Transcription
Seguridad de Dispositivos MóvilesAtaque, Defensa y Prevención.
¿Qué es un dispositivo móvil?l Definimos dispositivo móvil a un tipo de aparatode tamaño reducido con:-Capacidades especiales de procesamiento.Conexión permanente o intermitente a una redinalámbrica.Memoria limitada.Diseño específico para una función.Se asocia a un uso individual y es configurable algusto.Se pueden “llevar encima” y usar en movimiento.Alta capacidad de interacción.
Características---1. MOVILIDAD: la cualidad de un dispositivo paraser transportado o movido con frecuencia yfacilidad.2. TAMAÑO REDUCIDO: ser fácilmente usado conuna o dos manos sin necesidad de ninguna ayudao soporte externo y su transporte.3. COMUNICACIÓN INALÁMBRICA:envíao recibe datos sin la necesidad de un enlacecableado.4. INTERACCIÓN CON LAS PERSONAS:usabilidad y ergonomía.
TIPOS:l l l l l l l l l l l l Teléfonos tTablet PCEbookSmartwatchTPV
FUNCIONALIDADESl l Los más avanzados ofrecen capacidades muysimilares con los ordenadores tradicionales. Enalgunos casos los superan con la inclusión deelementos adicionales como GPS, podómetros,cámara, giroscopios, etc.
CAPACIDADES HARDWAREl l l l l l l Almacenamiento: interno y externo.Comunicaciones de voz y datos.Localización: GPS, por red, por wifi.Acelerómetros y podómetros.Multimedia.Interfaces de usuario (UI) avanzados.
Capacidades Softwarel Principalmente su sistema operativo:l -Google: AndroidApple: iOS, MacOS XMicrosoft: windows phone, Windows RT, WindowsOS.RIM: Blackberry OSNokia: Symbian OS.Mozilla: Firefox OS.Canonical: Ubuntu Touch.Palm: PalmOS
VECTORES DE ATAQUEl l l l l l Un vector de ataque es el método que utiliza una amenazapara atacar un -ataque-informatico/Una vulnerabilidad es un estado viciado en un sistemainformático (o conjunto de sistemas) que afecta las propiedadesde confidencialidad, integridad y disponibilidad (CIA) de 012/06/que-es-eltriangulo-cia.htmlUna amenaza informática es toda circunstancia, evento opersona que tiene el potencial de causar daño a un sistema enforma de robo, destrucción, divulgación, modificación de datoso negación de servicio eid glosario-de-seguridad
Fases de un ataque
Riesgosl l l l Pérdida o robo del aparato y el impacto en sudisponibilidad.El acceso a la información contenida, violaciónde la confidencialidad de los datos.El espionaje del tráfico de mensajes tantoentrante como saliente, que afecta a laintegridad.Suplantación de la identidad de la víctima, laautentificación queda comprometida.
Acceso Físicol l l l l l l Es uno de los vectores principales de ataque.Si puedo acceder al dispositivo físicamente, puedo extraer lainformación contenida en él y/o instalarle software deespionaje.El acceso está generalmente protegido por PIN y/o código dedesbloque. Actualmente también el reconocimiento biométricoestá implementado en algunos dispositivos.El acceso físico por cable podría darnos potencialmente accesoincluso sin disponer del código secreto.Extraer el PIN y/o código de desbloqueo, es una de lasprioridades para asaltar la seguridad del dispositivo.Unos segundos de desatención son suficientes para infectar undispositivo.El “shoulder surfing” es habitual para conseguir acceso.
