Seguridad de Dispositivos Móviles. Ataque, Defensa y Prevención.

Transcripción

1 Seguridad de Dispositivos Móviles Ataque, Defensa y Prevención.

2

3 Qué es un dispositivo móvil? Definimos dispositivo móvil a un tipo de aparato de tamaño reducido con: - Capacidades especiales de procesamiento. - Conexión permanente o intermitente a una red inalámbrica. - Memoria limitada. - Diseño específico para una función. - Se asocia a un uso individual y es configurable al gusto. - Se pueden llevar encima y usar en movimiento. - Alta capacidad de interacción.

4 Características - 1. MOVILIDAD: la cualidad de un dispositivo para ser transportado o movido con frecuencia y facilidad TAMAÑO REDUCIDO: ser fácilmente usado con una o dos manos sin necesidad de ninguna ayuda o soporte externo y su transporte COMUNICACIÓN INALÁMBRICA:envía - o recibe datos sin la necesidad de un enlace cableado INTERACCIÓN CON LAS PERSONAS: usabilidad y ergonomía.

5

6 TIPOS: Teléfonos móviles PDA s GPS Smartphones Netbook Ultrabook Tablet Tablet PC Ebook Smartwatch TPV

7 FUNCIONALIDADES Los más avanzados ofrecen capacidades muy similares con los ordenadores tradicionales. En algunos casos los superan con la inclusión de elementos adicionales como GPS, podómetros, cámara, giroscopios, etc.

8 CAPACIDADES HARDWARE Almacenamiento: interno y externo. Comunicaciones de voz y datos. Localización: GPS, por red, por wifi. Acelerómetros y podómetros. Multimedia. Interfaces de usuario (UI) avanzados.

9 Capacidades Software Principalmente su sistema operativo: - Google: Android - Apple: ios, MacOS X - Microsoft: windows phone, Windows RT, Windows OS. - RIM: Blackberry OS - Nokia: Symbian OS. - Mozilla: Firefox OS. - Canonical: Ubuntu Touch. - Palm: PalmOS -

10

11 VECTORES DE ATAQUE Un vector de ataque es el método que utiliza una amenaza para atacar un sistema. Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS).

12 Fases de un ataque

13 Riesgos Pérdida o robo del aparato y el impacto en su disponibilidad. El acceso a la información contenida, violación de la confidencialidad de los datos. El espionaje del tráfico de mensajes tanto entrante como saliente, que afecta a la integridad. Suplantación de la identidad de la víctima, la autentificación queda comprometida.

14

15 Acceso Físico Es uno de los vectores principales de ataque. Si puedo acceder al dispositivo físicamente, puedo extraer la información contenida en él y/o instalarle software de espionaje. El acceso está generalmente protegido por PIN y/o código de desbloque. Actualmente también el reconocimiento biométrico está implementado en algunos dispositivos. El acceso físico por cable podría darnos potencialmente acceso incluso sin disponer del código secreto. Extraer el PIN y/o código de desbloqueo, es una de las prioridades para asaltar la seguridad del dispositivo. Unos segundos de desatención son suficientes para infectar un dispositivo. El shoulder surfing es habitual para conseguir acceso.

16 Sistema Operativo Los desarrolladores de los sistemas Operativos de los dispositivos moviles publican de forma periódica sus vulnerabilidades y liberan parches de seguridad para solventarlos. Si el dispositivo no está actualizado correctamente a la última versión y sus parches, estará expuesto a ataques públicamente conocidos. Aún sin ser públicas existen vulnerabilidades aún no conocidas por el desarrollador: los 0-day-attacks. %C3%ADa_cero

17 Almacenamiento de Información En los dispositivos móviles guardamos gran cantidad de información del tipo : - Asociadas a la Configuración del sistema. - Asociadas a las Aplicaciones instaladas - Servicios online. - Datos personales y corporativos. - Credenciales de acceso a sitios web, correo, banca online. - Mensajes de correo ( , sms, mms) - Historial de llamadas. - Documentos. - Calendarios. - Fotografías, vídeos, audios

18 Vulnerabilidades en el Almacenamiento (2) El acceso a esa información contenida puede ser hecho tanto físicamente como remotamente. La informacion puede ser protegida mediante cifrado. Pese a ello, si el atacante posee el PIN o código de acceso podrá acceder a los datos.

19

20 Localización La inclusión de GPS, servicios de ubicación por red y por wifi, hacen más sencillo el registro de la localización física del dispositivo y el acceso a servicios como la búsqueda de negocios o mapas, en cualquier lugar del mundo. Para un atacante podría obtener información detallada de la ubicación en todo momento. Los dispositivos actúan como clientes y son susceptibles de enviar su localización a servidores no fiables. Por ejemplo: una app de juegos que tiene permisos para ubicación.

