PDF de programación - Dispositivos Moviles ¿Y ahora qué?

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”



Presentada por:

Ezequiel Sallis

Director de I+D

Claudio Caracciolo

Director de SP

Aclaración:

© Todos los derechos reservados. No está permitida la

reproducción parcial o total del material de esta
sesión, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido concebido
para difusión y promoción en el ámbito de la
profesión a nivel internacional, previamente
deberá solicitarse una autorización por escrito y
mediar la debida aprobación para su uso.

Agenda

ü  Situación Actual
ü  Problemática
§  Seguridad Física
§  Seguridad en Sistemas Operativos
§  Seguridad en Almacenamiento de Datos
§  Seguridad en Control de Accesos
§  Otros

ü Contramedidas
ü Demo
ü Conclusiones

4

Situacion Actual (Deja-vu)

Los dispositivos móviles dejaron de ser únicamente un Gadget
tecnológico para pasar a formar parte de un fenómeno social y
empresarial.

Sus capacidades de procesamiento, usabilidad y conectividad se
incrementan de manera vertiginosa.

Las redes de telefonía móvil que los soportan, han crecido tanto
tecnológicamente como geográficamente permitiendo el acceso
a la información en cualquier lugar de manera efectiva.

Tanto el acceso a la información corporativa como a contenidos
sociales y ociosos se están mudando hacia la “cuarta pantalla” y
los vectores de ataque tradicionales no son la excepción.

5

Situacion Actual

Por el contrario de lo que sucede con los sistemas operativos de
las maquinas de escritorio, el mercado de los dispositivos
móviles posee una mayor oferta y diversidad.

El mercado de los dispositivos móviles esta liderado por los
smartphones pero las Tablets sin duda, jugaran un papel
fundamental en las empresas en el corto plazo (si es que ya no
lo están jugando J )

6

Situacion Actual - Actores principales

RIM OS (RIM)

IOS (Apple)

Android (Google)

Windows Mobile (Microsoft)

WebOS (HP)

Symbian (Nokia)

7

Problematica

Escenarios del mundo corporativo ante los dispositivos moviles

ü  Plataforma unica, integrada y estandarizada.

ü  Plaforma unica, integrada, estandarizada con excepciones.

ü  Plataforma IGWT

In God We Trust

8

Problematica

Así como las notebooks fueron desplazando a las estaciones de
trabajo, hoy en día los dispositivos móviles van ocupando ese
lugar tan privilegiado. En la pelea por ocuparlo, los actores
principales del mercado se enfocan en “la experiencia del
usuario” trabajando en los temas de seguridad de manera
reactiva.

9

Problemática – Seguridad Fisica

Como en los viejos tiempos, la perdida y/o el robo representan
hoy en día el problema mas significativo.

En el mejor de los casos, solo deberíamos lamentar la perdida
del hardware, de no ser así, es solo el principio del problema.

El escenario corporativo mas afectado es el IGWT ya que
desconoce la existencia de los equipos en la red, de la
información almacenada en el mismo (claves, datos, mails, etc)
e incluso hasta de la perdida producida.

10

Problemática – Seguridad en

Sistemas Operativos

La diversidad y segmentación (fragmentación) de los sistemas
operativos disponibles para los dispositivos móviles plantea
desde el inicio un complejo escenario:

ü  Administración de perfiles de multi-usuario

ü  Arquitectura de seguridad (basados en ID o Privilegios)

ü  Segmentación/fragmentación de versiones

ü  Gestión y remediación de vulnerabilidades

11

Problemática – Seguridad en

Aplicaciones

Si bien existe multiplicidad de problemas a nivel aplicación,
quizás la forma mas clara de representarla se resuma en estos
cuatro ítems:

ü  Ausencia de buenas practicas de desarrollo seguro

ü  Errores de diseño (Usabilidad vs Seguridad)

ü  Instalación de software no controlado (legal e ilegal)

ü  Firmado de aplicaciones

ü  Malware

ü  Canales de comunicación inseguros

12
12

Problemática – Seguridad en

Aplicaciones

Problemática – Seguridad en
Almacenamiento de Datos

La mayoría de los dispositivos móviles poseen mas de una zona
donde almacenar los datos, independientemente de su
arquitectura. Todos los actores están de acuerdo en que
deben protegerlos, sin embargo no todos lo hacen de la misma
forma:

ü  Cifrado a nivel de RAM

ü  Cifrado a nivel de ROM

ü  Cifrado a nivel de Memoria de Local

ü  Cifrado a nivel de Memoria de Almacenamiento Extraible (SD)

Problemática – Seguridad en
Almacenamiento de Datos

Problemática – Seguridad en
Almacenamiento de Datos

Problemática – Seguridad en

Control de Accesos

Muy relacionado con el acceso físico, y conformando la primer
barrera de protección, el PIN o CLAVE se convierte en un factor
primordial.

ü  Claves débiles (predictibilidad y tamaño)

ü  Teclados complejos para claves complejas

ü  Ingeniería social (shoulder surfing)

ü  Almacenamiento inseguro de claves en los dispositivos

ü  Ausencia de múltiples capas de validación.

17

Problemática – Seguridad en

Control de Accesos

Problemática – Otros aspectos

relevantes

ü  802.11

ü  Bluetooth

ü  3G / EDGE / GSM

ü  USB / Mini USB / etc

ü  Privacidad (Geolocalización y Metadatos)

19

Contramedidas

20

Contramedidas

Definir estándares de seguridad independientemente de la
plataforma.

Concienciación de usuarios.

Utilizar los sistemas de administración centralizada (Mobile
Device Manager) para las plataformas implementadas:



- Habilitar borrado remoto.
- Habilitar bloqueo remoto.
- Geolocalización del equipo.
- Aplicación de Politicas (OTA)

21

Contramedidas

Robustecer controles de acceso según criticidad del
dispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM,
Medios Extraíbles, autenticación por aplicación y factor de
autenticación múltiple)

Cifrado de la información (medios de almacenamiento locales,
extraíbles y memorias).

Gestión de aplicaciones:

- Soluciones antimalware.
- Utilización de canales seguros por cualquier interface.
- Descarga de fuentes confiables.



22

Conclusiones

Los dispositivos móviles, son mas que una moda.

Administrarlos de manera descentralizada es como
implementar parches maquina por maquina en nuestra red.

Si los usuarios no entienden el problema, las soluciones son
poco viables.

Los problemas de seguridad ya los conocemos, solo se
mudaron a otro escenario.

Igualmente recuerde…

23

Conclusiones

Es Argentino pero atiende en todas partes, las 24 hs.

Gracias por

haber asistido a
nuestra charla!

24

Para mayor información:

Claudio Caracciolo
ccaracciolo (at) root-secure.com

Director de SP

Twitter: @holesec

Ezequiel Sallis
esallis (at) root-secure.com

Director de I+D

Twitter: @simubucks

Los invitamos a sumarse al grupo “Segurinfo” en