenamiento

    externo(SDCARD) • Base de datos SQLite • Preferencias de usuario(Shared Preferences) • Web Cache
  74. Almacenamiento inseguro

  75. Ficheros SQLite • Caché y consultas offline por parte de

    las aplicaciones • Gmail almacena la información de emails para acceder cuando el usuario no tiene conexión • BD muy rápida que no requiere config • No soporta encriptación
  76. LogCat Android

  77. Vectores de ataque • Manipulación de datos:  Modificación por

    otra aplicación  JailBreak /root del dispositivo • Pérdida de datos:  Pérdida del dispositivo  Intento de acceder de forma física • Malware:  Virus y rootkits
  78. Amenazas Amenazas basadas en aplicaciones • Malware /• Spyware •

    Amenazas de privacidad • Vulnerabilidades en aplicaciones Amenazas basadas en la web • Phishing • Drive-by-downloads • Exploits en navegadores Amenazas basadas en las redes • Exploits para protocolos de red • Wi-fi sniffing Amenazas físicas • Pérdida o robo del dispositivo
  79. Soluciones antiVirus

  80. Localizar dispositivo https://preyproject.com

  81. Localizar dispositivo

  82. Mensajería segura WhisperSystems

  83. Mensajería segura https://github.com/WhisperSystems/TextSecure

  84. Mensajería segura

  85. Surespot

  86. Telegram • Protección nativa con contraseña • Mensajes privados con

    cifrado • Auto destrucción de mensajes.
  87. Telegram(Source Code + Api)

  88. Connan Mobile para Android  https://play.google.com/store/apps/details?id=es.inteco.conanmobile  Configuración segura del

    dispositivo  Permisos de aplicaciones  Servicios proactivos de seguridad  Desarrollada por el INCIBE(Instituto Nacional de Ciberseguridad)  https://www.osi.es/es/conan-mobile
  89. Connan Mobile para Android

  90. Connan Mobile para Android

  91. Escanner de vulnerabilidades

  92. X-Ray • Aplicación que realiza un escaneo del dispositivo para

    determinar si hay vulnerabilidades o falta de parches en el sistema • Presenta una lista de vulnerabilidades que permiten identificar y revisar la presencia de cada vulnerabildiad en el dispositivo
  93. Android Vulnerability test suite https://github.com/nowsecure/android-vts

  94. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  95. None
  96. Buenas prácticas de desarrollo • Análisis estático • Análisis dinámico

    • Encriptación de datos • Ofuscación • Anti-debug • Anti-patching
  97. Android Lint

  98. Android Lint

  99. Android Inspect Code

  100. Android Sonar plugin https://github.com/SonarCommunity/sonar-android

  101. Sonar security plugin

  102. Androwarn python androwarn.py -i my_apk.apk -r html -v 3 Telephony

    identifiers exfiltration: IMEI, IMSI, MCC, MNC, LAC, CID, operator's name... Device settings exfiltration: software version, usage statistics, system settings, logs... Geolocation information leakage: GPS/WiFi geolocation... Connection interfaces information exfiltration: WiFi credentials Telephony services abuse: premium SMS sending, phone call composition... Audio/video flow interception: call recording, video capture... Remote connection establishment: socket open call, Bluetooth pairing, APN settings edit... PIM data leakage: contacts, calendar, SMS, mails... External memory operations: file access on SD card... PIM data modification: add/delete contacts, calendar events... Arbitrary code execution: native code using JNI, UNIX command, privilege escalation... Denial of Service: event notification deactivation, file deletion, process killing, virtual keyboard disable, terminal shutdown/reboot...
  103. Análisis estático apps • dex2jar http://code.google.com/p/dex2jar • Java Deceomplier /

    JD-GUI http://java.decompiler.free.fr
  104. Análisis estático apps https://code.google.com/p/android-apktool

  105. Análisis estático

  106. Análisis de código fuente • Siempre es buen punto de

    inicio listar todas las llamadas a funciones que podrían ser usadas de forma insegura como: • putString • setJavaScriptEnabled(true) • getExternalStorageDirectory() • getBundleExtra() • sharedPreferences
  107. Script-Droid