21 COMUNICACIONES GSM: 2G - Posee un gran número de vulnerabilidades de denegación de servicio basadas en SMS. - Suplantación de identidad del operador, ya que ciertas opciones son configurables por SMS. - Inclusión de código malicioso en HTML a través de MMS. - El cifrado GSM, está actualmente reventado y es susceptible de escuchas. - Si un terminal usa redes 2g y 3g podría espiar ambas. - buzón de voz accesible desde cualquier numero, sólo protegido por PIN de 4 dígitos. - las redes GPRS y EDGE están basadas en TCP/IP y soportan las vunerabilidades inherentes a estas redes. (internet) - Los terminales se conectan automáticamente, sin ninguna intervención por parte del usuario, a la celda que ofrece mayor intensidad de señal, lo que permite a un atacante posicionarse como la celda preferente para los terminales cercanos (Ataque Man-in-the-middle), ya que GSM no implementa autenticación mutua.

22 Ataque Man-in-the-middle (MITM)

23 UTMS: 3G Mejores velocidades de transferencia de datos y mejor cifrado de comunicaciones. Sobre esta red sólo hay vectores teóricos de ataque criptográfico = más segura. El terminal se autentifica contra la célula del operador en ambos sentidos. root2g-3g-ataques-david_perez-hacking- Jose_Pico-Layakk-redesed_conseguridad_informatica_0_ html

24 NFC

25 NFC Near Field Camp Usado para pagos hasta 20 maximo sin PIN. El diálogo entre tarjeta y lector NFC se transmite sin cifrar, con lo que interceptando ese tráfico podríamos disponer de los datos del titular de la tarjeta. Escucha secreta a escondidas (eavesdropping) Ataques de retransmisión. Antenas como vector de ataque que captan hasta 40cm (cuando lo legítimo son 10cm)

26

27 Bluetooth Es un clásico vector de ataque aún muy activo. Está expuesto a la captura de datos, ataque sobre el PIN, la suplantación de dispositivos emparejados, conexiones no confiables (marketing de proximidad) y DoS. Bluejacking: spam a la víctima. Bluesnarfing: robo de información. Bluebugging: Control remoto del dispositivo.

28 WI-FI

29 WI-FI Todos los dispositivos móviles que tengan comunicaciones WIFI están expuestos a todas las amenazas, riesgos y vulnerabilidades que cualquier otro dispositivo que accede a redes como éstas. El mayor riesgo son las wifis abiertas y/o publicas. La información es susceptible de ser capturada y/o interceptada (ataques man-in-the-middle) El tráfico puede ser interceptado o inyectado (spoofing) Vulnerable a ataques DoS.

30 Software Para los dispositivos móviles tenemos una gran variedad de aplicaciones que nos abren la puertas a todo tipo de funcionalidades. Las técnicas de ataque que se desarrollan con estas apps son : - Phising - Ingeniería social. - Ataques web. - Enlaces de redes sociales. -

31 Apps Uno de los grandes agujeros de seguridad es la descarga, instalación y ejecución de apps no certificadas o autorizadas. Apps de Bancos: algunas apoyadas por token con SMS. Apps de Redes Sociales: - Robo de identidad. - Distribución de malware - Revelación de información personal y profesional. - Localización

32 MALWARE

33 MALWARE Es software malicioso, y su conducta es idéntica a los ordenadores más grandes. Incluye virus, gusanos, troyanos y rootkits. Diseminado por SMS, enlaces sociales, , páginas web, ingeniería social, mensajería instantánea, apps, etc. El ataque es más sencillo si la víctima tiene root o jailbreak en su terminal.

34

35 JAILBREAK Este término alude a la eliminación de las restricciones que impone Apple a sus dispositivos, y así el usuario puede acceder completamente a sus funcionalidades. Invalida la verificación del código firmado por apple, luego se puede instalar cualquier aplicación de fuente desconocida no reconocida por Apple. Da una cierta sensación de control y flexibilidad al usuario, pero lo cierto es que los mecanismos de protección son muy rigurosos y si se dejan de usar, el usuario está expuesto a instalaciones de malware, botnets, gusanos, etc.

36

37 ROOT Algunas funcionalidades del sistema operativo Android se muestran ocultas, por lo cual si se rootea el terminal, quedará bajo nuestro control total. ROOT = RAÍZ. El problema es que un atacante, si consigue el control de nuestro terminal, tendrá igualmente todos los permisos.

