Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY

1.442 Aufrufe

Veröffentlicht am

Las empresas usan cada vez más la tecnología móvil, esta generalización conlleva una serie de oportunidades y amenazas. En 2016, se prevé que existan 10.000 millones de dispositivos móviles conectados a Internet, lo que equivaldrá a 1,4 dispositivos por personas. Según un estudio, el 38% de los usuarios de aparatos móviles habían experimentado un ataque. Esta tendencia hace necesario conocer la problemática de la seguridad en el despliegue de aplicaciones móviles.

Descubre la problemática de la seguridad en el despliegue de aplicaciones móviles @EY_Spain.

Veröffentlicht in: Business
  • Als Erste(r) kommentieren

Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY

  1. 1. Self Defending Mobile Apps Julio San José Sánchez 3 de Febrero 2015
  2. 2. AgendaAgenda 1 Situación actual - Tendencias 2 Riesgos – Vías de ataque 3 Anatomía de un ataque 4 Seguridad en aplicaciones móviles 5 Self Defending Applications
  3. 3. Situación actual – Tendencias
  4. 4. Página 3 Las razones por la cual la tecnología móvil ha experimentado este crecimiento se debe a estos 3 factores principales: 1. Aumentar la productividad Mejorar la productividad de los usuarios otorgándole acceso remoto a los recursos. Ejemplo: correo electrónico 2. Mejora de procesos Facilitar el trabajo a los usuarios cuando no dispongan de los recursos necesarios. Ejemplo: aplicaciones de soporte técnico 3. Productos y servicios Ofrecer a los clientes nuevos productos y servicios que vayan en sintonía con la demanda del mercado. Ejemplo: aplicaciones e-commerce Tendencias Las empresas usan cada vez más la tecnología móvil
  5. 5. Página 4 Tendencias (cont.) Las proyecciones sólo deparan más crecimiento Dispositivos móviles Aplicaciones móviles Tráfico de datos Desarrollo de apps 2 mil millones de smart phones en 2014 1,5 millones de aplicaciones móviles 119% crecimiento en tráfico de datos 4 veces más desarrollos “Cifra que aumentará en 2,9 veces para el 2016” — Gartner “El número de aplicaciones móviles que se publicaron en el 2012, superó en 15 veces las aplicaciones publicadas para PC” — IDC Predictions 2012 “El tráfico de datos móviles crecerá en 50 veces en la relación al actual para el 2016. Lo que representa un incremento anual de 119%” — Pew Research Center “Para el 2015 el desarrollo de aplicaciones móviles superará al de las PC con una proporción de 4:1” — Gartner “Para el 2016, habrán 10 mil millones de dispositivos móviles conectados a Internet. Mientras, la población mundial se prevé en 7,3 mil millones de personas; esto supone que habrán 1,4 dispositivos por persona” — Pew Research Center
  6. 6. Página 5 Tendencias (cont.) Que trae consecuencias en la seguridad En 2013 un 38% de los usuarios de dispositivos móviles habían experimentado algún tipo de ataque. — Symantec 2013 Report Incremento posibilidades de ataque El 97% de las 100 aplicaciones de pago más importantes de Android han sido hackeadas. El 87% de las 100 aplicaciones de pago más importantes de iOS han sido hackeadas. El 80% de las 100 aplicaciones gratis más importantes de Android han sido hackeadas. El 75% de las 100 aplicaciones gratis más importantes de iOS han sido hackeadas. El 95% de las aplicaciones financieras de Android han sido crakeadas. El 70% de las de las aplicaciones financieras de iOS han sido hackeadas.
  7. 7. Riesgos – Vías de ataque
  8. 8. Página 7 Riesgos de las aplicaciones móviles Riesgos 1. Escalado de privilegios Por seguridad las aplicaciones financieras no deberían correr en dispositivos con jailbreak o root. 2. Re-empaquetado Una vez el atacante logra romper la ofuscación que poseen las aplicaciones que se encuentran en los mercados de aplicaciones, éste puede modificarla y alojarla en servidores externos para su descarga por parte de usuarios no conscientes de este riesgo. 3. Cambios de comportamiento El atacante podría hacer modificaciones en el comportamiento de la aplicación, mediante inyección de código o en las llamadas realizadas por la aplicación, para invocar código malicioso provenientes de bibliotecas externas. 4. Saltar los controles de seguridad Básicamente se trata de la modificación del código de la aplicación con el objetivo de evitar los controles asociados a la toma de decisiones, por ejemplo forzando a la transacción a ir por la vía que decida el atacante. 5. Cambios en la capa de presentación El atacante puede manipular la capa más externa del código, modificarla y realizar operaciones no autorizadas engañando al usuario con la apariencia. 6. Fuga de información Un atacante puede averiguar las claves de cifrado con el objetivo de acceder a información confidencial almacenada de forma local.
