seguridad de dispositivos móviles ataque, defensa y ... · tipos: ! teléfonos móviles ! pda’s...
TRANSCRIPT
Seguridad de Dispositivos Móviles
Ataque, Defensa y Prevención.
¿Qué es un dispositivo móvil?
l Definimos dispositivo móvil a un tipo de aparato de tamaño reducido con: - Capacidades especiales de procesamiento. - Conexión permanente o intermitente a una red
inalámbrica. - Memoria limitada. - Diseño específico para una función. - Se asocia a un uso individual y es configurable al
gusto. - Se pueden “llevar encima” y usar en movimiento. - Alta capacidad de interacción.
Características
- 1. MOVILIDAD: la cualidad de un dispositivo para ser transportado o movido con frecuencia y facilidad.
- 2. TAMAÑO REDUCIDO: ser fácilmente usado con una o dos manos sin necesidad de ninguna ayuda o soporte externo y su transporte.
- 3. COMUNICACIÓN INALÁMBRICA:envía - o recibe datos sin la necesidad de un enlace
cableado. - 4. INTERACCIÓN CON LAS PERSONAS:
usabilidad y ergonomía.
TIPOS:
l Teléfonos móviles l PDA’s l GPS l Smartphones l Netbook l Ultrabook l Tablet l Tablet PC l Ebook l Smartwatch l TPV l
FUNCIONALIDADES
l Los más avanzados ofrecen capacidades muy similares con los ordenadores tradicionales. En algunos casos los superan con la inclusión de elementos adicionales como GPS, podómetros, cámara, giroscopios, etc.
l
CAPACIDADES HARDWARE
l Almacenamiento: interno y externo. l Comunicaciones de voz y datos. l Localización: GPS, por red, por wifi. l Acelerómetros y podómetros. l Multimedia. l Interfaces de usuario (UI) avanzados. l
Capacidades Software
l Principalmente su sistema operativo: l
- Google: Android - Apple: iOS, MacOS X - Microsoft: windows phone, Windows RT, Windows
OS. - RIM: Blackberry OS - Nokia: Symbian OS. - Mozilla: Firefox OS. - Canonical: Ubuntu Touch. - Palm: PalmOS -
VECTORES DE ATAQUE l Un vector de ataque es el método que utiliza una amenaza
para atacar un sistema. l https://hilfrank.wordpress.com/fases-de-un-ataque-informatico/ l Una vulnerabilidad es un estado viciado en un sistema
informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas.
l http://zonaasegurada.blogspot.com.es/2012/06/que-es-el-triangulo-cia.html
l Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS).
l http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad
Fases de un ataque
Riesgos
l Pérdida o robo del aparato y el impacto en su disponibilidad.
l El acceso a la información contenida, violación de la confidencialidad de los datos.
l El espionaje del tráfico de mensajes tanto entrante como saliente, que afecta a la integridad.
l Suplantación de la identidad de la víctima, la autentificación queda comprometida.
Acceso Físico l Es uno de los vectores principales de ataque. l Si puedo acceder al dispositivo físicamente, puedo extraer la
información contenida en él y/o instalarle software de espionaje.
l El acceso está generalmente protegido por PIN y/o código de desbloque. Actualmente también el reconocimiento biométrico está implementado en algunos dispositivos.
l El acceso físico por cable podría darnos potencialmente acceso incluso sin disponer del código secreto.
l Extraer el PIN y/o código de desbloqueo, es una de las prioridades para asaltar la seguridad del dispositivo.
l Unos segundos de desatención son suficientes para infectar un dispositivo.
l El “shoulder surfing” es habitual para conseguir acceso.
