Publicado el 15 de Mayo del 2017
865 visualizaciones desde el 15 de Mayo del 2017
1,3 MB
25 paginas
Creado hace 17a (26/09/2006)
Seguridad en
Seguridad en
Aplicaciones Móviles
Aplicaciones Móviles
Ing. Fabian Alejandro Molina
Ing. Fabian Alejandro Molina
MSc, CISSP, CCSA, CCSE
MSc, CISSP, CCSA, CCSE
Agenda
Agenda
Motivación
Motivación
Ambientes Móviles
Ambientes Móviles
Características Principales
Características Principales
Tecnologías Empleadas (dispositivos, plataformas,
Tecnologías Empleadas (dispositivos, plataformas,
conectividad)
conectividad)
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional
Nivel 1: Sistema Operacional
Nivel 2: Comunicaciones
Nivel 2: Comunicaciones
Nivel 3: Almacenamiento de Datos
Nivel 3: Almacenamiento de Datos
Nivel 4: Entorno de la Aplicación
Nivel 4: Entorno de la Aplicación
Conclusiones
Conclusiones
Referencias
Referencias
Motivación
Motivación
Las aplicaciones móviles se presentan como una
Las aplicaciones móviles se presentan como una
importante línea de negocios.
importante línea de negocios.
commerce & M--business
business
MM--commerce & M
Han ganado gran popularidad con la
Han ganado gran popularidad con la
masificación de dispositivos móviles
masificación de dispositivos móviles
inteligentes
inteligentes
Los fabricantes de dispositivos móviles amplían
Los fabricantes de dispositivos móviles amplían
rápidamente sus prestaciones técnicas.
rápidamente sus prestaciones técnicas.
Constantemente se mejoran o renuevan las
Constantemente se mejoran o renuevan las
tecnologías de transmisión de datos.
tecnologías de transmisión de datos.
Motivación
Motivación
Los dispositivos móviles se han convertido en
Los dispositivos móviles se han convertido en
repositorio para almacenar información sensible.
repositorio para almacenar información sensible.
La información sensible que se almacena o se
La información sensible que se almacena o se
transmite a través de aplicaciones móviles se
transmite a través de aplicaciones móviles se
expone a riesgos de seguridad.
expone a riesgos de seguridad.
Los ambientes móviles se han convertido en el
Los ambientes móviles se han convertido en el
nuevo foco de atención de los atacantes
nuevo foco de atención de los atacantes
informáticos
informáticos
Motivación
Motivación
Mobinet 2005. Estudio realizado por la
Universidad de Cambridge / A.T kearney
Ambientes Móviles
Ambientes Móviles
Dispositivo portátil + sistema operacional +
Dispositivo portátil + sistema operacional +
aplicación móvil + tecnología de comunicación
aplicación móvil + tecnología de comunicación
Características principales:
Características principales:
Uso de dispositivos portátiles ligeros con capacidades de
Uso de dispositivos portátiles ligeros con capacidades de
procesamiento y almacenamiento limitadas, pantallas
procesamiento y almacenamiento limitadas, pantallas
reducidas y mecanismos para ingreso de datos
reducidas y mecanismos para ingreso de datos
restringidos.
restringidos.
Plataformas operacionales y de desarrollo específicos para
Plataformas operacionales y de desarrollo específicos para
manejar las limitantes del ambiente.
manejar las limitantes del ambiente.
Intercambio de datos a través de tecnologías inalámbricas
Intercambio de datos a través de tecnologías inalámbricas
con tasas de transmisión aceptables.
con tasas de transmisión aceptables.
Ambientes Móviles
Ambientes Móviles
Tecnologías Empleadas:
Tecnologías Empleadas:
Dispositivos móviles: teléfonos inteligentes (smart --
Dispositivos móviles: teléfonos inteligentes (smart
phones), Personal Digital Assistant -- PDAs (Palm,
PDAs (Palm,
phones), Personal Digital Assistant
Pocket PC), dispositivos híbridos (Palm Treo,
Pocket PC), dispositivos híbridos (Palm Treo,
Blackberry, Sony Ericcson P910)
Blackberry, Sony Ericcson P910)
Ambientes Móviles
Ambientes Móviles
Tecnologías Empleadas:
Tecnologías Empleadas:
Plataformas operacionales: Symbian OS, Windows
Plataformas operacionales: Symbian OS, Windows
CE, Palm OS, sistemas propietarios.
CE, Palm OS, sistemas propietarios.
Plataformas de desarrollo: J2ME,.NET, BREW
Plataformas de desarrollo: J2ME,.NET, BREW
Tecnologías de comunicación: de corto alcance
Tecnologías de comunicación: de corto alcance
como Bluetooth o IrDA, de mediano alcance como
como Bluetooth o IrDA, de mediano alcance como
802.11 b/g y de largo alcance como GPRS sobre
802.11 b/g y de largo alcance como GPRS sobre
redes GSM.
redes GSM.