  9. 9. Página 8 Vías de ataque a las aplicaciones móviles Vías de Ataque 1. Acceso a información no cifrada. Por ejemplo fotos, vídeos o archivos plist, xml o sqlite, los cuales contienen información sobre el último inicio de sesión, direcciones, nombres de usuarios, coordenadas de GPS, contraseñas… 2. Aplicaciones que solicitan permisos innecesarios. Aplicaciones que por sus funciones no deberían solicitar permisos para utilizar acceso a directorio telefónico, calendarios, GPS, cámara, micrófono, etc. 3. Explotación vulnerabilidades de seguridad. Permiten a los atacantes lanzar, por ejemplo, ataques de inyección de código SQL o bombas XML. 4. Aprovechamiento de sesiones inactivas Derivadas de una mala gestión de las sesiones de usuarios, donde las sesiones continúan activas en el servidor aún cuando el usuario ha cerrado la aplicación. 5. Intercepción de transmisiones de información no cifrada. Por ejemplo capturando transmisiones generadas por un peticiones GET, donde podrían estar siendo enviados nombres de usuarios, números de cuentas, códigos de identificación etc.
  10. 10. Modelo de relación entre asegurado y aseguradora Anatomía de un ataque
  11. 11. Página 10 Anatomía de un ataque Ataques cada vez más rápidos y eficaces. Ataques rápidos Relativamente fácil Objetivos sencillos Aproximadamente en el 84% de los casos el ataque inicial sólo tardó algunos minutos en ser completado. Hay una gran cantidad de herramientas disponibles que hacen gran parte del trabajo, muchas de ellas disponibles gratuitamente. Las aplicaciones móviles “viven” en un ambiente poco controlado, donde los atacantes pueden acceder, modificar y explotar su código binario. Los ataques a las aplicaciones móviles cada vez se hacen más frecuentes, más rápidos y mucho más fácil. ¿Por qué?.
  12. 12. Página 11 Seguridad de aplicaciones móviles Situación actual ► Los dispositivos móviles (laptops, smartphones, tablets y wearables) están teniendo un uso muy generalizado, lo que permite que las personas puedan acceder y distribuir información desde cualquier lugar y en cualquier momento. Estos dispositivos se han convertido en una parte integral de nuestras vidas, tanto en el trabajo como el hogar. ► Las empresas en numerosos casos se han visto en la necesidad de implementar algún tipo de tecnología móvil en sus procesos para seguir siendo relevantes para sus clientes, socios y empleados.
  13. 13. Página 12 Seguridad de aplicaciones móviles Complicaciones ► La tecnología móvil está provocando cambios en la forma en las empresas gestionan el flujo de información. ► Con cada nueva tecnología surgen nuevos retos para las empresas: ► Filtraciones o pérdidas de información confidencial. ► Retos asociados a la amplia gama de dispositivos y sistemas operativos, los riesgos y vulnerabilidades inherentes asociados a los firmwares. ► Pérdida y robo de los dispositivos. ► Cumplimiento de las regulaciones tanto locales como extranjeras, en caso de los empleados viajen con sus dispositivos. ► Adecuada monitorización del uso que se le da a las dispositivos y aplicaciones, ya que el usuario lo utilizará tanto para su vida personal como para el trabajo.
  14. 14. Modelo de relación entre asegurado y aseguradora Self-defending Mobile Applications
  15. 15. Página 18 Self-defending applications Un nuevo tipo de defensa Software de autodefensa Este tipo de software incluye medidas de seguridad directamente en las aplicaciones. Entre las medidas de seguridad que incluye destacan la validación de integridad, prevención de extracción de código, protección de datos, cifrado, mejoras en la autenticación… Diseño •Revisión del diseño y la arquitectura de la aplicación. •Modelado de las amenazas. Codificación •Desarrollo del código de la aplicación. •Inclusión del código de auto defensa. Pruebas •Pruebas SCA. •Pruebas DAST. Despliegue •Revisión de la configuración del servidor. •Revisión de la configuración de la red Implementación de software de autodefensa
