SlideShare une entreprise Scribd logo

Seguridad y auditoría de Apps o aplicaciones móviles

J
Jaime Andrés Bello Vieda

Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017. Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.

Logiciels
1  sur  48
#LATINCACS© ISACA 2017 Derechos reservados Cimentando conceptos para el desarrollo de “auditorías prácticas” de seguridad a aplicaciones móviles Jaime Andrés Bello Vieda Colombia @avechuch0
#LATINCACS© ISACA 2017 Derechos reservados Misión de los eventos de ISACA Ofrecer poductos, servicios y eventos educativos creativos, innovadores y de alta calidad para sus miembros e interesados, con el objetivo de mejorar sus conocimientos profesionales, su competencia y valor para las organizaciones en que laboran. “ ” 2
#LATINCACS© ISACA 2017 Derechos reservados Agenda • Introducción. • Riesgos en la adopción de la tecnología móvil. • El papel del auditor. • Arquitecturas Android - iOS. • Análisis estático y dinámico. • Herramientas. • Demostración. • Conclusiones. 3
#LATINCACS© ISACA 2017 Derechos reservados Acerca de mi… • Máster Seguridad de las TIC (En curso) • U • Ingeniero de Sistemas • U • Cert. • CSX, PMP, Auditor ISO 27001, Perito forense CAFSC (Latin American Council for Cybersecurity and Computer Forensic). • + de 5 años de experiencia… • Webmaster, administrador de infraestructura, auditoría de procesos, cumplimiento y sistemas, seguridad informática, respuesta a incidentes e informática forense. • Música ☺ - Desde los 12 años ♪♫ • Deporte. • Investigar y compartir conocimiento. ¡For free! Bogotano, Colombia 4
#LATINCACS© ISACA 2017 Derechos reservados Introducción 5
#LATINCACS© ISACA 2017 Derechos reservados El porqué de esta charla 6
#LATINCACS© ISACA 2017 Derechos reservados Cisco Visual Networking Index™ (VNI) Global Mobile Data Traffic Forecast (2015 to 2020) El porqué de esta charla Gartner 7
#LATINCACS© ISACA 2017 Derechos reservados • En 2015, 7.536.000 suscriptores de telefonía móvil. Aumento del 7% respecto a 2014. • Penetración mercado móvil 156%, la más alta en la historia del país. • Ingresos económicos por servicio de datos móviles se incrementó en más del 30%. El porqué de esta charla Caso Costa Rica 8
#LATINCACS© ISACA 2017 Derechos reservados El porqué de esta charla …Y aunque sea cliché 9
#LATINCACS© ISACA 2017 Derechos reservados Riesgos en la adopción de la tecnología móvil 10
#LATINCACS© ISACA 2017 Derechos reservados La Tecnología Móvil Vulnerabilidades, amenazas y riesgos CSXCybersecurityFundamentalsStudyGuide–ISACA Sección6 11 Riesgos Organizacional TécnicoFísico
#LATINCACS© ISACA 2017 Derechos reservados Categorías de Riesgo De acuerdo a CsxF • Físico Dispositivos son pequeños por definición. Pueden perderse o ser robados fácilmente por (ciber)delincuencia común. Datos (Listas de llamadas, textos, ítems de agenda). Posibilidad de impersonar (suplantar a la víctima). 12
#LATINCACS© ISACA 2017 Derechos reservados • Organizacional Aprovisionamiento de empresas o políticas BYOD. El riesgo es mayor si no se ofrece un entrenamiento de seguridad en el uso del dispositivo. Hay un libre albedrío del usuario. Categorías de Riesgo De acuerdo a CsxF 13
#LATINCACS© ISACA 2017 Derechos reservados • Técnico SO basados en servicios. Ejecutan muchos procesos en background. Hay una tendencia a simplificar la habilidad del usuario en cambiar parámetros de bajo nivel. ¿Monitoreo? ¿Fugas de información? Por dar Sí, acepto a una App. Categorías de Riesgo De acuerdo a CsxF Conectividad no autorizada Alteración y suplantación de la interfaz Fuga de datos sensibles Almacenamiento inseguro de datos Transmisión insegura de datos Vulnerabilidades “Drive-by” 14
#LATINCACS© ISACA 2017 Derechos reservados • Conectividad no autorizada Malware en un móvil puede permanecer semanas/meses “dormido”. Hay “sensores” de conectividad que se activan de forma imperceptible al usuario. Categorías de Riesgo De acuerdo a CsxF • Alteración y suplantación de la interfaz La presentación en pantallas pequeñas, facilitan acciones delincuenciales de SMiShing u otros. 15
#LATINCACS© ISACA 2017 Derechos reservados • Almacenamiento/Transmisión insegura de datos Hay Apps que almacenan credenciales o tokens en texto claro. El uso de nubes públicas para almacenamiento no ofrecen garantías al usuario. NFC, riesgos emergentes en pagos… Categorías de Riesgo De acuerdo a CsxF 16
#LATINCACS© ISACA 2017 Derechos reservados El papel del auditor 17
#LATINCACS© ISACA 2017 Derechos reservados Entremos en materia ¿Dónde se ubica el auditor? • NIST Special Publication 800-163 - Vetting the Security of Mobile Applications Un proceso “App vetting” (investigación o revisión), determina si una App cumple con los requerimientos de seguridad de una organización. 18
