PDF de programación - Seguridad en Aplicaciones Móviles

Seguridad en
Seguridad en

Aplicaciones Móviles
Aplicaciones Móviles

Ing. Fabian Alejandro Molina
Ing. Fabian Alejandro Molina
MSc, CISSP, CCSA, CCSE
MSc, CISSP, CCSA, CCSE

Agenda
Agenda

Motivación
 Motivación
Ambientes Móviles
 Ambientes Móviles
Características Principales
 Características Principales
Tecnologías Empleadas (dispositivos, plataformas,
 Tecnologías Empleadas (dispositivos, plataformas,
conectividad)
conectividad)

Modelo de Seguridad por Niveles
 Modelo de Seguridad por Niveles
Nivel 1: Sistema Operacional
 Nivel 1: Sistema Operacional
Nivel 2: Comunicaciones
 Nivel 2: Comunicaciones
Nivel 3: Almacenamiento de Datos
 Nivel 3: Almacenamiento de Datos
Nivel 4: Entorno de la Aplicación
 Nivel 4: Entorno de la Aplicación
Conclusiones
 Conclusiones
Referencias
 Referencias

Motivación
Motivación

Las aplicaciones móviles se presentan como una
 Las aplicaciones móviles se presentan como una
importante línea de negocios.
importante línea de negocios.
commerce & M--business
business

 MM--commerce & M
Han ganado gran popularidad con la
 Han ganado gran popularidad con la
masificación de dispositivos móviles
masificación de dispositivos móviles
inteligentes
inteligentes
Los fabricantes de dispositivos móviles amplían
 Los fabricantes de dispositivos móviles amplían
rápidamente sus prestaciones técnicas.
rápidamente sus prestaciones técnicas.
Constantemente se mejoran o renuevan las
 Constantemente se mejoran o renuevan las
tecnologías de transmisión de datos.
tecnologías de transmisión de datos.

Motivación
Motivación

Los dispositivos móviles se han convertido en
 Los dispositivos móviles se han convertido en
repositorio para almacenar información sensible.
repositorio para almacenar información sensible.

La información sensible que se almacena o se
 La información sensible que se almacena o se
transmite a través de aplicaciones móviles se
transmite a través de aplicaciones móviles se
expone a riesgos de seguridad.
expone a riesgos de seguridad.

Los ambientes móviles se han convertido en el
 Los ambientes móviles se han convertido en el
nuevo foco de atención de los atacantes
nuevo foco de atención de los atacantes
informáticos
informáticos

Motivación
Motivación

Mobinet 2005. Estudio realizado por la
Universidad de Cambridge / A.T kearney

Ambientes Móviles
Ambientes Móviles

Dispositivo portátil + sistema operacional +
 Dispositivo portátil + sistema operacional +
aplicación móvil + tecnología de comunicación
aplicación móvil + tecnología de comunicación

Características principales:
 Características principales:

Uso de dispositivos portátiles ligeros con capacidades de
 Uso de dispositivos portátiles ligeros con capacidades de
procesamiento y almacenamiento limitadas, pantallas
procesamiento y almacenamiento limitadas, pantallas
reducidas y mecanismos para ingreso de datos
reducidas y mecanismos para ingreso de datos
restringidos.
restringidos.

Plataformas operacionales y de desarrollo específicos para
 Plataformas operacionales y de desarrollo específicos para
manejar las limitantes del ambiente.
manejar las limitantes del ambiente.

Intercambio de datos a través de tecnologías inalámbricas
 Intercambio de datos a través de tecnologías inalámbricas
con tasas de transmisión aceptables.
con tasas de transmisión aceptables.

Ambientes Móviles
Ambientes Móviles

Tecnologías Empleadas:
 Tecnologías Empleadas:

Dispositivos móviles: teléfonos inteligentes (smart --
 Dispositivos móviles: teléfonos inteligentes (smart
phones), Personal Digital Assistant -- PDAs (Palm,
PDAs (Palm,
phones), Personal Digital Assistant
Pocket PC), dispositivos híbridos (Palm Treo,
Pocket PC), dispositivos híbridos (Palm Treo,
Blackberry, Sony Ericcson P910)
Blackberry, Sony Ericcson P910)

Ambientes Móviles
Ambientes Móviles

Tecnologías Empleadas:
 Tecnologías Empleadas:

Plataformas operacionales: Symbian OS, Windows
 Plataformas operacionales: Symbian OS, Windows
CE, Palm OS, sistemas propietarios.
CE, Palm OS, sistemas propietarios.

Plataformas de desarrollo: J2ME,.NET, BREW
 Plataformas de desarrollo: J2ME,.NET, BREW

Tecnologías de comunicación: de corto alcance
 Tecnologías de comunicación: de corto alcance
como Bluetooth o IrDA, de mediano alcance como
como Bluetooth o IrDA, de mediano alcance como
802.11 b/g y de largo alcance como GPRS sobre
802.11 b/g y de largo alcance como GPRS sobre
redes GSM.
redes GSM.