38

39 Ingeniería Social Es la obtención de información confidencial a través usuarios legítimos que la entregan voluntariamente. El humano es el eslabón más débil de la cadena de seguridad. Se usa para SPAM, PHISING, ROBO DE INFORMACIÓN SENSIBLE. 4 Principios: - Todos queremos ayudar. - El primer movimiento es siempre de confianza hacia el otro. - No nos gusta decir No. - A todos nos gusta que nos alaben.

40 Otros Ataques Mediante almacenamiento (Memoria externa SD) Sincronización de datos con otro dispositivo u ordenador. Conexiones USB. Ejecución automática. De fábrica. Códigos QR Falta de formación de los usuarios.

41 PRÁCTICA 1 IDENTIFICAR VULNERABILIDADES en el propio dispositivo. - Por grupos. - Se elige un portavoz de cada grupo. - Los grupos tienen 10 minutos para encontrar vulnerabilidades en sus propios dispositivos. Éstas se tendrán que anotar. - Para finalizar, cada grupo, a través de su portavoz, expondrá al resto de compañeros sus conclusiones.

42 PRACTICA 2: DEFENSA Tormenta de ideas acerca de medidas y defensas que se pueden tomar para evitar el robo de información, la disponibilidad del servicio, la confidencialidad e integridad de los datos alojados en el dispositivo móvil y de la red corporativa a la que esté conectado.

43 PREVENCIÓN Y DEFENSA

44 ACCESO FÍSICO Principio general: No se debe dejar el dispositivo desatendido en NINGÚN momento. El dispositivo debe implementar mecanismos de autentificación para el control de acceso al mismo. Una frase de paso, de al menos, 8 caracteres. No debe saberla nadie. Adicionalmente activar el código de acceso PIN+PUK asociado a la tarjeta SIM. Limitado a 4 caracteres. Activar otra capa de autentificación biométrica si el sistema la incluye. El acceso debe bloquearse al pasar entre 1 y 5 minutos. No debería mostrar ninguna información mientras está bloqueado. Mecanismos de borrado de datos personales si hay varios intentos de acceso fallido.

45 EN CASO DE ROBO O EXTRAVÍO Nuestro IMEI *#06# Dar de baja en el operador si es robado o extraviado y cambiar TODAS nuestras contraseñas de todos los servicios online. La notificación temprana es la mejor opción para gestionar la crisis. Localizar remotamente y borrado remoto: - icloud en Apple. - Administrador de dispositivos android.

46 CAPA DE S.O. No activar ninguna funcionalidad del sistema operativo que no sea necesaria. El objetivo es reducir la superficie de exposición y ataque. Modo vuelo: forma sencilla de desaparecer de las redes inalámbricas temporalmente. Mantener actualizados el SO, APPS y FIRMWARE.

47

48 Configuración y Personalización La configuración por defecto suele estar centrada en la facilidad de uso y el atractivo para el usuario, luego a menudo es insegura. Deshabilitar el modo depuración USB en android La concienciación del usuario final es crucial para mantener la política de seguridad intacta. Limitar la posibilidad de modificar la configuración de seguridad. Prohibir el rooteo y el jailbreak Aplicaciones administrativas: - iphone Configuration Utility: IPhone_Configuration_Utility -

49

50 ALMACENAMIENTO y CIFRADO La mejor política es el cifrado de datos. Para ambos almacenamientos (interno y SD) se recomienda cifrar con estas herramientas del sistema. En android 6.0 será obligatorio. El único impacto que notaremos será una bajada de rendimiento. Al agregar esta capa de cifrado lo dejaremos todo en manos de nuestra clave de descifrado. Tendremos que protegerla mejor. Evaluar que archivos llevo en el dispositivo. Mejor nada de información de seguridad (datos personales, contraseñas, etc) Usar servicios en la nube de copia de seguridad cifrada icloud.

51 Localización Los servicios de localización ya bien sea GPS, WIFI o Red, deberían estar deshabilitados si no se van a usar. Sin embargo, estos servicios pueden ayudar a la localización del dispositivo móvil si se ha perdido o sustraído. - Apple: icloud - Android: Administrador de dispositivos. - Windows Phone: MyPhone

52 Bluetooth La funcionalidad bluetooth debe ser desactivada cuando no se esté usando. Aparte de ahorrar batería ganaremos en seguridad. Debe ser configurado en MODO oculto o no visible para evitar dar su dirección MAC. Cambiar el nombre de dispositivo, ya que suele ser modelo y marca (facilita un vector de ataque) y evitar nombrarlo con datos personales. El proceso de emparejamiento es inseguro y se realiza en blanco luego no es recomendable

53 WI-FI Esta funcionalidad debería estar desactivada si no está siendo utilizada activamente. Sólo se deberían usar redes con mecanismos de seguridad y control de acceso tipo WPA ó WPA2 Personal con clave de al menos, 20 caracteres, con requisitos de complejidad y difícilmente adivinable. Ideal con WPA2 Enterprise (802.1x y EAP) Se recomienda hacer uso de VPN en redes abiertas o sin protección. A partir de UTMS (3G) podemos tener certeza de que será muy difícil que nos intercepten el tráfico. No es recomendable activar la función de conectarse automáticamente ni a redes conocidas ni abiertas. Solo guardar aquellas que tengan una seguridad adecuada.