#LATINCACS© ISACA 2017 Derechos reservados Ahora que lo sabemos… 1. Apps son una tecnología emergente, desconocidas en implementación y revisión de seguridad, (posiblemente) tanto por los desarrolladores como por los auditores. 2. Hay riesgos al confundir rápido con Agile. 3. El auditor necesita involucrarse en el proceso de revisión para entregar valor. 4. Se necesita coordinación y acuerdos entre analistas y auditores para trabajar bajo un mismo lenguaje. … ¿Qué? 19
#LATINCACS© ISACA 2017 Derechos reservados Arquitecturas Android - iOS 20
#LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android https://manifestsecurity.com/android-application-security-part-2/ 21
#LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • KERNEL • Android está diseñado/implementado en un sistema Linux. • Funcionalidades básicas del dispositivo móvil, gestión de procesos, memoria, cámara, teclado, pantalla. • Sistema orientado a permisos de usuario. • Aislar recursos entre usuarios (aplicaciones). 22
#LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • CAPA DE ABSTRACCIÓN DE HARDWARE • Conexión y acceso de las aplicaciones con recursos de hardware del dispositivo móvil. • LIBRERIAS – DALVIK • Algoritmos y funciones usados por las aplicaciones. • Dalvik –> Máquina virtual donde se ejecuta la App. Cada App crea una instancia Dalvik. 23
#LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • FRAMEWORK DE APLICACIÓN • Servicios de alto nivel, son clases Java. • Los desarrolladores emplean estos principalmente para la construcción de sus aplicaciones. • APLICACIONES • Capa de interacción principal del usuario final. 24
#LATINCACS© ISACA 2017 Derechos reservados https://developer.apple.com/library/content/documentation/Miscellaneous/Conc eptual/iPhoneOSTechOverview/Introduction/Introduction.html#//apple_ref/doc/ uid/TP40007898-CH1-SW1 Arquitectura – iOS 25
#LATINCACS© ISACA 2017 Derechos reservados • NÚCLEO DEL SISTEMA OPERATIVO • Contiene el Sistema Operativo y servicios sobre los que se construyen las Apps de iOS. • El Kernel de iOS está basado en Mach (Unix). • Las tecnologías del núcleo son llamadas por Apple como “frameworks”. • Imagen y procesamiento digital, Algebra lineal, Acceso Bluetooth, Seguridad y Sistema. Arquitectura – iOS 26
#LATINCACS© ISACA 2017 Derechos reservados • SERVICIOS DEL NÚCLEO • Contiene los servicios fundamentales que son soportados por las Apps. • Apple los divide en “Características generales de alto nivel” y “Frameworks de servicio básico”. • Tecnologías individuales para para funcionamiento de las Apps: ✓iCloud ✓Peer-to-Peer ✓SQLite Arquitectura – iOS 27
#LATINCACS© ISACA 2017 Derechos reservados • MULTIMEDIA • Capa con la cual se implementan los elementos interactivos en las Apps ✓Gráficos ✓Audio ✓Video • AirPlay: Tecnología usada para compartir audio y video al Apple TV, así como transmitir contenidos de audio a speakers y receptores que soportan dicha tecnología. Arquitectura – iOS 28
#LATINCACS© ISACA 2017 Derechos reservados • COCOA TOUCH • Posee los elementos más clave de la arquitectura iOS para desarrollar Apps. • Definen la apariencia, tecleo táctil, multitareas, etc. • Son los primeros elementos que pueden intervenir en el desarrollo de una App de tecnología iOS. • APLICACIÓN • Capa de interacción principal del usuario final. Arquitectura – iOS 29
#LATINCACS© ISACA 2017 Derechos reservados Análisis estático y dinámico 30
#LATINCACS© ISACA 2017 Derechos reservados ¿Qué involucra la revisión de una App? De acuerdo con NIST 800-163: 31 ✓ Orientado a la identificación de errores. ✓ Aseguramiento de la calidad. Pruebas de corrección. ✓ Lectura y análisis del código fuente. ✓ Ingeniería inversa. Código fuente o binarios ✓ Simuladores, acceso remoto a dispositivo, técnicas de fuzzing. Pruebas manuales o automáticas. ✓ A continuaciónAnálisis estático / dinámico
#LATINCACS© ISACA 2017 Derechos reservados Análisis estático • Posibles comportamientos que puede presentar la App en tiempo de ejeución. 32 Aquel que es codificado por el desarrollador. Código fuente Resultado de un proceso de compilación, es decir, un cambio de lenguaje para que sea interpretado por el móvil. Código binario
#LATINCACS© ISACA 2017 Derechos reservados Proceso de compilación Java JAR (.class) Ejecutable Dalvik (.dex) Binario Android (.apk) Objective-C o Swift App Bundle Binario y recursos App Bundle firmado App Bundle - Binario cifrado (.ipa) Código fuente Compilación 33
#LATINCACS© ISACA 2017 Derechos reservados ¿Qué se logra con el análisis estático? • Problemas de configuración de la App. • Transmisión de datos a Internet de forma insegura. • Librerías, APIs y Frameworks utilizados. • Otros: • Almacenamiento de credenciales. ¿Hardcode? • Bases de datos. • Archivos sensibles. 34
#LATINCACS© ISACA 2017 Derechos reservados Análisis dinámico • Aproximaciones para el análisis: Físico Emulador 35 Funcionamiento de la App durante su ejecución. Busca observar el comportamiento (respuesta) de la App de acuerdo a una serie de entradas.