Sistema Operativo
l Los desarrolladores de los sistemas Operativos de los dispositivos moviles publican de forma periódica sus vulnerabilidades y liberan “parches” de seguridad para solventarlos.
l Si el dispositivo no está actualizado correctamente a la última versión y sus “parches”, estará expuesto a ataques públicamente conocidos.
l Aún sin ser públicas existen vulnerabilidades aún no conocidas por el desarrollador: los 0-day-attacks.
l https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero
Almacenamiento de Información
l En los dispositivos móviles guardamos gran cantidad de información del tipo : - Asociadas a la Configuración del sistema. - Asociadas a las Aplicaciones instaladas - Servicios online. - Datos personales y corporativos. - Credenciales de acceso a sitios web, correo, banca
online. - Mensajes de correo (email, sms, mms) - Historial de llamadas. - Documentos. - Calendarios. - Fotografías, vídeos, audios
Vulnerabilidades en el Almacenamiento (2)
l El acceso a esa información contenida puede ser hecho tanto físicamente como remotamente.
l La informacion puede ser protegida mediante cifrado. Pese a ello, si el atacante posee el PIN o código de acceso podrá acceder a los datos.
l
Localización
l La inclusión de GPS, servicios de ubicación por red y por wifi, hacen más sencillo el registro de la localización física del dispositivo y el acceso a servicios como la búsqueda de negocios o mapas, en cualquier lugar del mundo.
l Para un atacante podría obtener información detallada de la ubicación en todo momento.
l Los dispositivos actúan como clientes y son susceptibles de enviar su localización a servidores no fiables. Por ejemplo: una app de juegos que tiene permisos para ubicación.
COMUNICACIONES GSM: 2G - Posee un gran número de vulnerabilidades de denegación de servicio basadas en SMS. - Suplantación de identidad del operador, ya que ciertas opciones son configurables por SMS. - Inclusión de código malicioso en HTML a través de MMS. - El cifrado GSM, está actualmente “reventado” y es susceptible de escuchas. - Si un terminal usa redes 2g y 3g podría espiar ambas. - buzón de voz accesible desde cualquier numero, sólo protegido por PIN de 4 dígitos. - las redes GPRS y EDGE están basadas en TCP/IP y soportan las vunerabilidades inherentes a estas redes. (internet) - Los terminales se conectan automáticamente, sin ninguna intervención por parte del usuario, a la celda que ofrece mayor intensidad de señal, lo que permite a un atacante posicionarse como la celda preferente para los terminales cercanos (Ataque Man-in-the-middle), ya que GSM no implementa autenticación mutua.
Ataque Man-in-the-middle (MITM)
UTMS: 3G
l Mejores velocidades de transferencia de datos y mejor cifrado de comunicaciones.
l Sobre esta red sólo hay vectores teóricos de ataque criptográfico = más segura.
l El terminal se autentifica contra la célula del operador en ambos sentidos.
l http://www.eldiario.es/hojaderouter/seguridad/root2G-3G-ataques-David_Perez-hacking-Jose_Pico-Layakk-redesed_con-seguridad_informatica_0_275772476.html
NFC
NFC
l Near Field Camp l Usado para pagos hasta 20€ maximo sin PIN. l El diálogo entre tarjeta y lector NFC se
transmite sin cifrar, con lo que interceptando ese tráfico podríamos disponer de los datos del titular de la tarjeta.
l Escucha secreta a escondidas (eavesdropping) l Ataques de retransmisión. l Antenas como vector de ataque que captan
hasta 40cm (cuando lo legítimo son 10cm) l l l
Bluetooth
l Es un clásico vector de ataque aún muy activo. l Está expuesto a la captura de datos, ataque
sobre el PIN, la suplantación de dispositivos emparejados, conexiones no confiables (marketing de proximidad) y DoS.
l Bluejacking: spam a la víctima. l Bluesnarfing: robo de información. l Bluebugging: Control remoto del dispositivo.
WI-FI
WI-FI
l Todos los dispositivos móviles que tengan comunicaciones WIFI están expuestos a todas las amenazas, riesgos y vulnerabilidades que cualquier otro dispositivo que accede a redes como éstas.
l El mayor riesgo son las wifis abiertas y/o publicas.
l La información es susceptible de ser capturada y/o interceptada (ataques man-in-the-middle)
l El tráfico puede ser interceptado o inyectado (spoofing)
l Vulnerable a ataques DoS.
