seguridad en smartphones: análisis de riesgos, de...
TRANSCRIPT
![Page 1: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/1.jpg)
SEGURIDAD EN SMARTPHONES
ANÁLISIS DE RIESGOS DE VULNERABILIDADES Y AUDITORÍAS
Título: Trabajo Final de Master, Master Interuniversitario en Seguridad de las TIC Autor: Carlos García Altarejos, [email protected], [email protected] Tutor: Marco Antonio Lozano Merino, [email protected] Fecha: 12 de Enero de 2017
Master Interuniversitario en Seguridad de las TIC
![Page 2: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/2.jpg)
"EXISTEN DOS TIPOS DE EMPRESAS: LAS QUE HAN SIDO HACKEADAS Y LAS QUE AÚN NO SABEN QUE FUERON HACKEADAS"
John Chambers, Ex CEO de CISCO
SEGURIDAD EN SMARTPHONES 2
![Page 3: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/3.jpg)
SEGURIDAD EN SMARTPHONES 3
▸ Desarrollar una metodología para realizar un análisis de riesgos de vulnerabilidades y auditorias de dispositivos.
▸ Estudio de las herramientas y técnicas para detectar las amenazas y las vulnerabilidades.
▸ Los sistemas operativos móviles que se estudiarán son Android(Google) e IOS(Apple).
RESUMEN
![Page 4: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/4.jpg)
SEGURIDAD EN SMARTPHONES
OBJETIVOS
▸ Análisis de riesgos.
▸ Auditoría de dispositivos.
▸ Identificar amenazas.
▸ Detección de vulnerabilidades.
▸ Prevención de ataques.
▸ Análisis de datos.
4
![Page 5: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/5.jpg)
SEGURIDAD EN SMARTPHONES
FASES DE LA METODOLOGÍA
▸ 1. Identificación
▸ 2. Análisis
▸ 3. Acceso
▸ 4. Resultados
▸ 5. Informes
5
![Page 6: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/6.jpg)
SEGURIDAD EN SMARTPHONES
CLASIFICACIÓN DE LAS AMENAZAS
▸ CRIMINALES: causadas por la intervención humana con intencionalidad delictiva, como robo, fraude, espionaje, malware, etc.
▸ FÍSICAS: acciones directas sobre los dispositivos , como podría ser un accidente físico, inundación, sobrecarga, etc.
▸ NEGLIGENTES: acciones, decisiones u omisiones por parte de los usuarios del dispositivo. Por ejemplo la pérdida de información debido a un mal uso por falta de capacitación o mal manejo del dispositivo.
6
![Page 7: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/7.jpg)
SEGURIDAD EN SMARTPHONES
TIPOS DE AMENAZAS
▸ Pérdida de información.
▸ Robo del dispositivo.
▸ Rotura del dispositivo.
▸ Robo de credenciales.
▸ Suplantación de identidad.
▸ Acceso a datos confidenciales.
▸ Robo de información.
▸ Fragmentación.
7
▸ Control remoto del dispositivo.
▸ Deterioro del terminal.
▸ Descarga de aplicaciones no deseadas.
▸ Infección por malware.
▸ Ataques de phising.
▸ Sideloading.
▸ Perfiles iOS maliciosos.
▸ Uso de sistemas no seguros.
![Page 8: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/8.jpg)
SEGURIDAD EN SMARTPHONES
¿QUÉ ES EL MALWARE?
El malware, también l lamado badware, código maligno, software m a l i c i o s o, s o f t w a re d a ñ i n o o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una c o m p u t a d o r a o s i s t e m a d e información sin el consentimiento de su propietario.