#LATINCACS© ISACA 2017 Derechos reservados ¿Qué se logra con el análisis dinámico? • Transmisión insegura de datos. • Almacenamiento inseguro. • Componentes de la aplicación expuestos. • Fallos en validación de datos de entrada. • Confirmar vulnerabilidades identificadas en el análisis estático. 36
#LATINCACS© ISACA 2017 Derechos reservados Herramientas 37
#LATINCACS© ISACA 2017 Derechos reservados Herramientas - Estático • Android ✓Androguard - Ing. Inversa e inspección código. http://code.google.com/p/androguard/ ✓APKtool - Desemsamblado APKs. https://ibotpeaches.github.io/Apktool/ ✓Qark - Análisis automático de APKs https://github.com/linkedin/qark ✓Dexter (online) – Análisis estático. http://dexter.dexlabs.org/ • iOS ✓Clutch –Descifrado de binarios protegidos https://github.com/KJCracks/Clutch/releases ✓Hooper - Ing. Inversa e inspección código https://www.hopperapp.com/ ✓iNalyzer – Análisis automático https://appsec-labs.com/cydia/ ✓Needle – Estático & Dinámico https://github.com/mwrlabs/needle 38
#LATINCACS© ISACA 2017 Derechos reservados Herramientas - Dinámico 39
#LATINCACS© ISACA 2017 Derechos reservados Guías para establecer las pruebas de seguridad y auditoría Gratuito (membresía) Gobierno, Seguridad, Forense. 40 Anexo B y C – Vuln. Android e iOS Guías Lista de chequeo. Checklist Ejemplo Arquitectura y diseño Calificación TODOS los componentes de la App son conocidos y son necesarios. ✓ TODOS los componentes de tercero de la App han sido evaluados en vulnerabilidades Los datos considerados sensibles están claramente definidos Almacenamiento Verficar almacenamiento seguro de credenciales Rastros de actividad en los logs No se traslada Personally Identifiable Information a terceros. Criptografía Verificar la no existencia de credenciales “quemadas” o hardcoded. Verificar la existencia de algoritmos de cifrado seguros.
#LATINCACS© ISACA 2017 Derechos reservados Checklist Owasp Mobile Mobile Application Security Verification Standard MASVS https://www.owasp.org/images/1/1b/Mobile_App_Security_Checklist_0.9.3.xlsx 41
#LATINCACS© ISACA 2017 Derechos reservados Demostración 42
#LATINCACS© ISACA 2017 Derechos reservados Recomendaciones y conclusiones 43
#LATINCACS© ISACA 2017 Derechos reservados Recomendaciones Al auditor… • Acercarse al usuario. • Darse la oportunidad de (re)aprender. • Vencer el miedo a hacer pruebas técnicas (No solo en Apps, a todo nivel). • Mantenerse leyendo, la tecnología cambia muy rápido. Además, son temas abiertos y gratuitos. • No hay que reinventar la rueda, ya hay recursos para proceder. • Vayan al paraíso, vayan a • Si no duele, ¡No hay valor! 44
#LATINCACS© ISACA 2017 Derechos reservados Conclusiones • Gran parte del futuro está en la tecnología móvil. • Adopción de BYOD, descarga y uso de Apps es un hecho, no las podemos restringir. • Surgen riesgos emergentes (Que afectan individual y empresarialmente). • Al igual que en todos los aspectos de la auditoría, para auditar seguridad de Apps hay estándares, y guías a seguir. • La visión de auditoría práctica depende del gusto, persistencia y habilidades blandas. Esto fue un breve resumen. La seguridad en tecnología móvil es un mundo bastante grande. ” 45
#LATINCACS© ISACA 2017 Derechos reservados ¿Preguntas? 46
#LATINCACS© ISACA 2017 Derechos reservados Referencias Fuentes bibliográficas • CSX Cybersecurity Fundamentals Study Guide. ISACA. 2015 • Special Publication 800-163. Vetting the Security of Mobile Applications. NIST. 2015. • Securing Mobile Devices. ISACA. 2012. • OWASP Mobile Security Project. Open Web Application Security Project. • Owasp Mobile Security Testing Guide & Mobile App Security Requirements and Verification - https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide • Mobile Security Wiki - https://mobilesecuritywiki.com/ • Android Application Security Series. Aditya Agrawal - https://manifestsecurity.com/android-application-security/ • iOS Technology Overview (Official Documentation) - https://developer.apple.com/library/content/documentation/Miscellaneous/Conceptual/iPhoneOSTechOverview/In troduction/Introduction.html Noticias, artículos y otras fuentes • http://www.eltiempo.com/archivo/documento/CMS-16500742 • http://elcomercio.pe/paginas/dispositivos-moviles-crece-ritmo-acelerado-peru-331023 • http://www.elmundo.es/sociedad/2016/04/04/57026219e2704e90048b465e.html • http://www.nacion.com/blogs/cazador_de_software/Costa-Rica-conectados-celular- computadora_10_1370362951.html • https://newsroom.cisco.com/documents/10157/0/Snip20160202_4.png/80f115a2-f01a-4caf-b280- 4a2cdad5c14f?t=1454460225588 • http://www.onlinemarketing-trends.com/2015/03/how-many-mobile-app-downloads-happen.html 47
#LATINCACS© ISACA 2017 Derechos reservados ¡Muchas gracias! Jaime Andrés Bello Vieda @avechuch0