  108. Análisis dinámico apps  Cobertura de código  Hashes para

    los paquetes analizados  Datos de red mediante herramientas como wireShark para analizar los paquetes de red  Información de debug  Operaciones de lectura/escritura en ficheros  Operaciones de criptografía utilizando la API de Android  Envío de SMS y llamadas de teléfono
  109. Análisis dinámico apps • Wireshark / NetWorkMiner https://www.wireshark.org http://www.netresec.com/?page=NetworkMiner •

    Drozer https://www.mwrinfosecurity.com/products/drozer • DroidBox / introSpy https://github.com/iSECPartners/Introspy-Android
  110. Análisis dinámico • WireShark / Ficheros pcap

  111. Cifrado aplicaciones • 256-bit AES Encrypt SQLite database • http://sqlcipher.net/sqlcipher-for-android

  112. Cifrado aplicaciones • Secure-Preferences • http://github.com/scottyab/secure-preferences

  113. Almacenamiento ficheros WORLD_READABLE / WORLD_WRITABLE Otras apps podrían leer el

    fichero si conocen la ruta Los ficheros deberían crearse en MODE_PRIVATE FileOutputStream fos = openFileOutput(“MyFile", Context.MODE_PRIVATE); fos.write(“contenido”.getBytes()); fos.close();
  114. WebView

  115. Encrypt /Decrypt Android public String encrypt(String cleartext, String password) {

    byte[] encryptedText = null; String result = ""; try { // Get key based on user-provided password PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, PBE_ITERATION_COUNT, 256); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(PBE_ALGORITHM); SecretKey tmp = keyFactory.generateSecret(keySpec); // Encrypt SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES"); Cipher encryptionCipher = Cipher.getInstance(CIPHER_ALGORITHM); IvParameterSpec ivspec = new IvParameterSpec(initVector); encryptionCipher.init(Cipher.ENCRYPT_MODE, secret, ivspec); encryptedText = encryptionCipher.doFinal(cleartext.getBytes()); // Encode encrypted bytes to Base64 text to save in text file result = Base64.encodeToString(encryptedText, Base64.DEFAULT); } catch (Exception e) { e.printStackTrace(); } return result; }
  116. Encrypt /Decrypt Android public String decrypt(String encryptedText, String password) {

    byte[] encryptedText = null; String result = ""; try { // Decode Base64 text back to encrypted bytes byte[] toDecrypt = Base64.decode(encryptedText, Base64.DEFAULT); // Get key based on user-provided password PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, PBE_ITERATION_COUNT, 256); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(PBE_ALGORITHM); SecretKey tmp = keyFactory.generateSecret(keySpec); // Decrypt SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES"); Cipher decryptionCipher = Cipher.getInstance(CIPHER_ALGORITHM); IvParameterSpec ivspec = new IvParameterSpec(initVector); decryptionCipher.init(Cipher.DECRYPT_MODE, secret, ivspec); byte[] decryptedText = decryptionCipher.doFinal(toDecrypt); result = new String(decryptedText); } catch (Exception e) { e.printStackTrace(); } return result; }
  117. Android root

  118. Android root public class RootUtil { public static boolean isDeviceRooted()

    { return checkRootMethod1() || checkRootMethod2() || checkRootMethod3(); } private static boolean checkRootMethod1() { String buildTags = android.os.Build.TAGS; return buildTags != null && buildTags.contains("test-keys"); } private static boolean checkRootMethod2(){ String[] paths = { "/system/app/Superuser.apk", "/sbin/su", "/system/bin/su", "/system/xbin/su", "/data/local/xbin/su", "/data/local/bin/su", "/system/sd/xbin/su", "/system/bin/failsafe/su", "/data/local/su" }; for (String path : paths) { if (new File(path).exists()) return true; } return false; } private static boolean checkRootMethod3() { Process process = null; try { process = Runtime.getRuntime().exec(new String[] { "/system/xbin/which", "su" }); BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream())); if (in.readLine() != null) return true; return false; } catch (Throwable t) { return false; } finally { if (process != null) process.destroy(); } } }
  119. Seguridad certificados