Software
l Para los dispositivos móviles tenemos una gran variedad de aplicaciones que nos abren la puertas a todo tipo de funcionalidades.
l Las técnicas de ataque que se desarrollan con estas “apps” son : - Phising - Ingeniería social. - Ataques web. - Enlaces de redes sociales. -
Apps
l Uno de los grandes “agujeros” de seguridad es la descarga, instalación y ejecución de “apps” no certificadas o autorizadas.
l Apps de Bancos: algunas apoyadas por token con SMS.
l Apps de Redes Sociales: - Robo de identidad. - Distribución de malware - Revelación de información personal y profesional. - Localización. - https://youtu.be/Ce8Jcrb7yOo?t=27s -
MALWARE
MALWARE
l Es software malicioso, y su conducta es idéntica a los ordenadores más grandes.
l Incluye virus, gusanos, troyanos y rootkits. l Diseminado por SMS, enlaces sociales, email,
páginas web, ingeniería social, mensajería instantánea, apps, etc.
l El ataque es más sencillo si la víctima tiene “root” o “jailbreak” en su terminal.
JAILBREAK
l Este término alude a la eliminación de las restricciones que impone Apple a sus dispositivos, y así el usuario puede acceder completamente a sus funcionalidades.
l Invalida la verificación del código firmado por apple, luego se puede instalar cualquier aplicación de fuente desconocida no reconocida por Apple.
l Da una cierta sensación de control y flexibilidad al usuario, pero lo cierto es que los mecanismos de protección son muy rigurosos y si se dejan de usar, el usuario está expuesto a instalaciones de malware, botnets, gusanos, etc.
l
ROOT
l Algunas funcionalidades del sistema operativo Android se muestran ocultas, por lo cual si se ‘rootea’ el terminal, quedará bajo nuestro control total. ROOT = RAÍZ.
l El problema es que un atacante, si consigue el control de nuestro terminal, tendrá igualmente todos los permisos.
Ingeniería Social
l Es la obtención de información confidencial a través usuarios legítimos que la entregan voluntariamente.
l El humano es el eslabón más débil de la cadena de seguridad.
l Se usa para SPAM, PHISING, ROBO DE INFORMACIÓN SENSIBLE.
l 4 Principios: - Todos queremos ayudar. - El primer movimiento es siempre de confianza hacia el otro. - No nos gusta decir No. - A todos nos gusta que nos alaben.
l
Otros Ataques
l Mediante almacenamiento (Memoria externa SD)
l Sincronización de datos con otro dispositivo u ordenador.
l Conexiones USB. l Ejecución automática. l De fábrica. l Códigos QR l Falta de formación de los usuarios.
PRÁCTICA 1
l IDENTIFICAR VULNERABILIDADES en el propio dispositivo. - Por grupos. - Se elige un portavoz de cada grupo. - Los grupos tienen 10 minutos para encontrar
vulnerabilidades en sus propios dispositivos. Éstas se tendrán que anotar.
- Para finalizar, cada grupo, a través de su portavoz, expondrá al resto de compañeros sus conclusiones.
PRACTICA 2: DEFENSA
l Tormenta de ideas acerca de medidas y defensas que se pueden tomar para evitar el robo de información, la disponibilidad del servicio, la confidencialidad e integridad de los datos alojados en el dispositivo móvil y de la red corporativa a la que esté conectado.
l
PREVENCIÓN Y DEFENSA
ACCESO FÍSICO l Principio general: No se debe dejar el dispositivo desatendido en NINGÚN
momento. l El dispositivo debe implementar mecanismos de autentificación para el
control de acceso al mismo. l Una frase de paso, de al menos, 8 caracteres. No debe saberla nadie. l Adicionalmente activar el código de acceso PIN+PUK asociado a la tarjeta
SIM. Limitado a 4 caracteres. l Activar otra capa de autentificación biométrica si el sistema la incluye. l El acceso debe bloquearse al pasar entre 1 y 5 minutos. l No debería mostrar ninguna información mientras está bloqueado. l Mecanismos de borrado de datos personales si hay varios intentos de
acceso fallido. l http://www.adictosaliphone.org/como-aumentar-la-seguridad-y-cuidar-la-
privacidad-de-tu-iphone/ l http://www.xatakandroid.com/seguridad/locker-destruye-todos-tus-datos-si-
fallas-al-desbloquear-el-movil l
EN CASO DE ROBO O EXTRAVÍO
l Nuestro IMEI *#06# l Dar de baja en el operador si es robado o
extraviado y cambiar TODAS nuestras contraseñas de todos los servicios online.
l La notificación temprana es la mejor opción para gestionar la crisis.
l Localizar remotamente y borrado remoto: - iCloud en Apple. https://www.icloud.com/#find - Administrador de dispositivos android. https://
www.google.com/android/devicemanager
CAPA DE S.O.
l No activar ninguna funcionalidad del sistema operativo que no sea necesaria.
l El objetivo es reducir la superficie de exposición y ataque.
l Modo vuelo: forma sencilla de “desaparecer” de las redes inalámbricas temporalmente.
l Mantener actualizados el SO, APPS y FIRMWARE.