Sistema Operativol l l l Los desarrolladores de los sistemas Operativos de losdispositivos moviles publican de forma periódica susvulnerabilidades y liberan “parches” de seguridad parasolventarlos.Si el dispositivo no está actualizado correctamente ala última versión y sus “parches”, estará expuesto aataques públicamente conocidos.Aún sin ser públicas existen vulnerabilidades aún noconocidas por el desarrollador: los 0-day-attacks.https://es.wikipedia.org/wiki/Ataque de d%C3%ADa cero
Almacenamiento de Informaciónl En los dispositivos móviles guardamos grancantidad de información del tipo :-Asociadas a la Configuración del sistema.Asociadas a las Aplicaciones instaladasServicios online.Datos personales y corporativos.Credenciales de acceso a sitios web, correo, bancaonline.Mensajes de correo (email, sms, mms)Historial de llamadas.Documentos.Calendarios.Fotografías, vídeos, audios
Vulnerabilidades en elAlmacenamiento (2)l l l El acceso a esa información contenida puedeser hecho tanto físicamente comoremotamente.La informacion puede ser protegida mediantecifrado. Pese a ello, si el atacante posee el PINo código de acceso podrá acceder a los datos.
Localizaciónl l l La inclusión de GPS, servicios de ubicación porred y por wifi, hacen más sencillo el registro dela localización física del dispositivo y el accesoa servicios como la búsqueda de negocios omapas, en cualquier lugar del mundo.Para un atacante podría obtener informacióndetallada de la ubicación en todo momento.Los dispositivos actúan como clientes y sonsusceptibles de enviar su localización aservidores no fiables. Por ejemplo: una app dejuegos que tiene permisos para ubicación.
COMUNICACIONESGSM: 2G- Posee un gran número de vulnerabilidades de denegación de servicio basadasen SMS.- Suplantación de identidad del operador, ya que ciertas opciones sonconfigurables por SMS.- Inclusión de código malicioso en HTML a través de MMS.- El cifrado GSM, está actualmente “reventado” y es susceptible de escuchas.- Si un terminal usa redes 2g y 3g podría espiar ambas.- buzón de voz accesible desde cualquier numero, sólo protegido por PIN de 4dígitos.- las redes GPRS y EDGE están basadas en TCP/IP y soportan lasvunerabilidades inherentes a estas redes. (internet)- Los terminales se conectan automáticamente, sin ninguna intervención porparte del usuario, a la celda que ofrece mayor intensidad de señal, lo quepermite a un atacante posicionarse como la celda preferente para los terminalescercanos (Ataque Man-in-the-middle), ya que GSM no implementa autenticaciónmutua.
Ataque Man-in-the-middle (MITM)
UTMS: 3Gl l l l Mejores velocidades de transferencia de datosy mejor cifrado de comunicaciones.Sobre esta red sólo hay vectores teóricos deataque criptográfico más segura.El terminal se autentifica contra la célula deloperador en ambos idad/root2G-3G-ataques-David Perez-hackingJose Pico-Layakk-redesed conseguridad informatica 0 275772476.html
NFC
NFCl l l l l l l l Near Field CampUsado para pagos hasta 20 maximo sin PIN.El diálogo entre tarjeta y lector NFC setransmite sin cifrar, con lo que interceptandoese tráfico podríamos disponer de los datos deltitular de la tarjeta.Escucha secreta a escondidas (eavesdropping)Ataques de retransmisión.Antenas como vector de ataque que captanhasta 40cm (cuando lo legítimo son 10cm)
Bluetoothl l l l l Es un clásico vector de ataque aún muy activo.Está expuesto a la captura de datos, ataquesobre el PIN, la suplantación de dispositivosemparejados, conexiones no confiables(marketing de proximidad) y DoS.Bluejacking: spam a la víctima.Bluesnarfing: robo de información.Bluebugging: Control remoto del dispositivo.
WI-FI
WI-FIl l l l l Todos los dispositivos móviles que tengancomunicaciones WIFI están expuestos a todaslas amenazas, riesgos y vulnerabilidades quecualquier otro dispositivo que accede a redescomo éstas.El mayor riesgo son las wifis abiertas y/opublicas.La información es susceptible de ser capturaday/o interceptada (ataques man-in-the-middle)El tráfico puede ser interceptado o inyectado(spoofing)Vulnerable a ataques DoS.