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Entorno de Aplicación

Almacenamiento de Datos

Comunicaciones

Sistema Operacional

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 1: Sistema Operacional
 Nivel 1: Sistema Operacional

Riesgos: virus y código malicioso, ataques de
 Riesgos: virus y código malicioso, ataques de
denegación de servicio por saturación del sistema
denegación de servicio por saturación del sistema
(ej. buffer overflow), acceso no autorizado al
(ej. buffer overflow), acceso no autorizado al
sistema por robo o pérdida del dispositivo.
sistema por robo o pérdida del dispositivo.

Ejemplos:
 Ejemplos:

•• CABIR: Gusano que se propaga transmitiendo el archivo
CABIR: Gusano que se propaga transmitiendo el archivo
Bluetooth. Consume los recursos del móvil.
. Consume los recursos del móvil.
caribe.sis vía vía Bluetooth
caribe.sis

•• SKULLS: Troyano que ataca el

. causando DoSDoS, ,
SKULLS: Troyano que ataca el S.OS.O. causando
impide ejecutar programas, enviar mensajes, realizar
impide ejecutar programas, enviar mensajes, realizar
llamadas, entre otras funcionalidades
llamadas, entre otras funcionalidades

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 1: Sistema Operacional.
 Nivel 1: Sistema Operacional.

Ejemplos:
 Ejemplos:
•• CABIR
CABIR

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 1: Sistema Operacional.
 Nivel 1: Sistema Operacional.

Ejemplos:
 Ejemplos:
•• SKULL
SKULL

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 1: Sistema Operacional
 Nivel 1: Sistema Operacional

Contramedidas: emplear sistemas de protección
 Contramedidas: emplear sistemas de protección
local como software antivirus o firewalls personales,
local como software antivirus o firewalls personales,
habilitar el uso de contraseñas fuertes para restringir
habilitar el uso de contraseñas fuertes para restringir
el acceso al sistema o utilizar software de terceros
el acceso al sistema o utilizar software de terceros
para habilitar esta funcionalidad, deshabilitar todas
para habilitar esta funcionalidad, deshabilitar todas
las acciones automáticas del sistema como el re--
las acciones automáticas del sistema como el re
direccionamiento de mensajes.
direccionamiento de mensajes.

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 2: Comunicaciones
 Nivel 2: Comunicaciones

Riesgos: ataques de denegación de servicio a partir
 Riesgos: ataques de denegación de servicio a partir
de inundación de paquetes, degradación de la señal
de inundación de paquetes, degradación de la señal
introduciendo interferencia, intercepción y
introduciendo interferencia, intercepción y
monitoreo de tráfico (wireless sniffing), extracción
monitoreo de tráfico (wireless sniffing), extracción
remota de información, suplantación de usuarios
remota de información, suplantación de usuarios
válidos dentro de una red empleando dispositivos
válidos dentro de una red empleando dispositivos
sustraídos, introducción de virus y código malicioso
sustraídos, introducción de virus y código malicioso
en redes corporativas, ataques comunes sobre redes
en redes corporativas, ataques comunes sobre redes
TCP/IP como: spoofing, session hijacking, DDoS.
TCP/IP como: spoofing, session hijacking, DDoS.

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 2: Comunicaciones
 Nivel 2: Comunicaciones

Ejemplos:
 Ejemplos:

•• Ataques empleando

Ataques empleando Bluetooth
Bluetooth

BlueSnarfing
 BlueSnarfing

BlueJacking
 BlueJacking

BlueBug
 BlueBug

BackDoor
 BackDoor

Ataques sobre conexiones WiWi--FiFi

•• Ataques sobre conexiones
Sniffing ((AirSnort
AirSnort))

Wireless Sniffing

 Wireless

 WEP WEP Cracking

Cracking ((AirCrack

AirCrack, , WEPCrack
WEPCrack))

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 2: Comunicaciones
 Nivel 2: Comunicaciones

Contramedidas: deshabilitar servicios innecesarios,
 Contramedidas: deshabilitar servicios innecesarios,
mantener al opción de conectividad desactivada en
mantener al opción de conectividad desactivada en
los dispositivos mientras no se necesite, emplear el
los dispositivos mientras no se necesite, emplear el
mecanismo de cifrado más robusto que ofrezca la
mecanismo de cifrado más robusto que ofrezca la
tecnología, utilizar siempre llaves fuertes del mayor
tecnología, utilizar siempre llaves fuertes del mayor
tamaño posible y efectuar el intercambio de las
tamaño posible y efectuar el intercambio de las
mismas de forma segura, emplear esquemas de
mismas de forma segura, emplear esquemas de
autenticación fuerte de como RADIUS, LDAP o
autenticación fuerte de como RADIUS, LDAP o
sistemas factor 2 (en caso de ser posible).
sistemas factor 2 (en caso de ser posible).

Modelo de Seguridad por Niveles
Modelo de Seguridad por Niveles

Nivel 3: Almacenamiento de Datos
 Nivel 3: Almacenamiento de Datos

Riesgos: acceso no autorizado a información
 Riesgos: acceso no autorizado a información
confidencial por parte de un tercero, alteración de
confidencial por parte de un tercero, alteración de
datos de forma ilícita, extracción de credenciales de
datos de forma ilícita, extracción de credenciales de
acceso a recursos o sistemas corporativos sensibles.
acceso a recursos o sistemas corporativos sensibles.