  16. 16. Página 20 Self-defending applications (cont.) Un nuevo tipo de defensa Software de autodefensa Este tipo de software incluye medidas de seguridad directamente en las aplicaciones. Entre las medidas de seguridad que incluye destacan la validación de integridad, prevención de extracción de código, protección de datos, cifrado, mejoras en la autenticación, entre otras. Aplicación Software Seguridad Control de acceso Seguridad física Ataque Ataque Ataque Sólo el hecho de olvidar instalar el último parche en el software de seguridad o una nueva amenaza suponen una posibilidad de que la aplicación sea vulnerada. Aplicación Software de autodefensa Software Seguridad Control de acceso Seguridad física Ataque Ataque Ataque El software de autodefensa nos proporciona un capa de seguridad adicional inteligente, que se encarga de analizar la actividad de la aplicación y tomar las medidas que sea necesarias para bloquear ataques.
  17. 17. Página 21 Self-defending applications (cont.) Un nuevo tipo de defensa Software de autodefensa Este tipo de software incluye medidas de seguridad directamente en las aplicaciones. Entre las medidas de seguridad que incluye destacan la validación de integridad, prevención de extracción de código, protección de datos, cifrado, mejoras en la autenticación, entre otras. Ventajas Desventajas ► Detección de modificaciones hechas a la aplicación. ► No depende de ningún mecanismo externo que pueda ser vulnerado. ► Su implementación no requiere intervención por parte de los desarrolladores. ► Aunque la protección se aplica de forma general, esto no genera ningún impacto en el rendimiento de la aplicación. ► Se pueden hacer escalamientos de medidas de seguridad cuando se requiera. ► Requiere acceder al código de la aplicación para su implementación. ► Cada vez que se libera una nueva versión del software, se debe de analizar de nuevo las aplicaciones para asegurar que las medidas de seguridad han sido correctamente implementadas.
  18. 18. Conclusiones Conclusiones
  19. 19. Página 23 ¿Qué están haciendo las compañías? Análisis y revisiones Alcance Objetivos y áreas cubiertas Asesoría en la implementación de tecnología móvil Objetivo: Evaluar si la empresa cuenta con una estrategia apropiada para desplegar un plan de desarrollo de tecnología móvil. Áreas cubiertas: ► Revisión de la estrategia aplicada a los servicios cloud. ► Revisión de las políticas y su integración con las regulaciones legales y regulaciones de IT. ► Revisión de las políticas y procedimientos aplicables cuando se hace uso de servicios cloud, incluyendo factores legales, de gobierno y de auditoría. Evaluación del tipo Gray Box en las aplicaciones Objetivo: Las evaluaciones del tipo Gray Box sirven para: ► Identificar riesgos dentro del código de las aplicaciones. ► Identificar vulnerabilidades producidas por jailbreak o acceso root. Áreas cubiertas: ► Modelado de amenazas a través de un entendimiento del proceso, incluyendo:  Interfaces administrativas.  Plataformas.  Transmisión de información confidencial ► Uso de protocolos móviles (MMS, WAP, etc.). ► Ejecutar un modelado de las aplicación y definir las relaciones de confianza. ► Ejecutar un análisis del código, incluyendo: ► Análisis de permisos, flujo de controles, y flujo de datos. ► Validar los puntos de mejora técnicos y proporcionar recomendaciones.
  20. 20. Página 24 ¿Qué están haciendo las compañías? Análisis y revisiones Alcance Objetivos y áreas cubiertas Revisión de la configuración de los dispositivos y aplicaciones Objetivo: Identificar riesgos y vulnerabilidades en dispositivos y aplicaciones. Áreas cubiertas: ► Revisión de las políticas y la estrategia de gestión de dispositivos y aplicaciones. ► Revisión de la seguridad de dispositivos y aplicaciones, así como su cumplimiento con las políticas establecidas. ► Revisión del proceso para la gestión de dispositivos robados o perdidos. ► Revisión de dispositivos para detectar posibles aplicaciones no autorizadas así como dispositivos con jailbreak o acceso root. ► Revisión de la red que soporta el flujo de datos producto del uso de los dispositivos. ► Revisión de las políticas, SOD y accesos por parte de terceros que estén de alguna manera involucrados con procesos de tecnología móvil. Evaluación del tipo Black Box de las aplicaciones Objetivo: Ejecutar revisiones de tipo Black Box e intentar explotar las vulnerabilidades identificadas en las aplicaciones. Áreas cubiertas: ► Análisis y explotación de las vulnerabilidades encontradas en los flujos de autorizaciones y lógica del negocio. ► Análisis no intrusivos mediante el uso de herramientas (inyección de código SQL, cross-site scripting, etc.) ► Análisis de la configuración general de las aplicaciones (funcionalidad, permisos, controles, etc.) ► Intentar explotar las vulnerabilidades de las aplicaciones móviles. ► Revisión de los mecanismos de cifrado.
  21. 21. Muchas gracias

×