Softwarel l Para los dispositivos móviles tenemos una granvariedad de aplicaciones que nos abren lapuertas a todo tipo de funcionalidades.Las técnicas de ataque que se desarrollan conestas “apps” son :-PhisingIngeniería social.Ataques web.Enlaces de redes sociales.
Appsl l l Uno de los grandes “agujeros” de seguridad esla descarga, instalación y ejecución de “apps”no certificadas o autorizadas.Apps de Bancos: algunas apoyadas por tokencon SMS.Apps de Redes Sociales:-Robo de identidad.Distribución de malwareRevelación de información personal y 7yOo?t 27s
MALWARE
MALWAREl l l l Es software malicioso, y su conducta esidéntica a los ordenadores más grandes.Incluye virus, gusanos, troyanos y rootkits.Diseminado por SMS, enlaces sociales, email,páginas web, ingeniería social, mensajeríainstantánea, apps, etc.El ataque es más sencillo si la víctima tiene“root” o “jailbreak” en su terminal.
JAILBREAKl l l l Este término alude a la eliminación de lasrestricciones que impone Apple a sus dispositivos, yasí el usuario puede acceder completamente a susfuncionalidades.Invalida la verificación del código firmado por apple,luego se puede instalar cualquier aplicación de fuentedesconocida no reconocida por Apple.Da una cierta sensación de control y flexibilidad alusuario, pero lo cierto es que los mecanismos deprotección son muy rigurosos y si se dejan de usar, elusuario está expuesto a instalaciones de malware,botnets, gusanos, etc.
ROOTl l Algunas funcionalidades del sistema operativoAndroid se muestran ocultas, por lo cual si se‘rootea’ el terminal, quedará bajo nuestrocontrol total. ROOT RAÍZ.El problema es que un atacante, si consigue elcontrol de nuestro terminal, tendrá igualmentetodos los permisos.
Ingeniería Sociall l l l Es la obtención de información confidencial a travésusuarios legítimos que la entregan voluntariamente.El humano es el eslabón más débil de la cadena deseguridad.Se usa para SPAM, PHISING, ROBO DEINFORMACIÓN SENSIBLE.4 Principios:-l Todos queremos ayudar.El primer movimiento es siempre de confianza hacia el otro.No nos gusta decir No.A todos nos gusta que nos alaben.
Otros Ataquesl l l l l l l Mediante almacenamiento (Memoria externaSD)Sincronización de datos con otro dispositivo uordenador.Conexiones USB.Ejecución automática.De fábrica.Códigos QRFalta de formación de los usuarios.
PRÁCTICA 1l IDENTIFICAR VULNERABILIDADES en elpropio dispositivo.--Por grupos.Se elige un portavoz de cada grupo.Los grupos tienen 10 minutos para encontrarvulnerabilidades en sus propios dispositivos. Éstasse tendrán que anotar.Para finalizar, cada grupo, a través de su portavoz,expondrá al resto de compañeros sus conclusiones.
PRACTICA 2: DEFENSAl l Tormenta de ideas acerca de medidas ydefensas que se pueden tomar para evitar elrobo de información, la disponibilidad delservicio, la confidencialidad e integridad de losdatos alojados en el dispositivo móvil y de lared corporativa a la que esté conectado.
PREVENCIÓN Y DEFENSA
ACCESO FÍSICOl l l l l l l l l l l Principio general: No se debe dejar el dispositivo desatendido en NINGÚNmomento.El dispositivo debe implementar mecanismos de autentificación para elcontrol de acceso al mismo.Una frase de paso, de al menos, 8 caracteres. No debe saberla nadie.Adicionalmente activar el código de acceso PIN PUK asociado a la tarjetaSIM. Limitado a 4 caracteres.Activar otra capa de autentificación biométrica si el sistema la incluye.El acceso debe bloquearse al pasar entre 1 y 5 minutos.No debería mostrar ninguna información mientras está bloqueado.Mecanismos de borrado de datos personales si hay varios intentos deacceso vil
EN CASO DE ROBO O EXTRAVÍOl l l l Nuestro IMEI *#06#Dar de baja en el operador si es robado oextraviado y cambiar TODAS nuestrascontraseñas de todos los servicios online.La notificación temprana es la mejor opciónpara gestionar la crisis.Localizar remotamente y borrado remoto:-iCloud en Apple. https://www.icloud.com/#findAdministrador de dispositivos android. https://www.google.com/android/devicemanager
CAPA DE S.O.l l l l No activar ninguna funcionalidad del sistemaoperativo que no sea necesaria.El objetivo es reducir la superficie deexposición y ataque.Modo vuelo: forma sencilla de “desaparecer” delas redes inalámbricas temporalmente.Mantener actualizados el SO, APPS yFIRMWARE.