Configuración y Personalización
l La configuración por defecto suele estar centrada en la facilidad de uso y el atractivo para el usuario, luego a menudo es insegura.
l Deshabilitar el modo “depuración USB” en android l La concienciación del usuario final es crucial para
mantener la política de seguridad intacta. l Limitar la posibilidad de modificar la configuración de
seguridad. l Prohibir el ‘rooteo’ y el ‘jailbreak’ l Aplicaciones administrativas:
- iPhone Configuration Utility: https://www.theiphonewiki.com/wiki/IPhone_Configuration_Utility
-
ALMACENAMIENTO y CIFRADO l La mejor política es el cifrado de datos. l http://hipertextual.com/2016/01/cifrar-tu-dispositivo-android l https://support.apple.com/es-es/HT205220 l Para ambos almacenamientos (interno y SD) se recomienda
cifrar con estas herramientas del sistema. l En android 6.0 será obligatorio. l El único impacto que notaremos será una bajada de
rendimiento. l Al agregar esta capa de cifrado lo dejaremos todo en manos de
nuestra clave de descifrado. Tendremos que protegerla mejor. l Evaluar que archivos llevo en el dispositivo. Mejor nada de
información de seguridad (datos personales, contraseñas, etc) l Usar servicios en la nube de copia de seguridad cifrada.
- - https://play.google.com/store/apps/details?id=com.jiubang.go.backup.ex l - icloud.
Localización
l Los servicios de localización ya bien sea GPS, WIFI o Red, deberían estar deshabilitados si no se van a usar.
l Sin embargo, estos servicios pueden ayudar a la localización del dispositivo móvil si se ha perdido o sustraído. - Apple: iCloud - Android: Administrador de dispositivos. - Windows Phone: MyPhone
Bluetooth
l La funcionalidad bluetooth debe ser desactivada cuando no se esté usando.
l Aparte de ahorrar batería ganaremos en seguridad.
l Debe ser configurado en MODO oculto o no visible para evitar dar su dirección MAC.
l Cambiar el nombre de dispositivo, ya que suele ser modelo y marca (facilita un vector de ataque) y evitar nombrarlo con datos personales.
l El proceso de emparejamiento es inseguro y se realiza ‘en blanco’ luego no es recomendable emparejar un dispositivo en un lugar abierto y/o público.
l Los PIN que se generen para el emparejamiento de dispositivos, lo ideal es que sean contraseñas de 8 a 12 caracteres.
l Configurarlo para que cada conexión o acción el usuario deba de autorizarlo.
l
WI-FI l Esta funcionalidad debería estar desactivada si no está siendo
utilizada activamente. l Sólo se deberían usar redes con mecanismos de seguridad y
control de acceso tipo WPA ó WPA2 Personal con clave de al menos, 20 caracteres, con requisitos de complejidad y difícilmente adivinable. Ideal con WPA2 Enterprise (802.1x y EAP)
l Se recomienda hacer uso de VPN en redes abiertas o sin protección.
l A partir de UTMS (3G) podemos tener certeza de que será muy difícil que nos intercepten el tráfico.
l No es recomendable activar la función de conectarse automáticamente ni a redes conocidas ni abiertas.
l Solo guardar aquellas que tengan una seguridad adecuada. l
Telefonía l Es recomendable deshabilitar esta función en escenarios
concretos, y si no se va a usar. l Se aconseja usar sólo redes 3G. l No podemos asumir que estas comunicaciones son seguras, ya
que aparentemente su carácter cerrado parece ser controlado únicamente por el operador.
l No abrir ningún SMS extraño/no solicitado/sospechoso. El comportamiento ha de ser el mismo que si fuera el e-mail en un ordenador de escritorio.