  120. xCode  Static Analyzer  Detect memory leaks  ARC(Automatic

    Reference Counting)
  121. Ofuscar el código http://proguard.sourceforge.net

  122. Ofuscar el código Proguard • Clase gratuita que optimiza, ofusca

    el código. Detectando y eliminando las clases no utilizadas, campos, métodos y atributos. Se optimiza el código en bytes y elimina las instrucciones que no estén siendo utilizadas. Se cambia el nombre de las clases restantes, campos, métodos por nombres cortos sin sentido aparente. • Por defecto al instalar el SDK de Android viene incluido. • Sólo debemos de activarlo modificando el fichero project.properties y activar el flag proguard.config=proguard.cfg • Todas las opciones que queramos incluir las escribiremos en el fichero proguard.cfg • Cuando exportemos la aplicación automáticamente nos generara el fichero APK con el código de la misma ofuscado
  123. Ofuscar el código

  124. Testear seguridad aplicaciones Análisis estático Código fuente • Code Review

    Binario • Ingeniería inversa Análisis dinámico • Debug en tiempo de ejecución • Capturar logs y tráfico que generan • Llamadas a servicios remotos • Peticiones de red Análisis forense • Permisos en ficheros • Análisis del contenido de ficheros
  125. Forensics en Android http://www.andriller.com

  126. Patrón de Bloqueo en Android

  127. Patrón de Bloqueo en Android adb shell cd /data/data/com.android.providers.settings/databases sqlite3

    settings.db update system set value=0 where name='lock_pattern_autolock'; update system set value=0 where name='lockscreen.lockedoutpermanently'; adb shell rm /data/system/gesture.key
  128. Santoku linux

  129. Kali linux

  130. Agenda • Modelo de permisos en Android e iOS •

    Seguridad en aplicaciones • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante BYOD y MDM • Conclusiones
  131. Retos actuales en movilidad • Información sin cifrar(store+ request) •

    Diversidad de dispositivos (BYOD) • Internet of things(IoT) • Seguridad en la nube • Sistemas de pago seguro
  132. Riesgos de seguridad en la empresa Riesgo Posible solución Sin

    control sobre los dispositivos (robo o pérdida) Encriptar Dispositivos externos (BYOD / Bring Your Own Device) MDM Conexión a redes no confiables VPN Aplicaciones no conables en dispositivos de empresa Concienciar y formar a los usuarios Contenido de origen desconocido (QR con página maliciosa) Antivirus / Antimalware y estar en alerta Rastreo por GPS Desconexión de GPS cuando sea posible
  133. BYOD • Bring Your Own Device • Política que permite

    a los empleados llevar sus dispositivos al trabajo • Espías y hackers podrían captar esta información si no se implantan los sistemas de seguridad adecuados para impedirlo. • Controlar las aplicaciones que se instala el usuario. Tanto aplicaciones pasa uso personal como aplicaciones que se usan para incrementar la productividad en el trabajo.
  134. 1 • Protección del acceso password, reconocimiento dactilar o facial

    2 • Control de la conectividad WiFi , GPS o Bluetooth 3 • Controlar el acceso y permisos de la aplicaciones debemos considerarlo durante la instalación 4 • Mantener el firmware y S.O. actualizado considerar las actualizaciones del fabricante 5 • Mantener copia de los datos sobre los datos críticos, personales y de la empresa 6 • Borrar datos si el dispositivo se pierde algunos servicios permiten el borrado de datos de forma remota 7 • No almacene información privada datos como tarjetas de crédito y passwords 8 • Cuidado con las aplicaciones gratuitas pueden haber sido alteradas o contener spyware 9 • Use antivirus y herramientas de escaneo tenerlos actualizados 10 • Use software MDM configuran y monitorizan el acceso
  135. Medidas para empresas • Definir estándares de seguridad independientemente de