Configuración y Personalizaciónl l l l l l La configuración por defecto suele estar centrada enla facilidad de uso y el atractivo para el usuario, luegoa menudo es insegura.Deshabilitar el modo “depuración USB” en androidLa concienciación del usuario final es crucial paramantener la política de seguridad intacta.Limitar la posibilidad de modificar la configuración deseguridad.Prohibir el ‘rooteo’ y el ‘jailbreak’Aplicaciones administrativas:--iPhone Configuration Utility:https://www.theiphonewiki.com/wiki/IPhone Configuration Utility
ALMACENAMIENTO y CIFRADOl l l l l l l l l La mejor política es el cifrado de T205220Para ambos almacenamientos (interno y SD) se recomiendacifrar con estas herramientas del sistema.En android 6.0 será obligatorio.El único impacto que notaremos será una bajada derendimiento.Al agregar esta capa de cifrado lo dejaremos todo en manos denuestra clave de descifrado. Tendremos que protegerla mejor.Evaluar que archivos llevo en el dispositivo. Mejor nada deinformación de seguridad (datos personales, contraseñas, etc)Usar servicios en la nube de copia de seguridad cifrada.-- https://play.google.com/store/apps/details?id com.jiubang.go.backup.exl - icloud.
Localizaciónl l Los servicios de localización ya bien sea GPS,WIFI o Red, deberían estar deshabilitados si nose van a usar.Sin embargo, estos servicios pueden ayudar ala localización del dispositivo móvil si se haperdido o sustraído.-Apple: iCloudAndroid: Administrador de dispositivos.Windows Phone: MyPhone
Bluetoothl l l l l La funcionalidad bluetooth debe serdesactivada cuando no se esté usando.Aparte de ahorrar batería ganaremos enseguridad.Debe ser configurado en MODO oculto o novisible para evitar dar su dirección MAC.Cambiar el nombre de dispositivo, ya que sueleser modelo y marca (facilita un vector deataque) y evitar nombrarlo con datospersonales.El proceso de emparejamiento es inseguro y serealiza ‘en blanco’ luego no es recomendable
WI-FIl l l l l l l Esta funcionalidad debería estar desactivada si no está siendoutilizada activamente.Sólo se deberían usar redes con mecanismos de seguridad ycontrol de acceso tipo WPA ó WPA2 Personal con clave de almenos, 20 caracteres, con requisitos de complejidad ydifícilmente adivinable. Ideal con WPA2 Enterprise (802.1x yEAP)Se recomienda hacer uso de VPN en redes abiertas o sinprotección.A partir de UTMS (3G) podemos tener certeza de que será muydifícil que nos intercepten el tráfico.No es recomendable activar la función de conectarseautomáticamente ni a redes conocidas ni abiertas.Solo guardar aquellas que tengan una seguridad adecuada.