Recommandé

Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA REDCristian Garcia G.
 

Recommandé

Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA REDCristian Garcia G.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)vjgarciaq
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11Alexander Velasque Rimac
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 

Contenu connexe

Tendances

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)vjgarciaq
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 

Tendances (20)

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOC
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de Abogados
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
 

Similaire à Seguridad y auditoría de Apps o aplicaciones móviles

OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Presentacion ibm-rational-app-scan
Presentacion ibm-rational-app-scanPresentacion ibm-rational-app-scan
Presentacion ibm-rational-app-scanSergio García
 
Presentacion IBM Rational App Scan
Presentacion IBM Rational App ScanPresentacion IBM Rational App Scan
Presentacion IBM Rational App Scanbyrulo
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
La ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesLa ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesAntonio Vallecillo
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Calidad del software para futuros ingenieros
Calidad del software para futuros ingenierosCalidad del software para futuros ingenieros
Calidad del software para futuros ingenierosJorge Marquez
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Seguridad en la transformación digital de los servicios financieros Julio C...
Seguridad en la transformación digital de los servicios financieros Julio C...Seguridad en la transformación digital de los servicios financieros Julio C...
Seguridad en la transformación digital de los servicios financieros Julio C...Cristian Garcia G.
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 

Similaire à Seguridad y auditoría de Apps o aplicaciones móviles (20)

Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Presentacion ibm-rational-app-scan
Presentacion ibm-rational-app-scanPresentacion ibm-rational-app-scan
Presentacion ibm-rational-app-scan
 