    la plataforma. • Utilizar los sistemas de administración centralizada (Mobile Device Manager) para las plataformas implementadas:  Habilitar borrado remoto  Habilitar bloqueo remoto  Geolocalización del equipo  Aplicación de Políticas (OTA)
  136. MDM • MDM ayuda a implementar directivas en toda la

    empresa para reducir costos de soporte,discontinuidad del negocio y riesgos de seguridad. • Ayuda a los administradores de sistema a implementar y administrar aplicaciones de software por todos los dispositivos de la empresa para asegurar y monitorizar dispositivos móviles(smartphones,tablets) • Puede ser utilizado para administrar dispositivos de la organización y personales • Permite al personal de TI realizar de forma remota acciones de registro y rastreo de los dispositivos
  137. Políticas de seguridad MDM • Autenticar el accesos a los

    datos para usuarios y dispositivos. • Proporcionar seguridad en la conexiones. • Formar a los usuarios. • Instalación de herramientas para la detección de malware. • Centralizar la seguridad de los dispositivos móviles.
  138. MDM

  139. Administrar MDM Se instala un agente en cada terminal y

    permite la gestión desde un servidor centralizado.  Complejidad de las contraseñas  Tiempos de bloqueo de pantalla  VPNs  Desinstalar funciones específicas  Instalar,actualizar y desinstalar aplicaciones  Localizar dispositivos con GPS  Borrar información de forma remota
  140. Soluciones MDM • Citrix XenMobile MDM http://www.citrix.com/products/xenmobile/overview.html • Airwatch http://www.air-watch.com

    • WSO2 Enterprise Mobility Manager http://wso2.com/products/enterprise-mobility-manager
  141. Administrador de dispositivos Diseñado para la gestión de dispositivos móviles

    (MDM) de la empresa
  142. Aplicaciones  Checkear el estado de la red  Fing(NetWork

    Discovery,TCP SCan,Ping,traceroute)  Wireless Network Watcher(NetWork Discovery)  Aplicaciones para obtener información sobre paquetes capturados  WireShark / tcpdump  NetWorkMiner
  143. NetWorkMiner

  144. DroidWall • Funciona como un firewall para las aplicaciones a

    la hora de acceder a la red(wifi,3G) ROOT
  145. Protocolos WIFI • WEPVulnerable.En pocos minutos se puede sacar una

    password • WPATambién vulnerable frente ataques por fuerza fruta mediante diccionario • WPA2+PSKCifrado AES de 256 bits.Actualmente el método más robusto • Uso de contraseñas seguras para evitar ataques por diccionario
  146. Comunicaciones seguras • Confidencialidad, integridad, autenticación, no repudio • Establecer

    canales seguros en medios inseguros • HTTPS • VPN • WiFi cifrada con WPA2 • Bluetooth no descubrible • Uso de PKI
  147. Cifrado

  148. Analizando el tráfico de red • Es importante analizar el

    tráfico de red que fluye entre el cliente / servidor en una aplicación. • Busque credenciales, tokens de autenticación, las claves API que se transmiten a través de canales http no seguro. • El tráfico puede ser analizada utilizando una herramienta de proxy como BurpSuite
  149. Analizando el tráfico de red • Configurar Burp Proxy para

    empezar a escuchar el tráfico.
  150. Encriptación en Android Rendimiento 1h 3.0

  151. Segundo factor de autenticación https://accounts.google.com/smsauthconfig

  152. Segundo factor de autenticación

  153. Segundo factor de autenticación

  154. Conclusiones Lograr un equilibrio entre la seguridad del dispositivo y

    la funcionalidad para el usuario Funcionalidad Seguridad
  155. Conclusiones

  156. Conclusiones Leer permisos Leer comentarios de usuarios Instalar sólo de

    market oficial
  157. Books

  158. Books

  159. Referencias y blogs  Open Android Security Assessment Methodology 

    http://oasam.org/es/oasam  Developer.android.com  https://developer.android.com/training/articles/security-tips.html  https://source.android.com/devices/tech/security  http://globbsecurity.com  http://www.securitybydefault.com  http://blog.s21sec.com  http://hacking-etico.com
  160. questions?