54

55 Telefonía Es recomendable deshabilitar esta función en escenarios concretos, y si no se va a usar. Se aconseja usar sólo redes 3G. No podemos asumir que estas comunicaciones son seguras, ya que aparentemente su carácter cerrado parece ser controlado únicamente por el operador. No abrir ningún SMS extraño/no solicitado/sospechoso. El comportamiento ha de ser el mismo que si fuera el en un ordenador de escritorio. Bloquear servicios via operador (SMS Premium, llamadas internacionales, etc) Para cifrar estas comunicaciones : - SIGNAL - CELLCRYPT:

56 SOFTWARE y APPs Debido a lo reducido de los dispositivos móviles, es más fácil caer en algún engaño y facilitan la manipulación de las acciones del usuario. Altamente recomendable usar solamente la tienda de apps oficial del desarrollador y/o fabricante. Evitar Jailbreak y black market. No se debe guardar ninguna contraseña en el dispositivo, de manera que solicite siempre clave de acceso para acceder a cualquier servicio. Usar contraseñas fuertes.

57

58 PERMISOS EN APPS Cada plataforma las gestiona de manera diferente: - IOS presenta un modelo muy reducido de control frente a los permisos, sin embargo mantiene una política muy estricta en su tienda de apps acerca de la seguridad y calidad. - Android permite mantener un control mucho más preciso sobre los componentes a los que les damos permiso para usar. Como contrapartida, su tienda tiene mayor riesgo de malware ya que no está tan controlada. Sentido común ( para qué quiere mi ubicación una linterna?) ACTIVIDAD: Mirar y reconocer los permisos que he otorgado a apps.

59 Proteger actividad WEB Deshabilitar las capacidades JavaScript del navegador y habilitarlas de forma manual si fuera necesario en sitios de confianza. Deshabilitar plug-ins. Habilitar la detección de sitios web fraudulentos y/o maliciosos. Deshabilitar funciones de autocompletar. Deshabilitar el almacenamiento de contraseñas y credenciales.

60

61 REDES SOCIALES El usuario es responsable de lo que publica acerca de él y su círculo, luego debe proteger la privacidad propia y del propietario de los contenidos que sube, no revelando nunca información sensible. Es muy recomendable usar pseudónimos en lugar del nombre real, no aceptar solicitudes de amistad de desconocidos, administrar sus contactos frecuentemente, gestionar cuidadosamente la información profesional publicada y separándola de la personal. No permitir acceso al perfil sin autorización, fijar niveles de privacidad de forma restrictiva y desactivar servicios de localización.

62 DETECCIÓN de MALWARE Lo mejor es tener un antivirus/antimalware: - Malwarebytes. - ESET - Kaspersky - IOS: Norton Mobile security, Sophos itunes.apple.com/us/app/sophos-mobile-control/ id ?mt=8a Debido a la limitacion de las baterías de los dispositivos móviles, no es viable que haya un análisis constante de los mismos, luego tendremos que realizarla periódicamente.

63

64 Propagación de Malware Es recomendable que los ordenadores a los que se conecte el dispositivo móvil para su sincronización, no realice ninguna acción automática, y que lo identifique como unidad de almacenamiento. El reenvio de correos, mensajes instantáneos, etc que tienen como origen fuentes no fiables, son considerados una amenaza.

65 Trazabilidad Paralelamente a su complejidad y funcionalidades, los dispositivos móviles generan una gran cantidad de registros (logs) dónde se puede consultar toda la actividad. System Info for Android - id=com.electricsheep.asi&hl=es Ver logs en ios: System_Log

66 Auditoría de Seguridad ViaProtect : ZANTI - Fing - id=com.overlook.android.fing Intercepter - id=su.sniff.cepter

67 Privacidad VPN + TOR Orbot id=org.torproject.android Control de aplicaciones: Hexlock id=com.liquidum.hexlock Control Parental: Qustodio

68 DEMO Simularemos un ataque por wifi de interceptacion de datos con AP falso.