l Bloquear servicios via operador (SMS Premium, llamadas internacionales, etc)
l Para cifrar estas comunicaciones : - SIGNAL https://whispersystems.org/ - CELLCRYPT: http://www.cellcrypt.com/
SOFTWARE y APPs
l Debido a lo reducido de los dispositivos móviles, es más fácil caer en algún engaño y facilitan la manipulación de las acciones del usuario.
l Altamente recomendable usar solamente la tienda de apps oficial del desarrollador y/o fabricante. Evitar Jailbreak y ‘black market’.
l No se debe guardar ninguna contraseña en el dispositivo, de manera que solicite siempre clave de acceso para acceder a cualquier servicio.
l Usar contraseñas fuertes.
PERMISOS EN APPS
l Cada plataforma las gestiona de manera diferente: - IOS presenta un modelo muy reducido de control frente a los
permisos, sin embargo mantiene una política muy estricta en su tienda de apps acerca de la seguridad y calidad.
- Android permite mantener un control mucho más preciso sobre los componentes a los que les damos permiso para usar. Como contrapartida, su tienda tiene mayor riesgo de malware ya que no está tan controlada.
l Sentido común (¿para qué quiere mi ubicación una linterna?)
l ACTIVIDAD: Mirar y reconocer los permisos que he otorgado a apps.
Proteger actividad WEB
l Deshabilitar las capacidades JavaScript del navegador y habilitarlas de forma manual si fuera necesario en sitios de confianza.
l Deshabilitar plug-ins. l Habilitar la detección de sitios web fraudulentos
y/o maliciosos. l Deshabilitar funciones de autocompletar. l Deshabilitar el almacenamiento de contraseñas
y credenciales. l
REDES SOCIALES
l El usuario es responsable de lo que publica acerca de él y su círculo, luego debe proteger la privacidad propia y del propietario de los contenidos que sube, no revelando nunca información sensible.
l Es muy recomendable usar pseudónimos en lugar del nombre real, no aceptar solicitudes de amistad de desconocidos, administrar sus contactos frecuentemente, gestionar cuidadosamente la información profesional publicada y separándola de la personal. No permitir acceso al perfil sin autorización, fijar niveles de privacidad de forma restrictiva y desactivar servicios de localización.
DETECCIÓN de MALWARE
l Lo mejor es tener un antivirus/antimalware: - Malwarebytes. - ESET - Kaspersky - IOS: Norton Mobile security, Sophos https://
itunes.apple.com/us/app/sophos-mobile-control/id481992265?mt=8a
l Debido a la limitacion de las baterías de los dispositivos móviles, no es viable que haya un análisis constante de los mismos, luego tendremos que realizarla periódicamente.
Propagación de Malware
l Es recomendable que los ordenadores a los que se conecte el dispositivo móvil para su sincronización, no realice ninguna acción automática, y que lo identifique como unidad de almacenamiento.
l El reenvio de correos, mensajes instantáneos, etc que tienen como origen fuentes no fiables, son considerados una amenaza.
Trazabilidad
l Paralelamente a su complejidad y funcionalidades, los dispositivos móviles generan una gran cantidad de registros (logs) dónde se puede consultar toda la actividad.
l System Info for Android - https://play.google.com/store/apps/details?id=com.electricsheep.asi&hl=es
l Ver logs en iOS: https://www.theiphonewiki.com/wiki/System_Log
l
Auditoría de Seguridad
l ViaProtect :https://www.nowsecure.com/#viaprotect
l ZANTI - https://www.zimperium.com/zanti-mobile-penetration-testing
l Fing - https://play.google.com/store/apps/details?id=com.overlook.android.fing
l Intercepter - https://play.google.com/store/apps/details?id=su.sniff.cepter
l
Privacidad
l VPN + TOR l Orbot
https://play.google.com/store/apps/details?id=org.torproject.android
l Control de aplicaciones: Hexlock https://play.google.com/store/apps/details?id=com.liquidum.hexlock
l Control Parental: Qustodio https://www.qustodio.com/es/help/
l
DEMO
l Simularemos un ataque por wifi de interceptacion de datos con AP falso.
l