8
![Page 9: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/9.jpg)
SEGURIDAD EN SMARTPHONES
TIPOS DE MALWARE
▸ Virus
▸ Ransomware
▸ Gusano
▸ Troyano
9
▸ Spyware
▸ Adware
▸ Riskware
▸ Rootkit
![Page 10: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/10.jpg)
SEGURIDAD EN SMARTPHONES
VÍAS DE ACCESO
▸ Vulnerabilidades
▸ Ficheros
▸ Navegación web
▸ Redes Wi-fi
▸ Apps fraudulentas
10
▸ Configuraciones erróneas
▸ Jailbreak y Rooteo
▸ Contraseñas débiles
▸ Ataques de red
![Page 11: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/11.jpg)
SEGURIDAD EN SMARTPHONES
SISTEMAS OPERATIVOS MÓVILES
▸ Windows Phone
▸ Blackberry
▸ Symbian OS
▸ Firefox OS
▸ Ubuntu Touch
▸ Android
▸ iOS
11
![Page 12: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/12.jpg)
SEGURIDAD EN SMARTPHONES
SISTEMA OPERATIVO IOS
▸ Desarrollado por Apple Inc.
▸ Sistema Operativo basado en UNIX.
▸ Arquitectura por capas.
▸ Datos encriptados.
▸ Control de acceso mediante huella o pin.
▸ Apps firmadas.
▸ Comprobación del firmware en el arranque.
12
![Page 13: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/13.jpg)
SEGURIDAD EN SMARTPHONES
SISTEMA OPERATIVO ANDROID
▸ Desarrollado por Android Inc. propiedad de Google.
▸ Sistema Operativo Open Source basado en Linux.
▸ Arquitectura por capas.
▸ Cifrado de datos y apps firmadas.
▸ Control de acceso mediante huella, frase, patrón o pin.
▸ Multimarca.
13
![Page 14: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/14.jpg)
"LAS VULNERABILIDADES SON PUNTOS DÉBILES DEL SOFTWARE QUE PERMITEN QUE UN ATACANTE COMPROMETA LA INTEGRIDAD, DISPONIBILIDAD O CONFIDENCIALIDAD DEL MISMO. ALGUNAS DE LAS VULNERABILIDADES MÁS SEVERAS PERMITEN QUE LOS ATACANTES EJECUTEN CÓDIGO ARBITRARIO, DENOMINADAS VULNERABILIDADES DE SEGURIDAD, EN UN SISTEMA COMPROMETIDO."
Wikipedia.org
SEGURIDAD EN SMARTPHONES 14
VULNERABILIDADES
![Page 15: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/15.jpg)
SEGURIDAD EN SMARTPHONES
VULNERABILIDADES EN IOS
▸ Página oficial de Apple donde poder consultarlas: https://support.apple.com/es-es/HT201222
‣ Página de CVE Details donde aparecen todas las que han sido reportadas desde la primera versión:
https://www.cvedetails.com
984 Vulnerabilidades reportadas.
15
![Page 16: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/16.jpg)
SEGURIDAD EN SMARTPHONES
VULNERABILIDADES EN ANDROID
▸ Página oficial de Google donde poder consultarlas: https://source.android.com/security/bulletin/
‣ Página de CVE Details donde aparecen todas las que han sido reportadas desde la primera versión:
https://www.cvedetails.com
690 Vulnerabilidades reportadas.
16
![Page 17: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/17.jpg)
SEGURIDAD EN SMARTPHONES
JAILBREAK EN IOS
▸ Se lleva a cabo explotando vulnerabilidades.
▸ Proceso de liberación de las restricciones.
▸ Control total sobre el dispositivo.
▸ Eliminación de controles y limitaciones.
▸ Permite instalar apps no firmadas.
17
![Page 18: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/18.jpg)
SEGURIDAD EN SMARTPHONES
HERRAMIENTAS DE JAILBREAK
▸ Las herramientas a utilizar dependen de la versión de iOS.
▸ Asistente para consultar las aplicaciones a utilizar para nuestra versión de iOS. http://es.jailbreakwizard.info
▸ No requieren conocimientos técnicos avanzados para su uso.
▸ Herramientas más conocidas: ▸ TaiG Jailbreak
▸ Pangu ▸ PP
18
![Page 19: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/19.jpg)
SEGURIDAD EN SMARTPHONES
ROOT EN ANDROID
▸ Es equivalente al Jailbreak en iOS.
▸ Obtención de permisos de superusuario.