Presentacion IBM Rational App Scan
Presentacion IBM Rational App ScanPresentacion IBM Rational App Scan
Presentacion IBM Rational App Scan
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
La ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesLa ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidades
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Calidad del software para futuros ingenieros
Calidad del software para futuros ingenierosCalidad del software para futuros ingenieros
Calidad del software para futuros ingenieros
 
Casos exito santiago toribio almatech
Casos exito santiago toribio almatechCasos exito santiago toribio almatech
Casos exito santiago toribio almatech
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Seguridad en la transformación digital de los servicios financieros Julio C...
Seguridad en la transformación digital de los servicios financieros Julio C...Seguridad en la transformación digital de los servicios financieros Julio C...
Seguridad en la transformación digital de los servicios financieros Julio C...
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 

Plus de Jaime Andrés Bello Vieda

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Jaime Andrés Bello Vieda
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasJaime Andrés Bello Vieda
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroJaime Andrés Bello Vieda
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIJaime Andrés Bello Vieda
 

Plus de Jaime Andrés Bello Vieda (8)

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - Golismero
 
Entendiendo el ransomware
Entendiendo el ransomwareEntendiendo el ransomware
Entendiendo el ransomware
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMI
 

Seguridad y auditoría de Apps o aplicaciones móviles

  • 1. #LATINCACS© ISACA 2017 Derechos reservados Cimentando conceptos para el desarrollo de “auditorías prácticas” de seguridad a aplicaciones móviles Jaime Andrés Bello Vieda Colombia @avechuch0
  • 2. #LATINCACS© ISACA 2017 Derechos reservados Misión de los eventos de ISACA Ofrecer poductos, servicios y eventos educativos creativos, innovadores y de alta calidad para sus miembros e interesados, con el objetivo de mejorar sus conocimientos profesionales, su competencia y valor para las organizaciones en que laboran. “ ” 2
  • 3. #LATINCACS© ISACA 2017 Derechos reservados Agenda • Introducción. • Riesgos en la adopción de la tecnología móvil. • El papel del auditor. • Arquitecturas Android - iOS. • Análisis estático y dinámico. • Herramientas. • Demostración. • Conclusiones. 3
  • 4. #LATINCACS© ISACA 2017 Derechos reservados Acerca de mi… • Máster Seguridad de las TIC (En curso) • U • Ingeniero de Sistemas • U • Cert. • CSX, PMP, Auditor ISO 27001, Perito forense CAFSC (Latin American Council for Cybersecurity and Computer Forensic). • + de 5 años de experiencia… • Webmaster, administrador de infraestructura, auditoría de procesos, cumplimiento y sistemas, seguridad informática, respuesta a incidentes e informática forense. • Música ☺ - Desde los 12 años ♪♫ • Deporte. • Investigar y compartir conocimiento. ¡For free! Bogotano, Colombia 4
  • 5. #LATINCACS© ISACA 2017 Derechos reservados Introducción 5
  • 6. #LATINCACS© ISACA 2017 Derechos reservados El porqué de esta charla 6
  • 7. #LATINCACS© ISACA 2017 Derechos reservados Cisco Visual Networking Index™ (VNI) Global Mobile Data Traffic Forecast (2015 to 2020) El porqué de esta charla Gartner 7
  • 8. #LATINCACS© ISACA 2017 Derechos reservados • En 2015, 7.536.000 suscriptores de telefonía móvil. Aumento del 7% respecto a 2014. • Penetración mercado móvil 156%, la más alta en la historia del país. • Ingresos económicos por servicio de datos móviles se incrementó en más del 30%. El porqué de esta charla Caso Costa Rica 8
  • 9. #LATINCACS© ISACA 2017 Derechos reservados El porqué de esta charla …Y aunque sea cliché 9
  • 10. #LATINCACS© ISACA 2017 Derechos reservados Riesgos en la adopción de la tecnología móvil 10
  • 11. #LATINCACS© ISACA 2017 Derechos reservados La Tecnología Móvil Vulnerabilidades, amenazas y riesgos CSXCybersecurityFundamentalsStudyGuide–ISACA Sección6 11 Riesgos Organizacional TécnicoFísico