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Entorno de Aplicación
Almacenamiento de Datos
Comunicaciones
Sistema Operacional
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional
Nivel 1: Sistema Operacional
Riesgos: virus y código malicioso, ataques de
Riesgos: virus y código malicioso, ataques de
denegación de servicio por saturación del sistema
denegación de servicio por saturación del sistema
(ej. buffer overflow), acceso no autorizado al
(ej. buffer overflow), acceso no autorizado al
sistema por robo o pérdida del dispositivo.
sistema por robo o pérdida del dispositivo.
Ejemplos:
Ejemplos:
•• CABIR: Gusano que se propaga transmitiendo el archivo
CABIR: Gusano que se propaga transmitiendo el archivo
Bluetooth. Consume los recursos del móvil.
. Consume los recursos del móvil.
caribe.sis vía vía Bluetooth
caribe.sis
•• SKULLS: Troyano que ataca el
. causando DoSDoS, ,
SKULLS: Troyano que ataca el S.OS.O. causando
impide ejecutar programas, enviar mensajes, realizar
impide ejecutar programas, enviar mensajes, realizar
llamadas, entre otras funcionalidades
llamadas, entre otras funcionalidades
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional.
Nivel 1: Sistema Operacional.
Ejemplos:
Ejemplos:
•• CABIR
CABIR
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional.
Nivel 1: Sistema Operacional.
Ejemplos:
Ejemplos:
•• SKULL
SKULL
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional
Nivel 1: Sistema Operacional
Contramedidas: emplear sistemas de protección
Contramedidas: emplear sistemas de protección
local como software antivirus o firewalls personales,
local como software antivirus o firewalls personales,
habilitar el uso de contraseñas fuertes para restringir
habilitar el uso de contraseñas fuertes para restringir
el acceso al sistema o utilizar software de terceros
el acceso al sistema o utilizar software de terceros
para habilitar esta funcionalidad, deshabilitar todas
para habilitar esta funcionalidad, deshabilitar todas
las acciones automáticas del sistema como el re--
las acciones automáticas del sistema como el re
direccionamiento de mensajes.
direccionamiento de mensajes.
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 2: Comunicaciones
Nivel 2: Comunicaciones
Riesgos: ataques de denegación de servicio a partir
Riesgos: ataques de denegación de servicio a partir
de inundación de paquetes, degradación de la señal
de inundación de paquetes, degradación de la señal
introduciendo interferencia, intercepción y
introduciendo interferencia, intercepción y
monitoreo de tráfico (wireless sniffing), extracción
monitoreo de tráfico (wireless sniffing), extracción
remota de información, suplantación de usuarios
remota de información, suplantación de usuarios
válidos dentro de una red empleando dispositivos
válidos dentro de una red empleando dispositivos
sustraídos, introducción de virus y código malicioso
sustraídos, introducción de virus y código malicioso
en redes corporativas, ataques comunes sobre redes
en redes corporativas, ataques comunes sobre redes
TCP/IP como: spoofing, session hijacking, DDoS.
TCP/IP como: spoofing, session hijacking, DDoS.
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 2: Comunicaciones
Nivel 2: Comunicaciones
Ejemplos:
Ejemplos:
•• Ataques empleando
Ataques empleando Bluetooth
Bluetooth
BlueSnarfing
BlueSnarfing
BlueJacking
BlueJacking
BlueBug
BlueBug
BackDoor
BackDoor
Ataques sobre conexiones WiWi--FiFi
•• Ataques sobre conexiones
Sniffing ((AirSnort
AirSnort))
Wireless Sniffing
Wireless
WEP WEP Cracking
Cracking ((AirCrack
AirCrack, , WEPCrack
WEPCrack))
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 2: Comunicaciones
Nivel 2: Comunicaciones
Contramedidas: deshabilitar servicios innecesarios,
Contramedidas: deshabilitar servicios innecesarios,
mantener al opción de conectividad desactivada en
mantener al opción de conectividad desactivada en
los dispositivos mientras no se necesite, emplear el
los dispositivos mientras no se necesite, emplear el
mecanismo de cifrado más robusto que ofrezca la
mecanismo de cifrado más robusto que ofrezca la
tecnología, utilizar siempre llaves fuertes del mayor
tecnología, utilizar siempre llaves fuertes del mayor
tamaño posible y efectuar el intercambio de las
tamaño posible y efectuar el intercambio de las
mismas de forma segura, emplear esquemas de
mismas de forma segura, emplear esquemas de
autenticación fuerte de como RADIUS, LDAP o
autenticación fuerte de como RADIUS, LDAP o
sistemas factor 2 (en caso de ser posible).
sistemas factor 2 (en caso de ser posible).
Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles
Nivel 3: Almacenamiento de Datos
Nivel 3: Almacenamiento de Datos
Riesgos: acceso no autorizado a información
Riesgos: acceso no autorizado a información
confidencial por parte de un tercero, alteración de
confidencial por parte de un tercero, alteración de
datos de forma ilícita, extracción de credenciales de
datos de forma ilícita, extracción de credenciales de
acceso a recursos o sistemas corporativos sensibles.
acceso a recursos o sistemas corporativos sensibles.
Comentarios de: Seguridad en Aplicaciones Móviles (0)
No hay comentarios