▸ Control total sobre el dispositivo.
▸ Acceso a funciones avanzadas.
▸ Pérdida de garantía y actualizaciones en línea.
19
![Page 20: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/20.jpg)
SEGURIDAD EN SMARTPHONES
HERRAMIENTAS DE ROOTEO
▸ Existen más de 24.000 modelos diferentes de dispositivos.
▸ Existe un gran número de herramientas diferentes.
▸ No requieren conocimientos técnicos avanzados para su uso.
▸ Herramientas más conocidas: ▸ Root Genius
▸ Frama Root ▸ Kingo Root
20
![Page 21: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/21.jpg)
SEGURIDAD EN SMARTPHONES
ACCESO A DISPOSITIVOS CON IOS
1. Identificar modelo
2. Verificar passcode
3. Comprobar Jailbreak
4. Acceder al dispositivo.
21
![Page 22: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/22.jpg)
SEGURIDAD EN SMARTPHONES
ACCESO A DISPOSITIVOS CON ANDROID
1. Identificar el dispositivo
2. Comprobar activación de "Depuración USB"
3. Verificar el sistema de desbloqueo
4. Analizar servicios de red en escucha
5. Conectar al PC y actualizar
6. Verificar Root y/o Rootear
22
![Page 23: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/23.jpg)
SEGURIDAD EN SMARTPHONES
ANÁLISIS CON OXYGEN FORENSICS SUITE
‣ Herramienta comercial para el análisis forense de dispositivos móviles.
‣ Compatible con la mayoría de los teléfonos del mercado, y especializada en la extracción y análisis en smartphones.
‣ Es necesario conectar los dispositivos por USB al PC.
‣ Extracción de datos y análisis de ficheros de texto, BBDD, multimedia, registros, mapas, etc.
‣ Sistema de detección de apps fraudulentas.
23
![Page 24: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/24.jpg)
SEGURIDAD EN SMARTPHONES
ANÁLISIS CON OXYGEN FORENSICS SUITE
‣ Herramienta comercial para el análisis forense de dispositivos móviles.
‣ Compatible con la mayoría de los teléfonos del mercado, y especializada en la extracción y análisis en smartphones.
‣ Es necesario conectar los dispositivos por USB al PC.
‣ Extracción de datos y análisis de ficheros de texto, BBDD, multimedia, registros, mapas, etc.
‣ Sistema de detección de apps fraudulentas.
24
![Page 25: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/25.jpg)
SEGURIDAD EN SMARTPHONES
‣ Mantener el sistema operativo y las aplicaciones actualizadas.
‣ Utilizar sistemas de seguridad para desbloquear.
‣ No conectarse a redes desconocidas.
‣ Instalar aplicaciones solo de sitios oficiales.
‣ No realizar Jailbreak o Root.
‣ Ser precavidos al navegar y descargar archivos.
‣ Instalar un software de antivirus y/o antimalware.
‣ Cumplir la política de seguridad respecto a contraseñas.
25
RECOMENDACIONES
![Page 26: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/26.jpg)
SEGURIDAD EN SMARTPHONES
‣ Es complejo definir una metodología única.
‣ Las principales amenazas son de tipo criminal, y el malware es una de las más comunes.
‣ Para agilizar y mejorar los resultados del análisis es necesario apoyarse en herramientas especializadas.
‣ Debemos estar al día en materia de seguridad informática, para conocer las novedades respecto a técnicas, descubrimientos y actualizaciones.
26
CONCLUSIONES
![Page 27: Seguridad en Smartphones: análisis de riesgos, de ...openaccess.uoc.edu/webapps/o2/bitstream/10609/60705... · SEGURIDAD EN SMARTPHONES 3 Desarrollar una metodología para realizar](https://reader031.vdocuments.mx/reader031/viewer/2022013002/5ea924a73c456d36c26609d4/html5/thumbnails/27.jpg)
GRACIAS POR SU ATENCIÓNSEGURIDAD EN SMARTPHONES
CARLOS GARCÍA ALTAREJOS
Master Interuniversitario en Seguridad de las TIC