  • 12. #LATINCACS© ISACA 2017 Derechos reservados Categorías de Riesgo De acuerdo a CsxF • Físico Dispositivos son pequeños por definición. Pueden perderse o ser robados fácilmente por (ciber)delincuencia común. Datos (Listas de llamadas, textos, ítems de agenda). Posibilidad de impersonar (suplantar a la víctima). 12
  • 13. #LATINCACS© ISACA 2017 Derechos reservados • Organizacional Aprovisionamiento de empresas o políticas BYOD. El riesgo es mayor si no se ofrece un entrenamiento de seguridad en el uso del dispositivo. Hay un libre albedrío del usuario. Categorías de Riesgo De acuerdo a CsxF 13
  • 14. #LATINCACS© ISACA 2017 Derechos reservados • Técnico SO basados en servicios. Ejecutan muchos procesos en background. Hay una tendencia a simplificar la habilidad del usuario en cambiar parámetros de bajo nivel. ¿Monitoreo? ¿Fugas de información? Por dar Sí, acepto a una App. Categorías de Riesgo De acuerdo a CsxF Conectividad no autorizada Alteración y suplantación de la interfaz Fuga de datos sensibles Almacenamiento inseguro de datos Transmisión insegura de datos Vulnerabilidades “Drive-by” 14
  • 15. #LATINCACS© ISACA 2017 Derechos reservados • Conectividad no autorizada Malware en un móvil puede permanecer semanas/meses “dormido”. Hay “sensores” de conectividad que se activan de forma imperceptible al usuario. Categorías de Riesgo De acuerdo a CsxF • Alteración y suplantación de la interfaz La presentación en pantallas pequeñas, facilitan acciones delincuenciales de SMiShing u otros. 15
  • 16. #LATINCACS© ISACA 2017 Derechos reservados • Almacenamiento/Transmisión insegura de datos Hay Apps que almacenan credenciales o tokens en texto claro. El uso de nubes públicas para almacenamiento no ofrecen garantías al usuario. NFC, riesgos emergentes en pagos… Categorías de Riesgo De acuerdo a CsxF 16
  • 17. #LATINCACS© ISACA 2017 Derechos reservados El papel del auditor 17
  • 18. #LATINCACS© ISACA 2017 Derechos reservados Entremos en materia ¿Dónde se ubica el auditor? • NIST Special Publication 800-163 - Vetting the Security of Mobile Applications Un proceso “App vetting” (investigación o revisión), determina si una App cumple con los requerimientos de seguridad de una organización. 18
  • 19. #LATINCACS© ISACA 2017 Derechos reservados Ahora que lo sabemos… 1. Apps son una tecnología emergente, desconocidas en implementación y revisión de seguridad, (posiblemente) tanto por los desarrolladores como por los auditores. 2. Hay riesgos al confundir rápido con Agile. 3. El auditor necesita involucrarse en el proceso de revisión para entregar valor. 4. Se necesita coordinación y acuerdos entre analistas y auditores para trabajar bajo un mismo lenguaje. … ¿Qué? 19
  • 20. #LATINCACS© ISACA 2017 Derechos reservados Arquitecturas Android - iOS 20
  • 21. #LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android https://manifestsecurity.com/android-application-security-part-2/ 21
  • 22. #LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • KERNEL • Android está diseñado/implementado en un sistema Linux. • Funcionalidades básicas del dispositivo móvil, gestión de procesos, memoria, cámara, teclado, pantalla. • Sistema orientado a permisos de usuario. • Aislar recursos entre usuarios (aplicaciones). 22
  • 23. #LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • CAPA DE ABSTRACCIÓN DE HARDWARE • Conexión y acceso de las aplicaciones con recursos de hardware del dispositivo móvil. • LIBRERIAS – DALVIK • Algoritmos y funciones usados por las aplicaciones. • Dalvik –> Máquina virtual donde se ejecuta la App. Cada App crea una instancia Dalvik. 23
  • 24. #LATINCACS© ISACA 2017 Derechos reservados Arquitectura - Android • FRAMEWORK DE APLICACIÓN • Servicios de alto nivel, son clases Java. • Los desarrolladores emplean estos principalmente para la construcción de sus aplicaciones. • APLICACIONES • Capa de interacción principal del usuario final. 24