Telefoníal l l l l l Es recomendable deshabilitar esta función en escenariosconcretos, y si no se va a usar.Se aconseja usar sólo redes 3G.No podemos asumir que estas comunicaciones son seguras, yaque aparentemente su carácter cerrado parece ser controladoúnicamente por el operador.No abrir ningún SMS extraño/no solicitado/sospechoso. Elcomportamiento ha de ser el mismo que si fuera el e-mail en unordenador de escritorio.Bloquear servicios via operador (SMS Premium, llamadasinternacionales, etc)Para cifrar estas comunicaciones :-SIGNAL https://whispersystems.org/-CELLCRYPT: http://www.cellcrypt.com/
SOFTWARE y APPsl l l l Debido a lo reducido de los dispositivosmóviles, es más fácil caer en algún engaño yfacilitan la manipulación de las acciones delusuario.Altamente recomendable usar solamente latienda de apps oficial del desarrollador y/ofabricante. Evitar Jailbreak y ‘black market’.No se debe guardar ninguna contraseña en eldispositivo, de manera que solicite siempreclave de acceso para acceder a cualquierservicio.Usar contraseñas fuertes.
PERMISOS EN APPSl Cada plataforma las gestiona de manera diferente:--l l IOS presenta un modelo muy reducido de control frente a lospermisos, sin embargo mantiene una política muy estricta ensu tienda de apps acerca de la seguridad y calidad.Android permite mantener un control mucho más precisosobre los componentes a los que les damos permiso parausar. Como contrapartida, su tienda tiene mayor riesgo demalware ya que no está tan controlada.Sentido común (¿para qué quiere mi ubicación unalinterna?)ACTIVIDAD: Mirar y reconocer los permisos que heotorgado a apps.
Proteger actividad WEBl l l l l l Deshabilitar las capacidades JavaScript delnavegador y habilitarlas de forma manual sifuera necesario en sitios de confianza.Deshabilitar plug-ins.Habilitar la detección de sitios web fraudulentosy/o maliciosos.Deshabilitar funciones de autocompletar.Deshabilitar el almacenamiento de contraseñasy credenciales.
REDES SOCIALESl l El usuario es responsable de lo que publica acerca deél y su círculo, luego debe proteger la privacidadpropia y del propietario de los contenidos que sube, norevelando nunca información sensible.Es muy recomendable usar pseudónimos en lugar delnombre real, no aceptar solicitudes de amistad dedesconocidos, administrar sus contactosfrecuentemente, gestionar cuidadosamente lainformación profesional publicada y separándola de lapersonal. No permitir acceso al perfil sin autorización,fijar niveles de privacidad de forma restrictiva ydesactivar servicios de localización.
DETECCIÓN de MALWAREl Lo mejor es tener un antivirus/antimalware:-l Malwarebytes.ESETKasperskyIOS: Norton Mobile security, Sophos rol/id481992265?mt 8aDebido a la limitacion de las baterías de losdispositivos móviles, no es viable que haya unanálisis constante de los mismos, luegotendremos que realizarla periódicamente.
Propagación de Malwarel l Es recomendable que los ordenadores a losque se conecte el dispositivo móvil para susincronización, no realice ninguna acciónautomática, y que lo identifique como unidad dealmacenamiento.El reenvio de correos, mensajes instantáneos,etc que tienen como origen fuentes no fiables,son considerados una amenaza.
Trazabilidadl l l l Paralelamente a su complejidad yfuncionalidades, los dispositivos móvilesgeneran una gran cantidad de registros (logs)dónde se puede consultar toda la actividad.System Info for Android https://play.google.com/store/apps/details?id com.electricsheep.asi&hl esVer logs en iOS:https://www.theiphonewiki.com/wiki/System Log
Auditoría de Seguridadl l l l l ViaProtect :https://www.nowsecure.com/#viaprotectZANTI testingFing https://play.google.com/store/apps/details?id com.overlook.android.fingIntercepter https://play.google.com/store/apps/details?id su.sniff.cepter
Privacidadl l l l l VPN ?id org.torproject.androidControl de aplicaciones: id com.liquidum.hexlockControl Parental: Qustodiohttps://www.qustodio.com/es/help/
DEMOl l Simularemos un ataque por wifi deinterceptacion de datos con AP falso.
Los desarrolladores de los sistemas Operativos de los dispositivos moviles publican de forma periódica sus vulnerabilidades y liberan "parches" de seguridad para solventarlos. ! Si el dispositivo no está actualizado correctamente a la última versión y sus "parches", estará expuesto a ataques públicamente conocidos. !
