54. owasp mobile top ten
DESCRIPTION
OWASP Mobile Top TenTRANSCRIPT
MOBILE TOP 10
Mateo Martínez [email protected]
• Líder del Capítulo OWASP Uruguay o OWASP Days o OWASP Latam Tour o OWASP AppSec Latam 2012
• Trabajo en Intel como consultor McAfee Foundstone: o Pentesting / Ethical Hacking o Social Engineering o Code Review o Entrenamientos o Consultoría
• Algunas de mis certificaciones:
o CISSP o ISO 27001 Lead Implementer o PCI QSA o ITIL o MCP
Mateo Martínez
OWASP
¿Qué es OWASP?
El valor del voluntariado
13 Años de servicio a la comunidad
ADN OWASP
OWASP En números
1,350,000 Visitas (por mes)
170 Proyectos Activos
200 Capítulos Activos
43,000+ Participantes en listas de correos
88+ Citaciones de gobiernos e industrias!
100+ Academic Supporters
54 Sponsors Corporativos
2300 Miembros
Global Board of Directors – Michael Coates - Chairman - San Francisco, CA – Tom Brennan - Vice Chairman - Rockaway, New Jersey – Josh Sokol - Treasure - Austin, Texas - Tobias Gondrom - Secretary - Hong Kong, China - Eoin Keary - Board Member, Dublin Ireland - Jim Manico - Board Member - Hawaii - Fabio Cerullo - Board Member - Dublin, Ireland
2014 Objetivos Estratégicos
OWASP URUGUAY
https://www.owasp.org/index.php/Uruguay • Eventos • Entrenamientos • Proyectos • Traducciones
TOP 10 Riesgos en Móviles
570 millones: Usuarios de móviles 366 millones: Acceso a un baño 2000 millones: Descargas de Angry Birds Tráfico de internet móvil > PC
+2 Billones de dispositivos conectados, En el 2020 habrá más de 60 Billones
Mobile Malware
Tendencias #1
24
Tendencias #2
25
Tendencias #3
26
Tendencias #5
27
Seguridad PC vs Móvil
Los desafíos en los ambientes móviles motivan a un cambio en el enfoque
AMENAZAS
VECTORES
ENTORNO
PC Móvil
• Malware, Virus, Phishing, Stolen Data, Trojans, DoS, Social Engineering
• Similar al PC + • Pérdida de dispositivo,
eavesdropping, fraude SMS
• Browser, Bluetooth, Wi-Fi, Cellular Network, Cross Channel, Email
• Similar al PC + • SMS, MMS, App
downloads
• Homogenous OS environment
• Largely local computing centric
• Fragmented OS environment
• Cloud-centric, tethered to OS provider
Similitud
= +
= +
≠
Protección en dispositivos perdidos
4%
5%
11%
17%
19%
31%
57%
0% 10% 20% 30% 40% 50% 60%
Other
Anti-virus/anti-malware
Client firewall
Password or keypad lock
Encryption
Anti-theft device
No protection
La mobilidad trae nuevos riesgos
IT
HR
Finance
Sales IT
Políticas diferentes entre usuarios IT y móviles
Más de la mitad de los usuario NO bloquean los equipos
1 de cada 5 equipos móviles se pierde por año Los dispositivos
móviles la nueva frontera del malware
Web 2.0, Apps 2.0, Mobility 2.0…Enterprise 2.0
IT
HR
Finance
Sales IT
60,000 Nuevas piezas de Malware/día
Costo de la información de un laptop: $25-50K
80% de los usuarios concientes de la pérdida de Información
Zeus Malware apunta a mobile phones via SMS
September 30, 2014
TOP 10 Riesgos en Móviles
M1 – Controles Débiles en el Servidor
• Riesgos del OWASP TOP 10
• SQL Injection, CSRF, etc
• Prácticas de Desarrollo de
Software Inseguro
M2 – Amacenamiento Inseguro
• NO GUARDAR CREDENCIALES
• Almacenar en forma segura
• SQLite, Logs, Plist, XML,
Cookies, SD Card, Cloud Synced
M3 – Transmisión insegura
• Aplicar SSL/TLS
• Utilizar algoritmos seguros
• Certificados confiables
• Alertar al usuario
M4 – Fuga de Información no intencional
• Modelado de amenazas de OS,
platfoms & frameworks
• Cache de datos, logs, cookies
• Desconocidos para el Developer
M5 – Autorización y Autenticación
• No autenticar solo a nivel local
• Cifrar datos locales
• Rember-me
• 4-digit PIN
M6 – Criptografía Insegura
• Procesos de Cifrado/Descifrado
• Algorítmos débiles
• Key Management
M7 – Inyección del lado del Cliente
• SQLite Injection
• Sniffing (intent) en Android
• Inyección de Javascript
• Local File Inlclusion (NFSFile, Webviews)
M8 – Decisiones de seguridad basados en inputs no confiables
• Communicación entre procesos
• Datos en clipboards/pasteboards
• Modelo de permisos del SO
• No utilizar métodos deprecated
M9 – Manejo de Sesiones
• Sesión del lado del cliente
• Timeout de sesiones inadecuado
• Sesión basada en cookies
• Creación insegura de tokens
M10 – Protección de Binarios
• Prevenir Reversing
• Monitorear Integridad de la App
• Detectar Jailbreak / Rooted
Para los que quieran practicar …
• DVIA (Damn Vuln iOS App)
• Goat Droid
• iGoat
OWASP Cheat Sheets
https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
• Dangers of Jailbreaking and Rooting Mobiles
• iOS Developer Cheat Sheet
• iOS Application Security Testing
• Mobile Jaibreaking Cheat Sheet
Gran crecimiento de amenazas para móviles
Riesgos diferentes a Cloud y Web Apps
Importancia del Desarrollo Seguro de Apps
Es necesario incrementar las pruebas de seguridad
Definir políticas, procesos y procedimientos
Los costos por no aplicar controles son altos 45
Conclusiones
¡Muchas gracias!
Mateo Martínez [email protected]