  • 25. #LATINCACS© ISACA 2017 Derechos reservados https://developer.apple.com/library/content/documentation/Miscellaneous/Conc eptual/iPhoneOSTechOverview/Introduction/Introduction.html#//apple_ref/doc/ uid/TP40007898-CH1-SW1 Arquitectura – iOS 25
  • 26. #LATINCACS© ISACA 2017 Derechos reservados • NÚCLEO DEL SISTEMA OPERATIVO • Contiene el Sistema Operativo y servicios sobre los que se construyen las Apps de iOS. • El Kernel de iOS está basado en Mach (Unix). • Las tecnologías del núcleo son llamadas por Apple como “frameworks”. • Imagen y procesamiento digital, Algebra lineal, Acceso Bluetooth, Seguridad y Sistema. Arquitectura – iOS 26
  • 27. #LATINCACS© ISACA 2017 Derechos reservados • SERVICIOS DEL NÚCLEO • Contiene los servicios fundamentales que son soportados por las Apps. • Apple los divide en “Características generales de alto nivel” y “Frameworks de servicio básico”. • Tecnologías individuales para para funcionamiento de las Apps: ✓iCloud ✓Peer-to-Peer ✓SQLite Arquitectura – iOS 27
  • 28. #LATINCACS© ISACA 2017 Derechos reservados • MULTIMEDIA • Capa con la cual se implementan los elementos interactivos en las Apps ✓Gráficos ✓Audio ✓Video • AirPlay: Tecnología usada para compartir audio y video al Apple TV, así como transmitir contenidos de audio a speakers y receptores que soportan dicha tecnología. Arquitectura – iOS 28
  • 29. #LATINCACS© ISACA 2017 Derechos reservados • COCOA TOUCH • Posee los elementos más clave de la arquitectura iOS para desarrollar Apps. • Definen la apariencia, tecleo táctil, multitareas, etc. • Son los primeros elementos que pueden intervenir en el desarrollo de una App de tecnología iOS. • APLICACIÓN • Capa de interacción principal del usuario final. Arquitectura – iOS 29
  • 30. #LATINCACS© ISACA 2017 Derechos reservados Análisis estático y dinámico 30
  • 31. #LATINCACS© ISACA 2017 Derechos reservados ¿Qué involucra la revisión de una App? De acuerdo con NIST 800-163: 31 ✓ Orientado a la identificación de errores. ✓ Aseguramiento de la calidad. Pruebas de corrección. ✓ Lectura y análisis del código fuente. ✓ Ingeniería inversa. Código fuente o binarios ✓ Simuladores, acceso remoto a dispositivo, técnicas de fuzzing. Pruebas manuales o automáticas. ✓ A continuaciónAnálisis estático / dinámico
  • 32. #LATINCACS© ISACA 2017 Derechos reservados Análisis estático • Posibles comportamientos que puede presentar la App en tiempo de ejeución. 32 Aquel que es codificado por el desarrollador. Código fuente Resultado de un proceso de compilación, es decir, un cambio de lenguaje para que sea interpretado por el móvil. Código binario
  • 33. #LATINCACS© ISACA 2017 Derechos reservados Proceso de compilación Java JAR (.class) Ejecutable Dalvik (.dex) Binario Android (.apk) Objective-C o Swift App Bundle Binario y recursos App Bundle firmado App Bundle - Binario cifrado (.ipa) Código fuente Compilación 33
  • 34. #LATINCACS© ISACA 2017 Derechos reservados ¿Qué se logra con el análisis estático? • Problemas de configuración de la App. • Transmisión de datos a Internet de forma insegura. • Librerías, APIs y Frameworks utilizados. • Otros: • Almacenamiento de credenciales. ¿Hardcode? • Bases de datos. • Archivos sensibles. 34
  • 35. #LATINCACS© ISACA 2017 Derechos reservados Análisis dinámico • Aproximaciones para el análisis: Físico Emulador 35 Funcionamiento de la App durante su ejecución. Busca observar el comportamiento (respuesta) de la App de acuerdo a una serie de entradas.
  • 36. #LATINCACS© ISACA 2017 Derechos reservados ¿Qué se logra con el análisis dinámico? • Transmisión insegura de datos. • Almacenamiento inseguro. • Componentes de la aplicación expuestos. • Fallos en validación de datos de entrada. • Confirmar vulnerabilidades identificadas en el análisis estático. 36
  • 37. #LATINCACS© ISACA 2017 Derechos reservados Herramientas 37
  • 38. #LATINCACS© ISACA 2017 Derechos reservados Herramientas - Estático • Android ✓Androguard - Ing. Inversa e inspección código. http://code.google.com/p/androguard/ ✓APKtool - Desemsamblado APKs. https://ibotpeaches.github.io/Apktool/ ✓Qark - Análisis automático de APKs https://github.com/linkedin/qark ✓Dexter (online) – Análisis estático. http://dexter.dexlabs.org/ • iOS ✓Clutch –Descifrado de binarios protegidos https://github.com/KJCracks/Clutch/releases ✓Hooper - Ing. Inversa e inspección código https://www.hopperapp.com/ ✓iNalyzer – Análisis automático https://appsec-labs.com/cydia/ ✓Needle – Estático & Dinámico https://github.com/mwrlabs/needle 38
  • 39. #LATINCACS© ISACA 2017 Derechos reservados Herramientas - Dinámico 39
  • 40. #LATINCACS© ISACA 2017 Derechos reservados Guías para establecer las pruebas de seguridad y auditoría Gratuito (membresía) Gobierno, Seguridad, Forense. 40 Anexo B y C – Vuln. Android e iOS Guías Lista de chequeo. Checklist Ejemplo Arquitectura y diseño Calificación TODOS los componentes de la App son conocidos y son necesarios. ✓ TODOS los componentes de tercero de la App han sido evaluados en vulnerabilidades Los datos considerados sensibles están claramente definidos Almacenamiento Verficar almacenamiento seguro de credenciales Rastros de actividad en los logs No se traslada Personally Identifiable Information a terceros. Criptografía Verificar la no existencia de credenciales “quemadas” o hardcoded. Verificar la existencia de algoritmos de cifrado seguros.
  • 41. #LATINCACS© ISACA 2017 Derechos reservados Checklist Owasp Mobile Mobile Application Security Verification Standard MASVS https://www.owasp.org/images/1/1b/Mobile_App_Security_Checklist_0.9.3.xlsx 41
  • 42. #LATINCACS© ISACA 2017 Derechos reservados Demostración 42
  • 43. #LATINCACS© ISACA 2017 Derechos reservados Recomendaciones y conclusiones 43
  • 44. #LATINCACS© ISACA 2017 Derechos reservados Recomendaciones Al auditor… • Acercarse al usuario. • Darse la oportunidad de (re)aprender. • Vencer el miedo a hacer pruebas técnicas (No solo en Apps, a todo nivel). • Mantenerse leyendo, la tecnología cambia muy rápido. Además, son temas abiertos y gratuitos. • No hay que reinventar la rueda, ya hay recursos para proceder. • Vayan al paraíso, vayan a • Si no duele, ¡No hay valor! 44
  • 45. #LATINCACS© ISACA 2017 Derechos reservados Conclusiones • Gran parte del futuro está en la tecnología móvil. • Adopción de BYOD, descarga y uso de Apps es un hecho, no las podemos restringir. • Surgen riesgos emergentes (Que afectan individual y empresarialmente). • Al igual que en todos los aspectos de la auditoría, para auditar seguridad de Apps hay estándares, y guías a seguir. • La visión de auditoría práctica depende del gusto, persistencia y habilidades blandas. Esto fue un breve resumen. La seguridad en tecnología móvil es un mundo bastante grande. ” 45
  • 46. #LATINCACS© ISACA 2017 Derechos reservados ¿Preguntas? 46
  • 47. #LATINCACS© ISACA 2017 Derechos reservados Referencias Fuentes bibliográficas • CSX Cybersecurity Fundamentals Study Guide. ISACA. 2015 • Special Publication 800-163. Vetting the Security of Mobile Applications. NIST. 2015. • Securing Mobile Devices. ISACA. 2012. • OWASP Mobile Security Project. Open Web Application Security Project. • Owasp Mobile Security Testing Guide & Mobile App Security Requirements and Verification - https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide • Mobile Security Wiki - https://mobilesecuritywiki.com/ • Android Application Security Series. Aditya Agrawal - https://manifestsecurity.com/android-application-security/ • iOS Technology Overview (Official Documentation) - https://developer.apple.com/library/content/documentation/Miscellaneous/Conceptual/iPhoneOSTechOverview/In troduction/Introduction.html Noticias, artículos y otras fuentes • http://www.eltiempo.com/archivo/documento/CMS-16500742 • http://elcomercio.pe/paginas/dispositivos-moviles-crece-ritmo-acelerado-peru-331023 • http://www.elmundo.es/sociedad/2016/04/04/57026219e2704e90048b465e.html • http://www.nacion.com/blogs/cazador_de_software/Costa-Rica-conectados-celular- computadora_10_1370362951.html • https://newsroom.cisco.com/documents/10157/0/Snip20160202_4.png/80f115a2-f01a-4caf-b280- 4a2cdad5c14f?t=1454460225588 • http://www.onlinemarketing-trends.com/2015/03/how-many-mobile-app-downloads-happen.html 47
  • 48. #LATINCACS© ISACA 2017 Derechos reservados ¡Muchas gracias! Jaime Andrés Bello Vieda @avechuch0